- El paquet npm per al codi Claude 2.1.88 va incloure accidentalment un mapa de codi font massiu que va exposar unes 512,000 línies de TypeScript intern.
- La filtració va ser causada per un error humà en el procés d'empaquetament, no per un ciberatac directe, però tot i així va revelar l'arquitectura, la lògica de seguretat i les funcions no publicades.
- Els investigadors van replicar ràpidament el codi, descobrint mòduls com KAIROS, BUDDY, modes encoberts, orquestració multiagent i un sistema de memòria de tres capes.
- L'incident planteja greus riscos a la cadena de subministrament, al jailbreak i a la clonació, i pressiona Anthropic i altres proveïdors d'IA per endurir els fluxos de treball de publicació.
L'accidental exposició de la font interna de Claude Code via npm ha convertit un llançament rutinari en un dels incidents de seguretat d'IA més comentats dels darrers anys. El que va començar com un error d'empaquetament al voltant d'un mapa de codi font de JavaScript va acabar posant centenars de milers de línies de TypeScript d'Anthropic a les mans d'investigadors, competidors i atacants oportunistes d'arreu del món.
En lloc d'una bretxa clàssica que implica defenses perimetrals o credencials robades, aquest cas mostra com error humà pur en la publicació de programari pot divulgar propietat intel·lectual altament sensible. La filtració no inclou pesos de models ni dades de clients, però sí que exposa el funcionament intern d'un dels sistemes més avançats assistents de codificació agentiva al mercat, des dels seus sistemes de memòria i filtres de seguretat fins a funcions experimentals que mai no havien de ser públiques.
Cronologia: des del llançament de npm fins a la rèplica global
L'incident se centra en el paquet npm @anthropic-ai/claude-code, concretament la versió 2.1.88Durant un llançament que, d'altra banda, seria estàndard, Anthropic va publicar un Fitxer de mapa font de JavaScript d'uns 60 MB (normalment anomenat com a cli.js.map) juntament amb el paquet CLI minificat. En comptes de ser eliminat de l'artefacte de producció, aquest mapa va conservar un sourcesContent camp que incrustava efectivament el codi TypeScript original.
A causa d'aquest descuit, qualsevol que agafés el paquet podia reconstruir aproximadament 1,900 fitxers i més de 500,000 línies de TypeScript, exposant l'encaminament d'ordres de la CLI, l'orquestració d'eines, la lògica de telemetria, les comprovacions de seguretat i les indicacions internes. El mapa també apuntava a un arxiu zip accessible públicament a El propi cub d'emmagatzematge Cloudflare R2 d'Anthropic, cosa que significava que no calia cap intrusió: l'arxiu simplement era allà, obert a Internet.
El problema va ser posat de manifest per primera vegada per l'investigador de seguretat Chaofan Shou (@Fried_rice), un membre de l'empresa de seguretat blockchain Fuzzland, que va publicar un enllaç directe al cub exposat a X. En poques hores, Els repositoris mirall van aparèixer a GitHub, alguns atraient ràpidament desenes de milers d'estrelles a mesura que els desenvolupadors s'afanyaven a clonar i inspeccionar el codi abans que desaparegués.
Antròpic va reaccionar per extraient la versió npm afectada i llançant una onada de sol·licituds de retirada de la DMCA dirigides a GitHub i altres plataformes d'allotjament. No obstant això, quan va començar la campanya de retirada, ja s'havien arxivat, bifurcat i redistribuït innombrables còpies, cosa que feia pràcticament impossible retirar completament el material.
Com un error d'envasament va fer volar pels aires un agent d'IA emblemàtic
Sobre el paper, publicació d'una nova versió del codi Claude a npm hauria de ser una tasca rutinària: enviar un paquet de JavaScript minificat, incloure només el que sigui estrictament necessari i confiar en fitxers de configuració (com ara .npmignore o el files camp en package.json) per mantenir els artefactes de depuració fora del paquet final.
En aquest cas, diverses petites opcions s'apilaven exactament de manera incorrecta. El pipeline de compilació utilitzava el Lliga-pallets, Que genera mapes d'origen per defecteCap pas posterior en el flux de compilació o empaquetament va eliminar aquest mapa, i a llista d'ignorats mal configurada significava que el mapa s'enviava directament al registre públic. A partir d'aquí, la naturalesa oberta i globalment reflectida de npm va fer la resta.
Antròpic ha emfatitzat que sense dades sensibles dels clients, credencials ni pesos de model formaven part de la filtració. En canvi, es tractava d'un problema pur d'empaquetament: les metadades de depuració destinades a la resolució de problemes interns es van incloure accidentalment en una versió de producció. Aquest plantejament és precís des d'una perspectiva de seguretat limitada, però subestima la quantitat d'informació estratègica que hi ha dins de la base de codi d'un agent d'IA modern.
Per complicar encara més les coses, això va ser no la primera vegada Una cosa semblant havia passat. Segons sembla, una filtració de mapa font molt similar va afectar una compilació anterior de Claude Code a febrer 2025Dos incidents gairebé idèntics en un període d'uns 13 mesos inevitablement plantegen preguntes sobre el rigor amb què Anthropic aplica les barreres de seguretat en els seus processos de llançament.
Què revela realment el Codi Claude filtrat
Un cop els investigadors i desenvolupadors van començar a examinar els fitxers recuperats, va quedar clar que no es tractava d'una ullada superficial a alguns scripts d'ajuda, sinó d'una secció transversal arquitectònica completa de la CLI de Claude CodeL'arbre de TypeScript abasta aproximadament mig milió de línies i cobreix:
- Execució i orquestració d'eines: com Claude Code planifica, seqüencia i invoca eines, shells i serveis externs.
- Esquemes de permisos i regles de sandboxing: la lògica exacta que decideix quines ordres es poden executar, amb quins paràmetres i en quins entorns.
- Sistemes de memòria i gestió de context: estratègies per gestionar sessions de llarga durada sense perdre coherència.
- Telemetria i anàlisi: què es mesura, s'agrega i s'envia de tornada a Anthropic.
- Indicacions del sistema i indicadors de funcions: les instruccions ocultes que configuren el comportament de l'agent i activen les capacitats experimentals.
Les anàlisis comunitàries van destacar un disseny de memòria de tres capes centrat en un fitxer sovint descrit com a MEMORY.mdEn lloc de registrar l'historial d'interaccions en brut indefinidament, Claude Code manté una estructura de referència indexada i basada en temesL'agent consulta aquest índex quan necessita recuperar treballs anteriors, extraient només els fragments que són rellevants per a la tasca actual i seguint regles d'escriptura estrictes per reduir la deriva del context i l'autocorrupció.
Aquest enfocament de "memòria amb escepticisme saludable" ajuda a mitigar la entropia de converses de llarga durada, on l'acumulació de context ingenu faria que l'agent es tornés inconsistent o al·lucinés. Per a altres equips que creen eines d'agentivitat, la filtració és efectivament una classe magistral gratuïta sobre orquestració de memòria de nivell de producció.
La font també exposa diversos ganxos de telemetria interns. Entre ells hi ha la lògica que senyals de frustració de banderes — per exemple, la cerca de profanitat a les indicacions — sense conservar les converses completes dels usuaris ni les bases de codi. Una altra peça destacable és una mode "d'incògnit" o furtiu dissenyat per eliminar els noms en clau interns del projecte i altres identificadors sensibles dels commits de git i les sol·licituds d'extracció, de manera que les contribucions escrites per IA no filtrin accidentalment detalls de propietat.
Més enllà dels sistemes ja visibles en el producte, les referències de la base de codi funcionalitat no publicada o oculta controlat per indicadors de funcions: modes per a l'operació en segon pla, coordinació entre diversos agents i fins i tot tocs divertits a la interfície d'usuari com a companys de terminal.
Mòduls no publicats: KAIROS, BUDDY i eixams multiagent
Alguns dels descobriments més cridaners giren al voltant de capacitats que Anthropic encara no havia anunciat públicament, que ara s'exposen amb detalls d'enginyeria granulars. Un dels mòduls més destacats és EL CAIROS, descrit en comentaris i configuració com a dimoni en segon pla que s'executa contínuament que observa els canvis de fitxers, registra els esdeveniments i realitza les anomenades somni o la consolidació "onírica" passa quan l'usuari està inactiu.
A la pràctica, KAIROS sembla donar a Claude Code alguna cosa semblant a Autonomia "sempre activa"En lloc d'esperar passivament les indicacions, l'agent es pot despertar periòdicament, reindexar la seva comprensió d'una base de codi, netejar les seves estructures de memòria i preparar millors plans per a les properes sessions de treball. Per als equips que experimenten amb agents totalment autònoms, això revela essencialment el pla d'Anthropic per a treballadors en segon pla de llarga durada.
Una altra característica que va captar ràpidament la imaginació d'Internet és AMIC, representada al codi com una mena de mascota del costat del terminalLa implementació inclou 18 "espècies" diferents, una d'elles un capibara, així com estadístiques lúdiques com ara DEBUGGING, PATIENCE i CHAOSTot i que aparentment capritxós, BUDDY apunta a Anthropic experimentant amb experiències de desenvolupament més expressives i emocionalment conscients.
A l'extrem més seriós de l'espectre hi ha una arquitectura per a la col·laboració multiagent. Descrita internament a través de constructes com ara un Mode COORDINADOR i Sessions d'ULTRAPLAN, aquest sistema permet a un agent principal generar i supervisar flotes d'agents treballadors en paral·lel. Els fragments de documentació fan referència a reunions de planificació remotes entre agents que duren entre 10 i 30 minuts, cosa que suggereix un model on Claude Code pot desglossar una tasca gran, delegar subtasques a ajudants i després fusionar els resultats.
També hi ha indicis de mòduls i variants de models encara en desenvolupament, incloent-hi referències a noms interns com ara Capibara, emmarcades com a evolucions de la família Claude 4.x. Les mètriques incrustades en el codi esmenten taxes de falsos positius que ronden el 29-30% per a alguns sistemes de seguretat o detecció, en comparació amb al voltant del 16.7% en rondes anteriors, xifres sinceres que normalment es mantindrien dins dels quadres de comandament d'enginyeria.
En conjunt, aquestes troballes converteixen l'arbre filtrat en una instantània de nivell de full de ruta de l'estratègia d'agents d'Anthropic: on l'empresa veu els límits de l'autonomia útil, com vol que els agents col·laborin i amb quines compensacions està lluitant actualment.
Fugues de la presó, clons i conseqüències a la cadena de subministrament
Fins i tot si no s'haguessin exposat contrasenyes ni testimonis, els especialistes en seguretat no estan gens tranquils. Amb tota la lògica de la CLI a mà, es fa molt més fàcil... aplicar enginyeria inversa a les baranes de protecció de Claude Code i explorar camins al seu voltant. El que abans era una caixa negra ara és una recepta pas a pas de com l'eina analitza ordres, aplica filtres i decideix si alguna cosa és segura per executar al terminal d'un usuari.
Aquesta transparència pot ser una arma de doble tall. D'una banda, els investigadors defensius ara poden auditar el model de seguretat amb una profunditat sense precedents i suggerir estratègies d'enduriment. D'altra banda, els atacants poden elaborar acuradament indicacions i manipulacions de context per introduir instruccions malicioses més enllà dels validadors de Bash, explotar diferències subtils entre les capes de permisos o persuadir l'agent perquè faci accions que mai no estava destinat a realitzar.
Una preocupació estretament relacionada és l'augment de clons maliciosos o falsificatsAmb una base de codi disponible per a la producció, és trivial per a un actor motivat eliminar la marca i la telemetria, injectar portes del darrere o lògica d'exfiltració de dades i publicar un paquet gairebé idèntic amb un nom lleugerament modificat. Per als desenvolupadors que instal·len eines de npm en pilot automàtic, el risc d'introduir un agent "semblant a Claude" contaminat ara és notablement més alt.
El moment de la filtració va amplificar aquestes preocupacions. Al voltant de la mateixa finestra, npm es va enfrontar a un atac independent de la cadena de subministrament contra el popular axios paquet, amb versions malicioses actives entre aproximadament les 00:21 i les 03:29 UTC. Aquell incident paral·lel va subratllar la fragilitat de l'ecosistema JavaScript pel que fa a la confiança en les dependències.
Les directrius de seguretat per als equips que van instal·lar o actualitzar Claude Code mitjançant npm durant aquest període han estat contundents: audita el teu arbre de dependències, especialment per a paquets com axios i plain-crypto-js; rotar les credencials que puguin haver estat presents als sistemes afectats; i vigilar de prop el comportament anòmal. Anthropic, per la seva banda, ha suggerit explícitament preferint el seu instal·lador natiu a npm anar endavant per reduir la superfície d'atac.
Resposta oficial d'Anthropic i pressió per la DMCA
Quan es va saber la notícia de la filtració, Anthropic es va moure ràpidament per donar forma a la narrativa. En comentaris compartits amb mitjans com ara TecMundo i VentureBeat, l'empresa va emfatitzar que Això va ser un problema d'empaquetatge de llançament causat per un error humà, no una violació de la infraestructura interna ni un pirateig extern.
El missatge principal va romandre coherent: sense secrets de client, sense credencials, sense pesos de model s'havia filtrat; només es va exposar la lògica interna de l'aplicació. La declaració també emfatitzava que Anthropic ja estava desplegant mesures de seguretat per evitar accidents similars en futures construccions, tot i que no s'han fet públiques les autòpsies detallades.
En l'àmbit legal, l'empresa va iniciar una enèrgica tasca Campanya de retirada de contingut per DMCAEl GitHub i altres amfitrions van començar a rebre sol·licituds per eliminar repositoris que reflectien el codi font de Claude Code, i alguns dels miralls més destacats van desaparèixer després d'acumular una atenció i un debat significatius.
Malgrat aquests moviments, la realitat pràctica és que un cop una base de codi d'aquesta mida s'escapa a la natura, controlar-ho completament és gairebé impossibleLes còpies arxivades circulen de forma privada, els paquets xifrats es troben en llocs web genèrics per compartir fitxers i subconjunts del codi ja han estat portats o reimplementats en altres llenguatges com Python i Rust per entusiastes que busquen eludir les restriccions dels drets d'autor.
L'incident també es va produir pocs dies després d'un altre error de configuració, segons s'informa. van exposar uns 3,000 fitxers interns vinculat a un model no publicat conegut com a "Claude Mythos" a través d'un CMS mal configurat. Dos lapses de publicació no relacionats en menys d'una setmana han portat naturalment els observadors a qüestionar La higiene operativa d'Anthropic pel que fa a les publicacions de contingut i codi.
Impacte més ampli en l'ecosistema d'IA i els competidors
Des d'un punt de vista empresarial, la filtració afecta un producte que ja es veia com a un dels principals motors d'ingressos d'AnthropicLes estimacions de la indústria situen els ingressos recurrents anuals de Claude Code en milers de milions, amb una gran majoria d'ús procedent de clients empresarials. Això fa que la CLI no sigui només una joguina per a desenvolupadors, sinó una... pilar estratègic de la full de ruta comercial de l'empresa.
En fer pública gran part de la seva arquitectura, l'incident deixa els equips rivals en mans de l'incident. un manual d'enginyeria profundament detallat que d'altra banda requeriria anys d'experimentació i un capital significatiu per compilar. Les eines de la competència, inclosos els IDE agentius més nous i els copilots de codificació, ara poden comparar els seus propis enfocaments amb les decisions de disseny del món real d'Anthropic en lloc d'operar amb conjectures i llenguatge de màrqueting.
Alhora, la fuita redueix la barrera d'entrada per a possibles Competidors del Codi ClaudeAra és molt més fàcil muntar un agent amb patrons de memòria, fluxos de treball en segon pla i capacitats de coordinació similars fent referència a implementacions que ja estaven ajustades per a l'ús en producció. En aquest sentit, una part del patrimoni intel·lectual d'Anthropic s'ha convertit sobtadament en coneixement compartit per a la indústria en general.
La història suggereix que aquests esdeveniments poden tenir un efecte paradoxal. D'una banda, accelerar la innovació en tot el camp, a mesura que més equips aprenen d'exemples d'alta qualitat. D'altra banda, redueixen l'avantatge dels primers, obligant els operadors establerts a moure's més ràpidament i invertir més en característiques diferenciadores, seguretat i fiabilitat.
Per a les startups i els compradors empresarials que avaluen eines d'IA, l'episodi també pot canviar subtilment les expectatives. És probable que els clients potencials pressionin més els proveïdors. disciplina de llançament, salvaguardes de CI/CD i processos de resposta a incidents, tractant els canals de publicació segurs com una part innegociable de qualsevol plataforma d'IA seriosa.
Lliçons de seguretat: des dels fitxers de configuració fins als servidors MCP
Els líders i els professionals de la seguretat han utilitzat la filtració com a trampolí per proposar escales defensives de formigó per a organitzacions que ja experimenten amb eines de codificació agentiva. Una recomanació recurrent és fitxers de configuració d'auditoria associats amb Claude Code, Com ara CLAUDE.md i .claude/config.json, que poden actuar com a vectors d'alts privilegis per injectar instruccions ocultes o relaxar la configuració de seguretat.
Una altra àrea d'èmfasi és tractant servidors d'eines externes i punts finals del Model Context Protocol (MCP) com a dependències no fiablesAmb les superfícies contractuals ara exposades en detall, els operadors maliciosos podrien intentar suplantar servidors legítims o alterar subtilment el comportament en aquests punts d'integració. Fixar versions, supervisar els canvis i endurir els controls d'accés pot reduir aquest risc.
Tenint en compte la rapidesa amb què un assistent d'IA pot moure el codi, també s'insta els equips a bloqueja els permisos de shell i escaneja sistemàticament els secrets abans que arribin a un repositori. Les mateixes habilitats que fan que els agents siguin productius (editar configuracions ràpidament, connectar la CI i tocar diversos serveis) poden amplificar fàcilment un sol pas en fals i convertir-lo en una greu fuita de credencials.
Finalment, hi ha una pressió creixent sobre les organitzacions per tal que fer un seguiment de la procedència dels commits assistits per IAA mesura que els agents escriuen o modifiquen més codi del món, els reguladors i els auditors poden esperar raonablement polítiques de divulgació clares, un registre robust i maneres de verificar l'origen de la lògica crítica, especialment en dominis sensibles o regulats.
En conjunt, aquests suggeriments reflecteixen un canvi de tractar els agents d'IA com una simple eina de desenvolupament a reconèixer-los com a infraestructura bàsica amb els seus propis models d'amenaces dedicats, vulnerabilitats de la cadena de subministrament i necessitats de governança.
En definitiva, la filtració del Claude Code a través de npm és menys una història sobre un únic llançament defectuós i més sobre com Petits errors familiars en les pipelines de programari modernes poden remodelar el panorama competitiu i de seguretat al voltant de la IA. Ara que el manual intern de l'agent ja és públic, Anthropic i els seus competidors s'enfronten a una pressió creixent per endurir els seus fluxos de publicació, repensar quanta lògica exposen a la vora i construir cultures on les minucies de la configuració rebin tant escrutini com qualsevol arquitectura de models d'avantguarda.
