افشای کد منبع Anthropic در ۲۰۲۶: نمایان شدن Claude Code CLI از طریق خطای Source Map در npm

افشای npmِ Claude Code قابلیت‌های منتشرنشده‌ای از جمله KAIROS، BUDDY و ازدحام عامل‌ها را آشکار می‌کند

این شرکت در گفت‌وگو با Venture Beat این رخداد را در ۳۱ مارس ۲۰۲۶ تأیید کرد و آن را به خطای انسانی در فرایند بسته‌بندی انتشار نسبت داد. نسخهٔ 2.1.88 از @anthropic-ai/claude-code همراه با یک فایل sourcemap جاوااسکریپت ۵۹٫۸ مگابایتی عرضه شد؛ در اصل یک مصنوعِ دیباگ که کد تولیدیِ مینیفای‌شده را به TypeScript اصلی نگاشت می‌کرد و مستقیماً به یک آرشیو zip با دسترسی عمومی اشاره داشت که روی باکت Cloudflare R2 خودِ Anthropic قرار داشت.

هیچ‌کس لازم نبود چیزی را هک کند. فایل همان‌جا بود.

پژوهشگر امنیتی چائوفان شو (Chaofan Shou)، کارآموز شرکت امنیت بلاک‌چین Fuzzland، مشکل را مشاهده کرد و لینک مستقیم باکت را در X منتشر کرد. طی چند ساعت، مخازن آینه‌شده روی Github ظاهر شدند و برخی پیش از آن‌که حذف‌های DMCAِ Anthropic اعمال شود، ده‌ها هزار ستاره جمع کردند. اعضای جامعه پیشاپیش شروع کرده بودند تله‌متری را حذف کنند، فلگ‌های قابلیت‌های پنهان را فعال کنند و پیاده‌سازی‌های مجددِ clean-room در پایتون و راست را برای دور زدن دغدغه‌های کپی‌رایت تدوین کنند.

علت ریشه‌ای ساده بود: باندلر Bun به‌صورت پیش‌فرض sourcemap تولید می‌کند و هیچ گام بیلدی این مصنوعِ دیباگ را پیش از انتشار کنار نگذاشته یا غیرفعال نکرده بود. یک ورودیِ جاافتاده در .npmignore یا فیلد files در package.json می‌توانست از کل این ماجرا جلوگیری کند.

آنچه توسعه‌دهندگان درون آن یافتند جزئیات زیادی داشت. حدود ۱٬۹۰۰ فایل TypeScript منطق اجرای ابزار، شِماهای مجوز، سیستم‌های حافظه، تله‌متری، پرامپت‌های سیستمی و فلگ‌های قابلیت را پوشش می‌داد — یک نمای مهندسی کامل از این‌که Anthropic چگونه یک ابزار کدنویسی عامل‌محورِ در سطح تولید می‌سازد. تله‌متری، پرامپت‌ها را برای الفاظ رکیک به‌عنوان سیگنالِ ناامیدی اسکن می‌کند، اما مکالمات کامل کاربر یا کد را لاگ نمی‌کند. «حالت مخفی» به هوش مصنوعی دستور می‌دهد ارجاع به کدنیم‌های داخلی و جزئیات پروژه را از کامیت‌ها و پول‌ریکوئست‌های گیت حذف کند.

چندین قابلیت منتشرنشده پشت فلگ‌ها قرار داشت. KAIROS به‌عنوان یک دیمونِ پس‌زمینهٔ همیشه‌فعال توصیف شده که فایل‌ها را زیر نظر می‌گیرد، رویدادها را ثبت می‌کند و در زمان بیکاری یک فرایند «رویاپردازی» برای تثبیت حافظه اجرا می‌کند. BUDDY یک حیوان خانگیِ ترمینال با ۱۸ گونه — از جمله کاپیبارا — است که آمارهایی مانند DEBUGGING، PATIENCE و CHAOS را حمل می‌کند. COORDINATOR MODE به یک عامل واحد اجازه می‌دهد عامل‌های کارگر موازی را ایجاد و مدیریت کند. ULTRAPLAN جلسات برنامه‌ریزی چندعاملیِ از راه دورِ ۱۰ تا ۳۰ دقیقه‌ای را زمان‌بندی می‌کند.

Anthropic به Venture Beat گفت این رخداد شامل هیچ دادهٔ حساس مشتری، هیچ اعتبارنامه‌ای، و هیچ به‌خطر افتادن وزن‌های مدل یا زیرساخت استنتاج نبوده است. شرکت گفت: «این یک مشکل بسته‌بندی انتشار ناشی از خطای انسانی بود» و افزود که در حال اعمال اقداماتی برای جلوگیری از تکرار آن است.

این اقدامات شاید لازم باشد سریع انجام شوند. این دومین بار است که همان اشتباه رخ می‌دهد. یک افشای sourcemap تقریباً مشابه در فوریهٔ ۲۰۲۵ با نسخه‌ای قدیمی‌تر از Claude Code اتفاق افتاد.

رخداد ۳۱ مارس همچنین هم‌زمان با یک حملهٔ زنجیرهٔ تأمین جداگانه در npm روی بستهٔ axios بود که بین 00:21 و 03:29 به وقت UTC فعال بود. به توسعه‌دهندگانی که در آن بازه Claude Code را از طریق npm نصب یا به‌روزرسانی کرده‌اند توصیه می‌شود وابستگی‌های خود را ممیزی کنند و اعتبارنامه‌ها را بچرخانند (rotate). Anthropic توصیه می‌کند از این پس نصب‌کنندهٔ بومی آن را به‌جای npm استفاده کنید.

زمینه در اینجا مهم است. پنج روز قبل‌تر، در ۲۶ مارس، یک پیکربندی نادرست CMS در Anthropic حدود ۳٬۰۰۰ فایل داخلی را که جزئیات مربوط به مدل منتشرنشدهٔ «Claude Mythos» را پوشش می‌داد آشکار کرد؛ آن هم منتسب به خطای انسانی. دو افشای تصادفی مهم در کمتر از یک هفته پرسش‌هایی را دربارهٔ بهداشت انتشار در شرکتی مطرح می‌کند که ابزارهایش به‌طور فعال برای نوشتن و عرضهٔ کد در مقیاس استفاده می‌شوند.

کد منبع افشاشده، علی‌رغم اجرای فعالِ حذف‌ها، همچنان به‌صورت آرشیوشده و آینه‌شده در دسترس باقی مانده است. Anthropic فراتر از اظهار نظرش به Venture Beat، پست‌مرگ (post-mortem) گسترده‌تر یا بیانیهٔ عمومی منتشر نکرده است.

هیچ دادهٔ کاربری افشا نشد. مدل‌های اصلی Claude تحت تأثیر نیستند. با این حال، نقشهٔ ساختن یک رقیب برای Claude Code اکنون به‌طور قابل‌توجهی آسان‌تر برای سرهم کردن است.

سؤالات متداول 🔎

• س: آیا افشای کد منبع Claude Code یک هک بود؟ خیر — Anthropic تأیید کرد که این افشا ناشی از خطای بسته‌بندی بوده، نه نقض امنیتی یا دسترسی غیرمجاز.
• س: در افشای npmِ Anthropic دقیقاً چه چیزی افشا شد؟ تقریباً ۵۱۲٬۰۰۰ خط TypeScript که Claude Code CLI را پوشش می‌دهد، از جمله تله‌متری، فلگ‌های قابلیت، قابلیت‌های پنهان و معماری عامل‌ها — نه وزن‌های مدل یا دادهٔ مشتری.
• س: آیا داده‌های من در رخداد npmِ Claude Code در معرض خطر است؟ Anthropic می‌گوید هیچ دادهٔ کاربر یا اعتبارنامه‌ای افشا نشده است؛ توسعه‌دهندگانی که در بازهٔ حملهٔ هم‌زمان زنجیرهٔ تأمین axios از طریق npm نصب کرده‌اند باید وابستگی‌ها را ممیزی کنند و اعتبارنامه‌ها را بچرخانند.
• س: آیا Anthropic قبلاً هم کد منبع را افشا کرده است؟ بله — یک افشای sourcemap تقریباً مشابه مربوط به نسخه‌ای قدیمی‌تر از Claude Code در فوریهٔ ۲۰۲۵ رخ داد و این مورد را به دومین رخداد از این نوع در حدود ۱۳ ماه تبدیل می‌کند.