Anthropic ha accidentalmente pubblicato il codice sorgente completo della sua CLI Claude Code all'interno di un pacchetto npm pubblico, rendendo accessibili a chiunque fosse interessato circa 512.000 righe di Typescript.
Fuga di codice sorgente di Anthropic nel 2026: il codice CLI di Claude reso pubblico a causa di un errore nella mappa sorgente di npm
SCRITTO DA
CONDIVIDI
La fuga di Claude Code su npm rivela funzionalità inedite tra cui KAIROS, BUDDY e Agent Swarms
L'azienda ha confermato l'incidente il 31 marzo 2026, parlando con Venture Beat, attribuendolo a un errore umano nel processo di pacchettizzazione del rilascio. La versione 2.1.88 di @anthropic-ai/claude-code è stata distribuita con un file di mappa sorgente Javascript da 59,8 MB. Si trattava fondamentalmente di un artefatto di debug che mappava il codice di produzione minificato al Typescript originale, il quale puntava direttamente a un archivio zip accessibile pubblicamente presente sul bucket di archiviazione Cloudflare R2 di Anthropic. Nessuno ha dovuto hackerare nulla. Il file era semplicemente lì.
Il ricercatore di sicurezza Chaofan Shou, stagista presso la società di sicurezza blockchain Fuzzland, ha individuato il problema e ha pubblicato il link diretto al bucket su X. Nel giro di poche ore, su GitHub sono comparsi repository mirrorati, alcuni dei quali hanno accumulato decine di migliaia di stelle prima che Anthropic intervenisse per rimuoverli in base al DMCA. I membri della comunità avevano già iniziato a estrarre i dati di telemetria, a attivare flag di funzionalità nascosti e a redigere bozze di reimplementazioni "clean-room" in Python e Rust per aggirare le preoccupazioni relative al copyright. La causa principale era semplice: il bundler di Bun genera mappe sorgente per impostazione predefinita e nessuna fase di compilazione ha escluso o disabilitato l'artefatto di debug prima della pubblicazione. Una voce mancante in .npmignore o nel campo files di package.json avrebbe impedito l'intero evento.
Ciò che gli sviluppatori hanno trovato all'interno era dettagliato. I circa 1.900 file Typescript coprivano la logica di esecuzione degli strumenti, gli schemi di autorizzazione, i sistemi di memoria, la telemetria, i prompt di sistema e i flag delle funzionalità: una visione ingegneristica completa di come Anthropic costruisce uno strumento di codifica agentico di livello produttivo. La telemetria analizza i prompt alla ricerca di parolacce come segnale di frustrazione, ma non registra le conversazioni complete degli utenti né il codice. Una "modalità sotto copertura" istruisce l'IA a rimuovere i riferimenti ai nomi in codice interni e ai dettagli del progetto dai commit git e dalle pull request. Diverse funzionalità non ancora rilasciate erano nascoste dietro dei flag. KAIROS è descritto come un demone in background sempre attivo che monitora i file, registra gli eventi ed esegue un processo di consolidamento della memoria "onirico" durante i periodi di inattività. BUDDY è un animale domestico da terminale con 18 specie — tra cui il capibara — dotato di statistiche come DEBUGGING, PATIENCE e CHAOS. La MODALITÀ COORDINATORE consente a un singolo agente di generare e gestire agenti di lavoro paralleli. ULTRAPLAN programma sessioni di pianificazione multi-agente remote da 10 a 30 minuti.
Anthropic ha dichiarato a Venture Beat che l'incidente non ha coinvolto dati sensibili dei clienti, credenziali né ha compromesso i pesi dei modelli o l'infrastruttura di inferenza. "Si è trattato di un problema di packaging del rilascio causato da un errore umano", ha affermato l'azienda, aggiungendo che sta implementando misure per evitare il ripetersi dell'accaduto.
Tali misure potrebbero dover essere attuate rapidamente. Questa è la seconda volta che si verifica lo stesso errore. Una fuga di mappe sorgente quasi identica si è verificata con una versione precedente di Claude Code nel febbraio 2025.
L'incidente del 31 marzo si è verificato in concomitanza con un attacco separato alla catena di fornitura npm sul pacchetto axios, attivo tra le 00:21 e le 03:29 UTC. Si consiglia agli sviluppatori che hanno installato o aggiornato Claude Code tramite npm durante quella finestra temporale di verificare le proprie dipendenze e di cambiare le credenziali. Anthropic raccomanda di utilizzare il proprio programma di installazione nativo anziché npm in futuro.
Il contesto è importante in questo caso. Cinque giorni prima, il 26 marzo, un errore di configurazione del CMS presso Anthropic ha esposto circa 3.000 file interni contenenti dettagli sul modello inedito "Claude Mythos", anch'esso attribuito a un errore umano. Due significative divulgazioni accidentali in meno di una settimana sollevano interrogativi sulla sicurezza delle versioni in un'azienda i cui strumenti sono attivamente utilizzati per scrivere e distribuire codice su larga scala.
Un giudice federale impedisce al Pentagono di definire Anthropic una minaccia alla sicurezza nazionale
Un giudice federale ha bloccato il divieto imposto dal Pentagono sull'intelligenza artificiale di Anthropic, stabilendo che la qualificazione come questione di sicurezza nazionale probabilmente violava il Primo Emendamento. read more.
Leggi ora
Un giudice federale impedisce al Pentagono di definire Anthropic una minaccia alla sicurezza nazionale
Un giudice federale ha bloccato il divieto imposto dal Pentagono sull'intelligenza artificiale di Anthropic, stabilendo che la qualificazione come questione di sicurezza nazionale probabilmente violava il Primo Emendamento. read more.
Leggi oraUn giudice federale impedisce al Pentagono di definire Anthropic una minaccia alla sicurezza nazionale
Leggi oraUn giudice federale ha bloccato il divieto imposto dal Pentagono sull'intelligenza artificiale di Anthropic, stabilendo che la qualificazione come questione di sicurezza nazionale probabilmente violava il Primo Emendamento. read more.
Il codice sorgente trapelato rimane disponibile in forma archiviata e duplicata nonostante l'applicazione attiva delle misure di rimozione. Anthropic non ha pubblicato un'analisi post-mortem più ampia né una dichiarazione pubblica oltre al commento rilasciato a Venture Beat. Nessun dato degli utenti è stato esposto. I modelli Claude principali non sono stati interessati. Il progetto per la creazione di un concorrente di Claude Code, tuttavia, è ora notevolmente più facile da realizzare.
FAQ 🔎
- D: La fuga del codice sorgente di Claude Code è stata un attacco hacker? No — Anthropic ha confermato che l'esposizione è stata causata da un errore di packaging, non da una violazione della sicurezza o da un accesso non autorizzato.
- D: Cosa è stato effettivamente esposto nella fuga di Anthropic su npm? Circa 512.000 righe di TypeScript relative alla CLI di Claude Code, inclusi telemetria, flag di funzionalità, funzionalità nascoste e architettura degli agenti — non i pesi dei modelli o i dati dei clienti.
- D: I miei dati sono a rischio a causa dell'incidente npm di Claude Code? Anthropic afferma che nessun dato utente o credenziale è stato esposto; gli sviluppatori che hanno effettuato l'installazione tramite npm durante la finestra di attacco alla catena di approvvigionamento di axios dovrebbero verificare le dipendenze e aggiornare le credenziali.
- D: Anthropic ha già divulgato codice sorgente in passato? Sì: nel febbraio 2025 si è verificata una fuga di mappe sorgente quasi identica che ha coinvolto una versione precedente di Claude Code, rendendo questo il secondo incidente di questo tipo in circa 13 mesi.
