- Pakej npm untuk Claude Code 2.1.88 secara tidak sengaja menghantar peta sumber yang besar yang mendedahkan sekitar 512,000 baris TypeScript dalaman.
- Kebocoran itu disebabkan oleh kesilapan manusia dalam saluran pembungkusan, bukan oleh serangan siber langsung, tetapi ia masih mendedahkan seni bina, logik keselamatan dan ciri-ciri yang belum dikeluarkan.
- Para penyelidik dengan pantas mencerminkan kod tersebut, mendedahkan modul seperti KAIROS, BUDDY, mod penyamaran, orkestrasi berbilang ejen dan sistem memori tiga lapisan.
- Insiden itu menimbulkan risiko rantaian bekalan, jailbreak dan pengklonan yang serius serta memberi tekanan ke atas Anthropic dan vendor AI lain untuk memperketatkan aliran kerja penerbitan.
Kemalangan itu pendedahan sumber dalaman Claude Code melalui npm telah menjadikan keluaran rutin sebagai salah satu insiden keselamatan AI yang paling banyak diperkatakan dalam beberapa tahun kebelakangan ini. Apa yang bermula sebagai salah satu langkah pembungkusan di sekitar peta sumber JavaScript akhirnya meletakkan ratusan ribu baris TypeScript Anthropic ke tangan penyelidik, pesaing dan penyerang oportunis di seluruh dunia.
Daripada pelanggaran klasik yang melibatkan pertahanan perimeter atau kelayakan yang dicuri, kes ini menunjukkan bagaimana kesilapan manusia biasa dalam penerbitan perisian boleh menumpahkan harta intelek yang sangat sensitif. Kebocoran itu tidak termasuk pemberat model atau data pelanggan, tetapi ia mendedahkan cara kerja dalaman salah satu yang paling canggih pembantu pengekodan ejen di pasaran, daripada sistem memori dan penapis keselamatannya hinggalah ciri eksperimen yang tidak pernah dimaksudkan untuk didedahkan kepada umum buat masa ini.
Garis masa: dari keluaran npm hingga replikasi global
Insiden itu tertumpu pada pakej npm @anthropic-ai/claude-code, khususnya versi 2.1.88Semasa keluaran standard, Anthropic menerbitkan sebuah Fail peta sumber JavaScript sekitar 60 MB (biasanya dirujuk sebagai cli.js.map) bersama-sama dengan pakej CLI yang diminimumkan. Daripada dilucutkan daripada artifak pengeluaran, peta itu mengekalkan a sourcesContent medan yang berkesan membenamkan kod TypeScript asal.
Disebabkan kecuaian itu, sesiapa yang mengambil bungkusan itu boleh membina semula kira-kira 1,900 fail dan lebih daripada 500,000 baris TypeScript, mendedahkan penghalaan arahan CLI, orkestrasi alat, logik telemetri, pemeriksaan keselamatan dan gesaan dalaman. Peta itu juga menunjukkan kembali kepada arkib zip yang boleh dicapai secara umum dalam Baldi storan Cloudflare R2 Anthropic sendiri, yang bermaksud tiada pencerobohan diperlukan: fail itu hanya ada di sana, terbuka kepada internet.
Masalah tersebut mula-mula diketengahkan oleh penyelidik keselamatan Chaofan Shou (@Fried_rice), seorang felo di firma keselamatan blockchain Fuzzland, yang menyiarkan pautan terus ke baldi yang terdedah di X. Dalam beberapa jam, repositori cermin muncul di GitHub, ada yang pantas menarik puluhan ribu bintang apabila pembangun bergegas untuk mengklon dan memeriksa kod tersebut sebelum ia hilang.
Antropik bertindak balas oleh menarik versi npm yang terjejas dan melancarkan gelombang permintaan penghapusan DMCA yang menyasarkan GitHub dan platform pengehosan lain. Walau bagaimanapun, apabila kempen penghapusan bermula, banyak salinan telah diarkibkan, dicabangkan dan diedarkan semula, menjadikannya mustahil untuk menarik balik sepenuhnya bahan tersebut.
Bagaimana gangguan pembungkusan membuka ejen AI utama
Atas kertas, menerbitkan versi Kod Claude baharu kepada npm sepatutnya menjadi tugas rutin: tolak pakej JavaScript yang diminimumkan, sertakan hanya apa yang benar-benar diperlukan dan bergantung pada fail konfigurasi (seperti .npmignore atau files bidang di package.json) untuk memastikan artifak debug tidak dimasukkan ke dalam pakej akhir.
Dalam kes ini, beberapa pilihan kecil disusun dengan cara yang salah. Saluran binaan menggunakan Pengikat roti, Yang menjana peta sumber secara lalaiTiada langkah seterusnya dalam aliran kompilasi atau pembungkusan yang mengalih keluar peta itu, dan a senarai abaikan yang salah konfigurasi bermakna peta itu dihantar terus ke daftar awam. Dari situ, sifat npm yang terbuka dan dicerminkan secara global telah menyelesaikan selebihnya.
Anthropic telah menekankan bahawa tiada data pelanggan sensitif, kelayakan atau pemberat model adalah sebahagian daripada kebocoran tersebut. Sebaliknya, ini adalah masalah pembungkusan semata-mata: metadata debug yang bertujuan untuk penyelesaian masalah dalaman secara tidak sengaja digabungkan ke dalam keluaran pengeluaran. Pembingkaian itu tepat dari perspektif keselamatan yang sempit, tetapi ia mengecilkan betapa banyak maklumat strategik yang berada di dalam pangkalan kod ejen AI moden.
Keadaan menjadi lebih rumit, ini adalah bukan kali pertama sesuatu seperti ini telah berlaku. Kebocoran peta sumber yang hampir serupa dilaporkan menjejaskan binaan Kod Claude terdahulu pada februari 2025Dua insiden yang hampir sama dalam tempoh kira-kira 13 bulan pasti menimbulkan persoalan tentang betapa ketatnya Anthropic menguatkuasakan pagar pengadang dalam saluran keluarannya.
Apa yang sebenarnya didedahkan oleh Kod Claude yang bocor
Sebaik sahaja penyelidik dan pembangun mula meneliti fail yang dipulihkan, menjadi jelas bahawa ini bukanlah pandangan sekilas terhadap beberapa skrip pembantu, tetapi keratan rentas seni bina penuh CLI Claude CodePokok TypeScript merangkumi kira-kira setengah juta baris dan meliputi:
- Pelaksanaan dan orkestrasi alat: bagaimana Claude Code merancang, menyusun dan menggunakan alatan, shell dan perkhidmatan luaran.
- Skema kebenaran dan peraturan sandboxing: logik tepat yang menentukan arahan mana yang boleh dijalankan, dengan parameter mana dan dalam persekitaran mana.
- Sistem memori dan pengurusan konteks: strategi untuk mengendalikan sesi jangka panjang tanpa kehilangan koheren.
- Telemetri dan analitik: apa yang diukur, diagregatkan dan dihantar kembali ke Anthropic.
- Gesaan sistem dan bendera ciri: arahan tersembunyi yang membentuk tingkah laku ejen dan menukar keupayaan eksperimen.
Analisis komuniti mengetengahkan reka bentuk memori tiga lapisan berpusat pada fail yang sering digambarkan sebagai MEMORY.mdDaripada merekodkan sejarah interaksi mentah selama-lamanya, Claude Code mengekalkan struktur rujukan berasaskan topik yang diindeksEjen merujuk indeks tersebut apabila perlu menarik balik kerja terdahulu, hanya menarik serpihan yang berkaitan dengan tugasan semasa dan mematuhi peraturan penulisan yang ketat untuk mengurangkan hanyutan konteks dan rasuah kendiri.
Pendekatan "ingatan dengan skeptisisme yang sihat" ini membantu mengurangkan entropi perbualan yang berpanjangan, di mana pengumpulan konteks naif sebaliknya akan menyebabkan ejen menjadi tidak konsisten atau berhalusinasi. Bagi pasukan lain yang membina alat ejen, kebocoran itu berkesan kelas induk percuma dalam orkestrasi memori gred pengeluaran.
Sumber itu juga mendedahkan pelbagai cangkuk telemetri dalaman. Antaranya ialah logik bahawa isyarat kekecewaan bendera — contohnya, mengimbas kata-kata kesat dalam gesaan — tanpa mengekalkan perbualan pengguna penuh atau pangkalan kod. Satu lagi bahagian penting ialah mod "menyamar" atau sembunyi-sembunyi direka untuk menanggalkan nama kod projek dalaman dan pengecam sensitif lain daripada komitmen git dan permintaan tarik, supaya sumbangan bertulis AI tidak secara tidak sengaja membocorkan butiran proprietari.
Di luar sistem yang sedia ada dalam produk, rujukan asas kod fungsi yang tidak dikeluarkan atau tersembunyi dikawal oleh bendera ciri: mod untuk operasi latar belakang, penyelarasan antara berbilang ejen dan juga sentuhan UI yang menyeronokkan seperti rakan terminal.
Modul yang belum dikeluarkan: KAIROS, BUDDY dan kawanan berbilang ejen
Antara penemuan yang paling menarik perhatian berkisar tentang keupayaan yang belum diumumkan oleh Anthropic secara terbuka, yang kini didedahkan secara terperinci dalam kejuruteraan. Salah satu modul yang menonjol ialah KAHIRAH, diterangkan dalam komen dan konfigurasi sebagai daemon latar belakang yang berjalan secara berterusan yang memerhati perubahan fail, merekod peristiwa dan melaksanakan apa yang dipanggil impian atau penyatuan “onirik” berlalu apabila pengguna terbiar.
Dalam praktiknya, KAIROS nampaknya memberikan Claude Code sesuatu yang hampir sama autonomi "sentiasa aktif": daripada menunggu secara pasif untuk gesaan, ejen boleh bangun secara berkala, mengindeks semula pemahamannya tentang pangkalan kod, membersihkan struktur memorinya dan menyediakan rancangan yang lebih baik untuk sesi kerja yang akan datang. Bagi pasukan yang bereksperimen dengan ejen autonomi sepenuhnya, ini pada asasnya mendedahkan pelan tindakan Anthropic untuk pekerja latar belakang yang berumur panjang.
Satu lagi ciri yang pantas menarik perhatian internet ialah BUDDY, digambarkan dalam kod sebagai sejenis maskot bahagian terminalPelaksanaannya merangkumi 18 "spesies" yang berbeza — salah satunya kapibara — serta statistik yang menyeronokkan seperti DEBUGGING, PATIENCE and CHAOSWalaupun kelihatan aneh pada permukaannya, BUDDY menunjukkan bahawa Anthropic bereksperimen dengan pengalaman pembangun yang lebih ekspresif dan sedar emosi.
Pada hujung spektrum yang lebih serius terletaknya seni bina untuk kerjasama berbilang ejen. Dihuraikan secara dalaman melalui konstruk seperti a Mod PENYELARAS and Sesi ULTRAPLAN, sistem ini membolehkan ejen utama melahirkan dan menyelia armada ejen pekerja secara selari. Serpihan dokumentasi merujuk kepada mesyuarat perancangan jarak jauh antara ejen yang berlangsung selama 10 hingga 30 minit, mencadangkan model di mana Claude Code boleh memecahkan tugasan besar, mewakilkan subtugasan kepada pembantu dan kemudian menggabungkan hasilnya.
Terdapat juga petunjuk modul dan varian model yang masih dalam pembangunan, termasuk rujukan kepada nama dalaman seperti Kapibara, dibingkaikan sebagai evolusi keluarga Claude 4.x. Metrik yang terbenam dalam kod tersebut menyebut kadar positif palsu berlegar sekitar 29-30% untuk beberapa sistem keselamatan atau pengesanan, berbanding dengan sekitar 16.7% dalam pusingan terdahulu — angka jujur yang biasanya kekal di dalam papan pemuka kejuruteraan.
Secara keseluruhannya, penemuan ini mengubah pokok yang bocor menjadi gambaran ringkas strategi ejen Anthropic yang bertaraf peta jalan: tempat syarikat melihat sempadan autonomi yang berguna, bagaimana ia mahu ejen bekerjasama dan apakah kompromi yang sedang dihadapinya.
Jailbreak, klon dan kesan rantaian bekalan
Walaupun tiada kata laluan atau token yang terdedah, pakar keselamatan masih jauh daripada tenang. Dengan logik CLI yang lengkap, ia menjadi lebih mudah untuk jurutera undur penghadang Claude Code dan terokai laluan di sekelilingnya. Apa yang dahulunya merupakan kotak hitam kini merupakan resipi langkah demi langkah tentang cara alat tersebut menghuraikan arahan, menggunakan penapis dan memutuskan sama ada sesuatu selamat untuk dijalankan dalam terminal pengguna.
Ketelusan itu boleh menjadi pedang bermata dua. Di satu pihak, penyelidik pertahanan kini boleh mengaudit model keselamatan dengan kedalaman yang belum pernah terjadi sebelumnya dan mencadangkan strategi pengerasan. Sebaliknya, penyerang boleh mencipta gesaan dan manipulasi konteks dengan teliti untuk selitkan arahan berniat jahat melepasi pengesah Bash, mengeksploitasi perbezaan halus antara lapisan kebenaran atau memujuk ejen untuk melakukan tindakan yang tidak pernah dimaksudkan untuk dilakukan.
Kebimbangan yang berkait rapat ialah lonjakan klon berniat jahat atau tiruanDengan pangkalan kod sedia produksi yang tersedia, adalah mudah bagi pelaku yang bermotivasi untuk melucutkan penjenamaan dan telemetri, menyuntik pintu belakang atau logik pengekstrakan data dan menerbitkan pakej yang hampir serupa di bawah nama yang sedikit diubah suai. Bagi pembangun yang memasang alatan daripada npm secara autopilot, risiko menarik ejen "seperti Claude" yang tercemar kini jauh lebih tinggi.
Masa kebocoran itu menguatkan lagi kebimbangan ini. Dalam tempoh yang sama, npm menghadapi serangan rantaian bekalan bebas terhadap popular axios pakej, dengan versi berniat jahat disiarkan antara kira-kira 00:21 dan 03:29 UTC. Insiden selari itu menggariskan betapa rapuhnya ekosistem JavaScript apabila melibatkan kepercayaan terhadap kebergantungan.
Panduan keselamatan untuk pasukan yang memasang atau mengemas kini Kod Claude melalui npm dalam tempoh tersebut adalah terus terang: audit pokok kebergantungan andaterutamanya untuk pakej seperti axios and plain-crypto-js; putar kelayakan yang mungkin terdapat pada sistem yang terjejas; dan awasi tingkah laku yang tidak normal. Anthropic, bagi pihaknya, telah mencadangkan secara eksplisit lebih suka pemasang asalnya berbanding npm bergerak ke hadapan untuk mengecilkan permukaan serangan.
Respons rasmi Anthropic dan desakan DMCA
Apabila berita kebocoran itu tersebar, Anthropic bertindak pantas untuk membentuk naratif tersebut. Dalam komen yang dikongsi dengan saluran seperti TecMundo dan VentureBeat, syarikat itu menekankan bahawa ini merupakan isu pembungkusan keluaran yang disebabkan oleh ralat manusia, bukan pelanggaran infrastruktur dalaman atau penggodaman luaran.
Mesej teras kekal konsisten: tiada rahsia pelanggan, tiada kelayakan, tiada pemberat model telah bocor; hanya logik aplikasi dalaman sahaja yang terdedah. Kenyataan itu juga menekankan bahawa Anthropic sudah pun melancarkan langkah-langkah perlindungan bagi mencegah kejadian serupa dalam binaan akan datang, walaupun bedah siasat terperinci belum didedahkan kepada umum.
Dari segi perundangan, syarikat itu memulakan langkah yang bertenaga Kempen penghapusan DMCAGitHub dan hos lain mula menerima permintaan untuk mengalih keluar repositori yang mencerminkan sumber Kod Claude, dengan beberapa cermin yang paling menonjol hilang selepas mendapat perhatian dan perbincangan yang ketara.
Walaupun terdapat langkah-langkah ini, realiti praktikalnya ialah sebaik sahaja pangkalan kod sebesar ini terlepas ke alam liar, mengekangnya sepenuhnya hampir mustahilSalinan yang diarkibkan diedarkan secara tertutup, pakej yang disulitkan berada di laman perkongsian fail generik dan subset kod telah dialihkan atau dilaksanakan semula dalam bahasa lain seperti Python dan Rust oleh peminat yang ingin mengelak kekangan hak cipta.
Insiden itu juga berlaku hanya beberapa hari selepas satu kesilapan konfigurasi yang berbeza dilaporkan mendedahkan sekitar 3,000 fail dalaman terikat dengan model yang belum dikeluarkan yang dikenali sebagai "Claude Mythos" melalui CMS yang salah konfigurasi. Dua penerbitan yang tidak berkaitan luput dalam masa kurang daripada seminggu secara semula jadi telah menyebabkan pemerhati mempersoalkan Kebersihan operasi Anthropic berkaitan kandungan dan keluaran kod.
Impak yang lebih luas terhadap ekosistem AI dan pesaing
Dari sudut pandangan perniagaan, kebocoran itu mengenai produk yang telah dilihat sebagai salah satu pemacu pendapatan utama AnthropicIndustri menganggarkan pendapatan berulang tahunan Claude Code berada pada tahap berbilion-bilion yang rendah, dengan sebahagian besar penggunaan datang daripada pelanggan perusahaan. Ini menjadikan CLI bukan sekadar mainan pembangun, tetapi juga tonggak strategik pelan tindakan komersial syarikat.
Dengan mendedahkan begitu banyak seni binanya kepada umum, insiden itu secara berkesan mendedahkan pasukan pesaing buku panduan kejuruteraan yang sangat terperinci yang sebaliknya akan mengambil masa bertahun-tahun untuk eksperimen dan modal yang besar untuk dikompilasi. Alatan yang bersaing, termasuk IDE agentik yang lebih baharu dan juruterbang pengekodan bersama, kini boleh menanda aras pendekatan mereka sendiri terhadap keputusan reka bentuk dunia sebenar Anthropic dan bukannya beroperasi berdasarkan tekaan dan bahasa pemasaran.
Pada masa yang sama, kebocoran itu mengurangkan halangan kemasukan untuk bakal pelanggan. Pesaing Claude CodeKini jauh lebih mudah untuk memasang ejen dengan corak memori, aliran kerja latar belakang dan keupayaan koordinasi yang serupa dengan merujuk pelaksanaan yang telah ditala untuk kegunaan pengeluaran. Dalam erti kata itu, sebahagian daripada parit intelektual Anthropic tiba-tiba menjadi pengetahuan bersama untuk industri yang lebih luas.
Sejarah menunjukkan bahawa peristiwa sedemikian boleh memberi kesan paradoks. Di satu pihak, ia mempercepatkan inovasi merentasi bidang, apabila lebih banyak pasukan belajar daripada contoh berkualiti tinggi. Sebaliknya, ia mengurangkan peluang penggerak awal, memaksa penyandang untuk bergerak lebih pantas dan melabur lebih banyak dalam ciri, keselamatan dan kebolehpercayaan yang membezakan.
Bagi syarikat baharu dan pembeli perusahaan yang menilai perkakasan AI, episod ini juga mungkin mengubah jangkaan secara halus. Bakal pelanggan berkemungkinan akan mendesak vendor dengan lebih keras disiplin pelepasan, perlindungan CI/CD dan proses tindak balas insiden, menganggap saluran penerbitan yang selamat sebagai bahagian yang tidak boleh dirundingkan bagi mana-mana platform AI yang serius.
Pengajaran keselamatan: daripada fail konfigurasi kepada pelayan MCP
Para pemimpin dan pengamal keselamatan telah menggunakan kebocoran itu sebagai batu loncatan untuk mencadangkan langkah pertahanan konkrit untuk organisasi yang sudah bereksperimen dengan alat pengekodan agen. Satu cadangan berulang adalah untuk fail konfigurasi audit yang berkaitan dengan Kod Claude, Seperti CLAUDE.md and .claude/config.json, yang boleh bertindak sebagai vektor keistimewaan tinggi untuk menyuntik arahan tersembunyi atau melonggarkan tetapan keselamatan.
Satu lagi bidang penekanan ialah melayan pelayan alat luaran dan titik akhir Protokol Konteks Model (MCP) sebagai kebergantungan yang tidak dipercayaiDengan permukaan kontrak yang kini dibentangkan secara terperinci, pengendali yang berniat jahat boleh cuba menyamar sebagai pelayan yang sah atau mengubah tingkah laku secara halus pada titik integrasi tersebut. Menyematkan versi, memantau perubahan dan mengetatkan kawalan akses boleh mengurangkan risiko tersebut.
Memandangkan betapa pantasnya pembantu AI boleh menggerakkan kod, pasukan juga digesa untuk kunci kebenaran shell dan imbas rahsia secara sistematik sebelum ia sampai ke repositori. Kebolehan yang sama yang menjadikan ejen produktif — mengedit konfigurasi dengan pantas, menyambungkan CI dan menyentuh berbilang perkhidmatan — boleh dengan mudahnya membesarkan satu kesilapan menjadi kebocoran kelayakan yang serius.
Akhirnya, terdapat tekanan yang semakin meningkat terhadap organisasi untuk jejaki asal-usul komitmen yang dibantu AIMemandangkan lebih banyak kod dunia ditulis atau diubah suai oleh ejen, pengawal selia dan juruaudit mungkin secara munasabah menjangkakan dasar pendedahan yang jelas, pembalakan yang mantap dan cara untuk mengesahkan dari mana logik kritikal berasal, terutamanya dalam domain sensitif atau dikawal selia.
Secara agregat, cadangan ini mencerminkan perubahan daripada menganggap ejen AI sebagai alat pembangun lain kepada mengiktirafnya sebagai infrastruktur teras dengan model ancaman khusus mereka sendiri, kerentanan rantaian bekalan dan keperluan tadbir urus.
Secara keseluruhannya, kebocoran Kod Claude melalui npm bukanlah cerita tentang satu keluaran yang cacat dan lebih lanjut tentang bagaimana Kesilapan kecil yang biasa dalam saluran perisian moden boleh membentuk semula landskap persaingan dan keselamatan sekitar AI. Dengan buku panduan dalaman ejen kini secara efektifnya boleh diakses oleh umum, Anthropic dan rakan sejawatnya menghadapi tekanan yang semakin meningkat untuk memperkukuhkan aliran penerbitan mereka, memikirkan semula berapa banyak logik yang mereka dedahkan di pinggir dan membina budaya di mana perincian konfigurasi mendapat penelitian yang sama seperti mana-mana seni bina model canggih.
