Anthropic sendte ved et uhell hele kildekoden til Claude Code CLI i en offentlig npm-pakke, og eksponerte omtrent 512 000 linjer TypeScript for alle som fulgte med.
Anthropic kildekodelekkasje 2026: Claude Code CLI eksponert via npm-kildekartfeil
SKREVET AV
DEL
Claude Code npm-lekkasje avslører ikke-utgitte funksjoner, inkludert KAIROS, BUDDY og agent-svermer
Selskapet bekreftet hendelsen 31. mars 2026 i samtale med Venture Beat, og tilskrev den menneskelig feil i pakkingsprosessen ved utgivelse. Versjon 2.1.88 av @anthropic-ai/claude-code ble sendt med en 59,8 MB stor JavaScript source map-fil. I praksis et feilsøkingsartefakt som kartla minifisert produksjonskode tilbake til den opprinnelige TypeScript-koden, og som pekte direkte til et offentlig tilgjengelig zip-arkiv som lå i Anthropics egen Cloudflare R2-lagringsbøtte.
Ingen trengte å hacke noe. Filen lå bare der.
Sikkerhetsforskeren Chaofan Shou, praktikant i blokkjede-sikkerhetsfirmaet Fuzzland, oppdaget problemet og postet den direkte lenken til bøtta på X. I løpet av timer dukket det opp speilrepoer på Github, noen samlet titusenvis av stjerner før Anthropics DMCA-nedtakinger traff. Medlemmer av miljøet hadde allerede begynt å fjerne telemetri, slå på skjulte feature-flagg og utarbeide «clean-room»-reimplementasjoner i Python og Rust for å omgå opphavsrettslige bekymringer.
Rotårsaken var enkel: Bun sin bundler genererer source maps som standard, og ingen byggesteg ekskluderte eller deaktiverte feilsøkingsartefaktet før publisering. En manglende oppføring i .npmignore eller i files-feltet i package.json ville ha forhindret hele greia.
Det utviklere fant inni var detaljert. De ~1 900 TypeScript-filene dekket logikk for verktøyutførelse, tillatelsesskjemaer, minnesystemer, telemetri, systemprompter og feature-flagg — et fullt ingeniørmessig innblikk i hvordan Anthropic bygger et agentisk kodeverktøy i produksjonskvalitet. Telemetri skanner prompter for banning som et frustrasjonssignal, men logger ikke hele brukersamtaler eller kode. En «undercover mode» instruerer AI-en til å fjerne referanser til interne kodenavn og prosjektdetaljer fra git-commits og pull requests.
Flere ikke-utgitte funksjoner lå bak flagg. KAIROS beskrives som en alltid-på bakgrunnsdaemon som overvåker filer, logger hendelser og kjører en «dreaming»-prosess for minnekonsolidering i ledig tid. BUDDY er et terminalkjæledyr med 18 arter — inkludert capybara — som har stats som DEBUGGING, PATIENCE og CHAOS. COORDINATOR MODE lar én enkelt agent starte og administrere parallelle arbeideragenter. ULTRAPLAN planlegger 10- til 30-minutters eksterne planleggingsøkter med flere agenter.
Anthropic sa til Venture Beat at hendelsen ikke involverte sensitive kundedata, ingen legitimasjon, og ingen kompromittering av modellvekter eller inferensinfrastruktur. «Dette var et utgivelsespakkingsproblem forårsaket av menneskelig feil», sa selskapet, og la til at det ruller ut tiltak for å hindre gjentakelse.
Disse tiltakene kan måtte komme raskt. Dette er andre gang den samme feilen har skjedd. En nesten identisk source-map-lekkasje oppstod med en tidligere versjon av Claude Code i februar 2025.
31. mars-hendelsen kom også samtidig med et separat npm-forsyningskjedeangrep på axios-pakken, aktivt mellom 00:21 og 03:29 UTC. Utviklere som installerte eller oppdaterte Claude Code via npm i det tidsrommet, rådes til å revidere avhengighetene sine og rotere legitimasjon. Anthropic anbefaler sin native installer fremfor npm framover.
Kontekst er viktig her. Fem dager tidligere, 26. mars, eksponerte en CMS-feilkonfigurasjon hos Anthropic omtrent 3 000 interne filer som dekket detaljer om den ikke-utgitte «Claude Mythos»-modellen, også tilskrevet menneskelig feil. To betydelige utilsiktede avsløringer på under en uke reiser spørsmål om utgivelseshygiene i et selskap hvis verktøy aktivt brukes til å skrive og sende kode i stor skala.
Føderal dommer hindrer Pentagon i å stemple Anthropic som en trussel mot nasjonal sikkerhet
En føderal dommer blokkerte Pentagons forbud mot Anthropics KI, og slo fast at nasjonalsikkerhetsklassifiseringen sannsynligvis brøt med det første grunnlovstillegget. read more.
Les nå
Føderal dommer hindrer Pentagon i å stemple Anthropic som en trussel mot nasjonal sikkerhet
En føderal dommer blokkerte Pentagons forbud mot Anthropics KI, og slo fast at nasjonalsikkerhetsklassifiseringen sannsynligvis brøt med det første grunnlovstillegget. read more.
Les nåFøderal dommer hindrer Pentagon i å stemple Anthropic som en trussel mot nasjonal sikkerhet
Les nåEn føderal dommer blokkerte Pentagons forbud mot Anthropics KI, og slo fast at nasjonalsikkerhetsklassifiseringen sannsynligvis brøt med det første grunnlovstillegget. read more.
Den lekkede kildekoden forblir tilgjengelig i arkiverte og speilede former til tross for aktiv håndheving av nedtaking. Anthropic har ikke publisert en bredere post-mortem eller en offentlig uttalelse utover kommentaren til Venture Beat.
Ingen brukerdata ble eksponert. De sentrale Claude-modellene er ikke påvirket. Blueprinten for å bygge en konkurrent til Claude Code er imidlertid nå betydelig enklere å sette sammen.
FAQ 🔎
- Q: Var lekkasjen av Claude Code-kildekoden et hack? Nei — Anthropic bekreftet at eksponeringen var en pakkefeil, ikke et sikkerhetsbrudd eller uautorisert tilgang.
- Q: Hva ble faktisk eksponert i Anthropics npm-lekkasje? Omtrent 512 000 linjer TypeScript som dekker Claude Code CLI, inkludert telemetri, feature-flagg, skjulte funksjoner og agentarkitektur — ikke modellvekter eller kundedata.
- Q: Er dataene mine i fare på grunn av Claude Code npm-hendelsen? Anthropic sier at ingen brukerdata eller legitimasjon ble eksponert; utviklere som installerte via npm under det samtidige tidsvinduet for axios-forsyningskjedeangrepet bør revidere avhengigheter og rotere legitimasjon.
- Q: Har Anthropic lekket kildekode før? Ja — en nesten identisk source-map-lekkasje som involverte en tidligere Claude Code-versjon skjedde i februar 2025, noe som gjør dette til den andre slike hendelsen på omtrent 13 måneder.
