- „Claude Code 2.1.88“ paketas „npm“ netyčia išsiuntė didžiulį šaltinio žemėlapį, kuriame buvo apie 512 000 vidinio „TypeScript“ eilučių.
- Nutekėjimą sukėlė žmogiškoji klaida pakavimo procese, o ne tiesioginė kibernetinė ataka, tačiau vis tiek buvo atskleista architektūra, saugumo logika ir neišleistos funkcijos.
- Tyrėjai greitai pakartojo kodą, atskleisdami tokius modulius kaip KAIROS, BUDDY, slaptus režimus, kelių agentų orkestravimą ir trijų sluoksnių atminties sistemą.
- Šis incidentas kelia rimtą tiekimo grandinės, įsilaužimo ir klonavimo riziką bei daro spaudimą „Anthropic“ ir kitiems dirbtinio intelekto tiekėjams sustiprinti leidybos darbo eigą.
Atsitiktinis Claude'o Code'o vidinio šaltinio atskleidimas per npm įprastas išleidimas tapo vienu labiausiai aptarinėjamų dirbtinio intelekto saugumo incidentų pastaraisiais metais. Tai, kas prasidėjo kaip pakavimo klaida, susijusi su „JavaScript“ šaltinio žemėlapiu, baigėsi... įterpiant šimtus tūkstančių „Anthropic“ tipografinio kodo eilučių į tyrėjų, konkurentų ir oportunistinių užpuolikų rankas visame pasaulyje.
Vietoj klasikinio pažeidimo, susijusio su perimetro apsauga ar pavogtais įgaliojimais, šis atvejis parodo, kaip paprasta žmogiškoji klaida programinės įrangos leidyboje gali atskleisti itin jautrią intelektinę nuosavybę. Nutekėjusi informacija neapima modelių svorių ar klientų duomenų, tačiau atskleidžia vieno iš pažangiausių sistemų vidinį veikimą. agentinio kodavimo asistentai rinkoje – nuo atminties sistemų ir saugos filtrų iki eksperimentinių funkcijų, kurios dar niekada nebuvo skirtos viešai prieinamoms.
Chronologija: nuo npm išleidimo iki visuotinės replikacijos
Incidentas susijęs su npm paketu @anthropic-ai/claude-code, konkrečiai versija 2.1.88Kitaip tariant, standartinio leidimo metu „Anthropic“ išleido Maždaug 60 MB dydžio „JavaScript“ šaltinio žemėlapio failas (dažniausiai vadinamas cli.js.map) kartu su sumažintu CLI paketu. Užuot pašalintas iš gamybinio artefakto, tas žemėlapis išlaikė sourcesContent laukas, kuris efektyviai įterpė originalų „TypeScript“ kodą.
Dėl šios neapsižiūros kiekvienas, paėmęs siuntinį, galėjo rekonstruoti maždaug 1,900 failų ir daugiau nei 500 000 „TypeScript“ eilučių, atskleidžiant CLI komandų maršrutizavimą, įrankių orkestravimą, telemetrijos logiką, saugos patikrinimus ir vidinius raginimus. Žemėlapyje taip pat buvo nurodytas viešai pasiekiamas ZIP archyvas „Anthropic“ sukurtas „Cloudflare R2“ sandėliavimo kibiras, o tai reiškė, kad nereikėjo jokio įsilaužimo: failas tiesiog buvo ten, prieinamas internetui.
Problemą pirmiausia pabrėžė saugumo tyrėjas Chaofanas Shou (@Fried_rice), blokų grandinės saugumo įmonės „Fuzzland“ bendradarbis, kuris paskelbė tiesioginę nuorodą į paviešintą „X“ kibirą. Per kelias valandas veidrodinės saugyklos pasirodė „GitHub“, kai kurie sparčiai pritraukė dešimtis tūkstančių žvaigždžių, nes kūrėjai suskubo klonuoti ir patikrinti kodą, kol jis nedingo.
Antropinė reakcija ištraukiama paveikta npm versija ir pradėjo DMCA pašalinimo užklausų bangą, nukreiptą į „GitHub“ ir kitas prieglobos platformas. Nepaisant to, iki pašalinimo kampanijos pradžios daugybė kopijų jau buvo archyvuotos, sugrupuotos ir perplatintos, todėl visiškai atšaukti medžiagą buvo praktiškai neįmanoma.
Kaip pakuotės trikdis susprogdino pavyzdinio dirbtinio intelekto agento veiklą
Ant lapo, publikuoti naują Claude'o kodo versiją npm platformoje turėtų būti įprasta užduotis: įterpti sumažintą „JavaScript“ paketą, įtraukti tik tai, kas būtina, ir pasikliauti konfigūracijos failais (pvz., .npmignore arba files lauke package.json), kad derinimo artefaktai nebūtų galutiniame pakete.
Šiuo atveju keli maži pasirinkimai susidėliojo visiškai neteisinga linkme. Kūrimo srautas naudojo Bandelių rišiklis, kuris pagal numatytuosius nustatymus generuoja šaltinio žemėlapiusJoks vėlesnis kompiliavimo ar pakavimo srauto žingsnis nepašalino šio žemėlapio ir a netinkamai sukonfigūruotas ignoruojamų sąrašas reiškė, kad žemėlapis buvo išsiųstas tiesiai į viešąjį registrą. Nuo tada npm atvira, globaliai veidrodinė prigimtis atliko visa kita.
Antropomorfas pabrėžė, kad jokių jautrių klientų duomenų, kredencialų ar modelių svorių buvo nutekėjimo dalis. Tai buvo gryna pakavimo problema: derinimo metaduomenys, skirti vidiniam trikčių šalinimui, buvo netyčia sujungti į gamybinę versiją. Toks formulavimas yra tikslus siaurai saugumo požiūriu, tačiau jis nepakankamai atspindi, kiek strateginės informacijos yra šiuolaikinio dirbtinio intelekto agento kodo bazėje.
Dar labiau komplikavo reikalus tai, kad ne pirmas kartas kažkas panašaus buvo nutikę. Pranešama, kad labai panašus šaltinio žemėlapio nutekėjimas paveikė ankstesnę Claude'o kodo versiją vasaris 2025Du beveik identiški incidentai per maždaug 13 mėnesių neišvengiamai kelia klausimų apie tai, kaip griežtai „Anthropic“ užtikrina apsauginius turėklus savo išleidimo vamzdynuose.
Ką iš tikrųjų atskleidžia nutekėjęs Claude'o kodas
Kai tyrėjai ir kūrėjai pradėjo peržiūrėti atkurtus failus, tapo aišku, kad tai nebuvo paviršutiniškas žvilgsnis į kai kuriuos pagalbinius scenarijus, o... pilnas Claude'o Code'o CLI architektūrinis skerspjūvis„TypeScript“ medis apima maždaug pusę milijono eilučių ir apima:
- Įrankio vykdymas ir orkestravimas: kaip Claude Code planuoja, seka ir iškviečia įrankius, apvalkalus ir išorines paslaugas.
- Leidimų schemos ir smėlio dėžės taisyklės: tiksli logika, kuri nusprendžia, kurios komandos gali būti vykdomos, su kokiais parametrais ir kuriose aplinkose.
- Atminties sistemos ir konteksto valdymas: strategijos, kaip valdyti ilgai trunkančius seansus neprarandant nuoseklumo.
- Telemetrija ir analizė: kas išmatuojama, apibendrinama ir siunčiama atgal į „Anthropic“.
- Sistemos raginimai ir funkcijų žymės: paslėptos instrukcijos, kurios formuoja agento elgesį ir perjungia eksperimentines galimybes.
Bendruomenės analizės pabrėžė trijų sluoksnių atminties dizainas sutelktas į failą, dažnai apibūdinamą kaip MEMORY.mdUžuot neribotą laiką registravęs neapdorotą sąveikos istoriją, Claude'as Code'as teigia, kad indeksuota, temomis pagrįsta nuorodų struktūraAgentas konsultuojasi su tuo indeksu, kai jam reikia prisiminti ankstesnį darbą, įtraukdamas tik tuos fragmentus, kurie yra svarbūs dabartinei užduočiai, ir laikydamasis griežtų rašymo taisyklių, kad sumažintų konteksto dreifą ir savęs sugadinimą.
Toks „atminties su sveiku skepticizmu“ metodas padeda sušvelninti Ilgai trunkančių pokalbių entropija, kur naivus konteksto kaupimas kitaip sukeltų agento nenuoseklumą arba haliucinacijas. Kitoms komandoms, kuriančioms agentinius įrankius, nutekėjimas iš esmės yra nemokama meistriškumo klasė apie atminties orkestravimą gamybinėje aplinkoje.
Šaltinis taip pat atskleidžia įvairius vidinius telemetrijos kabliukus. Tarp jų yra logika, kad vėliavos nusivylimo signalai – pavyzdžiui, ieškant keiksmažodžių raginimuose – neišsaugojant pilnų naudotojų pokalbių ar kodų bazių. Kitas vertas dėmesio elementas yra „Slaptas“ arba slaptas režimas sukurta taip, kad iš „git commit“ ir „pull request“ būtų pašalinti vidiniai projekto kodiniai pavadinimai ir kiti jautrūs identifikatoriai, kad dirbtinio intelekto parašyti įnašai netyčia nenutekėtų nuosavybės teise saugomos informacijos.
Be sistemų, jau matomų produkte, kodo bazės nuorodos neišleistas arba paslėptas funkcionalumas valdoma funkcijų vėliavėlėmis: foninio veikimo režimai, kelių agentų koordinavimas ir net žaismingi vartotojo sąsajos elementai, pavyzdžiui, terminalo kompanionai.
Neišleisti moduliai: KAIROS, BUDDY ir daugiaagentiai spiečiai
Kai kurie labiausiai dėmesį patraukiantys atradimai susiję su galimybėmis, apie kurias „Anthropic“ dar nebuvo viešai paskelbusi, o dabar jos atskleidžiamos išsamiai ir inžineriškai. Vienas iš išskirtinių modulių yra Kairos, aprašytas komentaruose ir konfigūracijoje kaip nuolat veikiantis foninis demonas kuris stebi failų pakeitimus, registruoja įvykius ir atlieka vadinamąjį svajonė Arba „onirinis“ konsolidavimas atliekamas, kai vartotojas yra neaktyvus.
Praktiškai KAIROS, regis, suteikia Claude'ui Code'ui kažką panašaus į „visada įjungta“ autonomijaUžuot pasyviai laukęs komandų, agentas gali periodiškai atsibusti, iš naujo indeksuoti savo supratimą apie kodo bazę, išvalyti atminties struktūras ir parengti geresnius planus būsimiems darbo seansams. Komandoms, eksperimentuojančioms su visiškai autonominiais agentais, tai iš esmės atskleidžia „Anthropic“ ilgalaikių, foninių darbuotojų planą.
Dar viena funkcija, kuri greitai užvaldė interneto vaizduotę, yra BIGULAS, kode pavaizduota kaip savotiška terminalo pusės talismanasĮgyvendinimas apima 18 skirtingų „rūšių“ – viena iš jų yra kapibara – taip pat žaismingą statistiką, tokią kaip DEBUGGING, PATIENCE bei CHAOSNors iš pirmo žvilgsnio atrodo keista, BUDDY atkreipia dėmesį į „Anthropic“ eksperimentus su išraiškingesnėmis, emociškai sąmoningesnėmis kūrėjų patirtimis.
Rimtesnėje spektro pusėje yra daugiaagentinio bendradarbiavimo architektūra. Viduje aprašoma tokiomis konstrukcijomis kaip KOORDINATORIAUS režimas bei ULTRAPLAN sesijos, ši sistema leidžia pagrindiniam agentui sukurti ir prižiūrėti darbuotojų agentų laivynus lygiagrečiai. Dokumentacijos fragmentuose minimi nuotoliniai planavimo susitikimai tarp agentų, trunkantys nuo 10 iki 30 minučių, o tai rodo modelį, kuriame Claude'as Code'as gali suskaidyti didelę užduotį, deleguoti dalines užduotis padėjėjams ir tada sujungti rezultatus.
Taip pat yra užuominų apie vis dar kuriamus modulius ir modelių variantus, įskaitant nuorodas į vidinius pavadinimus, tokius kaip Kapibara, įrėmintos kaip „Claude 4.x“ šeimos evoliucijos. Kode įterptos metrikos minimos klaidingai teigiamų rezultatų rodiklis svyruoja apie 29–30 % kai kurioms saugos ar aptikimo sistemoms, palyginti su maždaug 16.7 % ankstesniuose etapuose – tai atviri skaičiai, kurie paprastai liktų inžineriniuose ataskaitų suvestinėse.
Šie radiniai kartu paėmus paverčia nutekėjusį medį „Anthropic“ agentų strategijos veiksmų plano lygio apžvalgakur įmonė mato naudingos autonomijos ribas, kaip ji nori, kad agentai bendradarbiautų, ir su kokiais kompromisais šiuo metu kovoja.
Įkalinimo sistemos pažeidimai, klonai ir tiekimo grandinės pasekmės
Net jei nebuvo atskleisti jokie slaptažodžiai ar prieigos raktai, saugumo specialistai toli gražu nėra atsipalaidavę. Turint visą komandinės eilutės sąsajos logiką rankose, tampa daug lengviau atvirkštinės inžinerijos būdu sukurti Claude'o Code'o apsauginius turėklus ir tyrinėti aplink juos esančius kelius. Tai, kas anksčiau buvo juodoji dėžė, dabar yra nuoseklus receptas, kaip įrankis analizuoja komandas, taiko filtrus ir nusprendžia, ar ką nors saugu paleisti vartotojo terminale.
Tas skaidrumas gali būti dviašmenis kardas. Viena vertus, gynybos tyrėjai dabar gali atlikti precedento neturintį saugos modelio auditą ir siūlyti apsaugos nuo pažeidimų strategijas. Kita vertus, užpuolikai gali kruopščiai kurti raginimus ir konteksto manipuliacijas, kad praskleisti kenkėjiškas instrukcijas pro Bash validatorius, išnaudoti subtilius skirtumus tarp leidimų sluoksnių arba įkalbėti agentą atlikti veiksmus, kurių jis niekada neturėjo atlikti.
Glaudžiai susijęs nerimas yra padidėjęs kenkėjiški arba padirbti klonaiTurint paruoštą gamybai kodo bazę, motyvuotam veikėjui nesunku pašalinti prekės ženklą ir telemetriją, įdiegti užpakalines duris ar duomenų nutekėjimo logiką ir paskelbti beveik identišką paketą šiek tiek pakeistu pavadinimu. Kūrėjams, kurie automatiškai diegia npm įrankius, rizika įdiegti užkrėstą „Claude'o tipo“ agentą dabar yra žymiai didesnė.
Nutekėjimo laikas sustiprino šiuos nuogąstavimus. Maždaug tuo pačiu metu npm susidūrė su nepriklausoma tiekimo grandinės ataka prieš populiarųjį axios paketas, o kenkėjiškos versijos veikia maždaug nuo 00:21 iki 03:29 UTC. Šis lygiagretus incidentas pabrėžė, kokia trapi gali būti „JavaScript“ ekosistema, kai kalbama apie pasitikėjimą priklausomybėmis.
Komandoms, kurios per tą laikotarpį įdiegė arba atnaujino „Claude Code“ per „npm“, skirtos saugumo gairės buvo aiškios: audituokite savo priklausomybių medį, ypač tokiems paketams kaip axios bei plain-crypto-js; keisti kredencialus, kurie galėjo būti paveiktose sistemose; ir atidžiai stebėti anomalų elgesį. „Anthropic“ savo ruožtu aiškiai pasiūlė pirmenybę teikiant vietiniam diegimo įrenginiui, o ne npm einant į priekį, siekiant sumažinti atakos paviršių.
Oficialus „Anthropic“ atsakymas ir DMCA spaudimas
Kai pasirodė žinia apie nutekėjimą, „Anthropic“ greitai ėmėsi veiksmų, kad suformuotų naratyvą. Komentaruose, pateiktuose tokioms žiniasklaidos priemonėms kaip „TecMundo“ ir „VentureBeat“, bendrovė pabrėžė, kad Tai buvo išleidimo pakuotės problema, kurią sukėlė žmogiškoji klaida., o ne vidinės infrastruktūros pažeidimas ar išorinis įsilaužimas.
Pagrindinė žinutė išliko nepakitusi: jokių klientų paslapčių, jokių įgaliojimų, jokių modelių svorių buvo nutekėjęs; buvo atskleista tik vidinė programos logika. Pareiškime taip pat pabrėžta, kad „Anthropic“ jau buvo diegiant apsaugos priemones, skirtas užkirsti kelią panašiems nelaimingiems atsitikimams būsimuose statiniuose, nors išsamūs pomirtiniai tyrimai nebuvo paviešinti.
Teisinėje srityje bendrovė ėmėsi energingų veiksmų. DMCA turinio pašalinimo kampanija„GitHub“ ir kiti serveriai pradėjo gauti prašymus pašalinti saugyklas, kurios atspindi „Claude Code“ šaltinį, o kai kurie žymiausi veidrodžiai išnyko sulaukę didelio dėmesio ir diskusijų.
Nepaisant šių žingsnių, praktinė realybė yra tokia, kad kai tokio dydžio kodų bazė ištrūksta į laisvę, Visiškai sutramdyti jį atgal beveik neįmanomaArchyvuotos kopijos platinamos privačiai, užšifruoti paketai yra bendrose failų bendrinimo svetainėse, o kai kurie kodo poaibiai jau buvo perkelti arba iš naujo įdiegti kitomis kalbomis, tokiomis kaip „Python“ ir „Rust“, entuziastų, siekiančių apeiti autorių teisių apribojimus.
Incidentas įvyko vos kelios dienos po kito, kaip pranešama, konfigūracijos gedimo. paviešinta apie 3,000 vidinių failų susietas su neišleistu modeliu, žinomu kaip „Claude Mythos“, per netinkamai sukonfigūruotą TVS. Dvi nesusijusios publikacijos per mažiau nei savaitę natūraliai sukėlė stebėtojams klausimų „Anthropic“ operacinė higiena, susijusi su turinio ir kodo leidimais.
Platesnis poveikis dirbtinio intelekto ekosistemai ir konkurentams
Verslo požiūriu, nutekėjimas paveikia produktą, kuris jau buvo laikomas vienas iš pagrindinių „Anthropic“ pajamų šaltiniųPramonės vertinimai rodo, kad „Claude Code“ metinės pasikartojančios pajamos siekia vos milijardus, o didžiąją dalį naudojimosi ja atlieka verslo klientai. Tai daro CLI ne tik kūrėjo žaislu, bet ir... strateginis įmonės komercinio plano ramstis.
Dėl to, kad didelė dalis incidento architektūros buvo paviešinta, jis iš esmės suteikė konkuruojančioms komandoms galimybę... labai detalus inžinerijos vadovas kitaip kompiliavimui prireiktų metų eksperimentų ir didelių investicijų. Konkurencingi įrankiai, įskaitant naujesnes agentines IDE ir kodavimo kopilotus, dabar gali palyginti savo metodus su „Anthropic“ realiais dizaino sprendimais, užuot pasiremę spėjimais ir rinkodaros kalba.
Tuo pačiu metu nuotėkis sumažina potencialių dalyvių patekimo į rinką barjerą. Claude'o Code'o konkurentaiDabar daug lengviau surinkti agentą su panašiais atminties modeliais, foniniais darbo srautais ir koordinavimo galimybėmis, remiantis jau gamybiniam naudojimui pritaikytais įgyvendinimais. Šia prasme dalis „Anthropic“ intelektualinio griovio staiga tapo bendromis žiniomis platesnei pramonei.
Istorija rodo, kad tokie įvykiai gali turėti paradoksalių pasekmių. Viena vertus, jie paspartinti inovacijas visoje srityje, nes vis daugiau komandų mokosi iš aukštos kokybės pavyzdžių. Kita vertus, jos mažina ankstyvųjų žaidėjų pranašumą, versdamos esamus žaidėjus veikti greičiau ir daugiau investuoti į išskirtines funkcijas, saugumą ir patikimumą.
Startuoliams ir įmonių pirkėjams, vertinantiems dirbtinio intelekto įrankius, šis epizodas taip pat gali subtiliai pakeisti lūkesčius. Potencialūs klientai greičiausiai dar labiau spaus pardavėjus. išleidimo drausmė, CI/CD apsaugos priemonės ir incidentų reagavimo procesai, saugius leidybos kanalus traktuojant kaip nekeičiamą bet kurios rimtos dirbtinio intelekto platformos dalį.
Saugumo pamokos: nuo konfigūracijos failų iki MCP serverių
Saugumo lyderiai ir specialistai pasinaudojo nutekėjusia informacija kaip atspirties tašku siūlydami betoniniai gynybiniai laiptai organizacijoms, jau eksperimentuojančioms su agentinio kodavimo įrankiais. Viena pasikartojanti rekomendacija yra su Claude kodu susiję audito konfigūracijos failai, Pavyzdžiui, CLAUDE.md bei .claude/config.json, kurie gali veikti kaip didelių privilegijų vektoriai paslėptoms instrukcijoms įterpti arba saugos nustatymams sušvelninti.
Kita dėmesio sritis yra išorinių įrankių serverių ir modelio konteksto protokolo (MCP) galinių taškų traktavimas kaip nepatikimų priklausomybiųKadangi sutarčių sąsajos dabar yra išsamiai išdėstytos, kenkėjiški operatoriai gali bandyti apsimesti teisėtais serveriais arba subtiliai pakeisti šių integracijos taškų veikimą. Versijų prisegimas, pakeitimų stebėjimas ir prieigos kontrolės griežtinimas gali sumažinti šią riziką.
Atsižvelgiant į tai, kaip greitai dirbtinio intelekto asistentas gali perkelti kodą, komandos taip pat raginamos užrakinti apvalkalo teises ir sistemingai nuskaityti paslaptis dar prieš jiems pasiekiant saugyklą. Tie patys gebėjimai, kurie užtikrina agentų produktyvumą – greitas konfigūracijų redagavimas, CI prijungimas ir kelių paslaugų naudojimas – gali lygiai taip pat lengvai paversti vieną klaidą rimtu kredencialų nutekėjimu.
Galiausiai, organizacijos patiria vis didesnį spaudimą sekti dirbtinio intelekto padedamų pakeitimų kilmęKadangi vis daugiau pasaulinio kodo rašo arba modifikuoja agentai, reguliavimo institucijos ir auditoriai gali pagrįstai tikėtis aiškios atskleidimo politikos, patikimo registravimo ir būdų, kaip patikrinti, iš kur kilo kritinė logika, ypač jautriose ar reguliuojamose srityse.
Apibendrinus šiuos pasiūlymus, galima teigti, kad jie perėjo nuo dirbtinio intelekto agentų traktavimo kaip tik dar vieno kūrėjo įrankio prie jų pripažinimo kaip... pagrindinė infrastruktūra su savo specialiais grėsmių modeliais, tiekimo grandinės pažeidžiamumai ir valdymo poreikiai.
Apskritai, „Claude Code“ nutekėjimas per „npm“ yra ne tiek istorija apie vieną ydingą išleidimą, kiek apie tai, kaip Mažos, įprastos klaidos šiuolaikiniuose programinės įrangos gamybos procesuose gali pakeisti konkurencinę ir saugumo aplinką aplink DI. Kadangi agento vidinė veiksmų schema dabar yra praktiškai vieša, „Anthropic“ ir jos konkurentai susiduria su didėjančiu spaudimu griežtinti savo publikavimo srautus, permąstyti, kiek logikos jie atskleidžia periferijoje, ir kurti kultūrą, kurioje konfigūracijos smulkmenos būtų tikrinamos taip pat, kaip ir bet kuri pažangiausia modelio architektūra.
