- npm-pakken for Claude Code 2.1.88 sendte ved et uhell et massivt kildekart som eksponerte rundt 512 000 linjer med intern TypeScript.
- Lekkasjen var forårsaket av menneskelige feil i pakkeprosessen, ikke av et direkte cyberangrep, men den avslørte likevel arkitektur, sikkerhetslogikk og uutgitte funksjoner.
- Forskerne speilet raskt koden og avdekket moduler som KAIROS, BUDDY, undercover-moduser, orkestrering med flere agenter og et trelags minnesystem.
- Hendelsen reiser alvorlige risikoer knyttet til forsyningskjeden, jailbreak og kloning, og legger press på Anthropic og andre AI-leverandører for å styrke publiseringsarbeidsflytene.
Det tilfeldige eksponering av Claude Codes interne kilde via npm har gjort en rutineutgivelse til en av de mest omtalte AI-sikkerhetshendelsene de siste årene. Det som startet som en feil i pakkingen rundt et JavaScript-kildekart, endte opp å sette inn hundretusenvis av linjer med Anthropics TypeScript i hendene på forskere, konkurrenter og opportunistiske angripere over hele verden.
I stedet for et klassisk brudd som involverer perimeterforsvar eller stjålne legitimasjonsdetaljer, viser denne saken hvordan ren menneskelig feil i programvarepublisering kan avsløre svært sensitiv immateriell eiendom. Lekkasjen inkluderer ikke modellvekter eller kundedata, men den avslører de indre funksjonene til en av de mest avanserte agentkodingsassistenter på markedet, fra minnesystemer og sikkerhetsfiltre til eksperimentelle funksjoner som aldri var ment å være offentlige ennå.
Tidslinje: fra npm-utgivelse til global replikering
Hendelsen dreier seg om npm-pakken @anthropic-ai/claude-code, nærmere bestemt versjon 2.1.88Under en ellers standard utgivelse publiserte Anthropic en JavaScript-kildekartfil på rundt 60 MB (vanligvis referert til som cli.js.map) sammen med den minimerte CLI-pakken. I stedet for å bli fjernet fra produksjonsartefakten, beholdt det kartet en sourcesContent feltet som effektivt innebygde den originale TypeScript-koden.
På grunn av den forglemmelsen kunne alle som tok pakken rekonstruere omtrent 1,900 filer og mer enn 500 000 linjer med TypeScript, som eksponerer CLI-ens kommandoruting, verktøyorkestrering, telemetrilogikk, sikkerhetskontroller og interne ledetekster. Kartet pekte også tilbake til et offentlig tilgjengelig zip-arkiv i Anthropics egen Cloudflare R2-lagringsbøtte, noe som betydde at ingen inntrenging var nødvendig: filen var rett og slett der, åpen for internett.
Problemet ble først belyst av sikkerhetsforsker Chaofan Shou (@Fried_rice), en stipendiat hos blokkjedesikkerhetsfirmaet Fuzzland, som la ut en direkte lenke til den eksponerte bøtten på X. Innen timer, speilrepositorier dukket opp på GitHub, noen tiltrakk seg raskt titusenvis av stjerner ettersom utviklere hastet med å klone og inspisere koden før den forsvant.
Antropisk reagerte av henter den berørte npm-versjonen og lanserte en bølge av DMCA-forespørsler om fjerning rettet mot GitHub og andre hostingplattformer. Likevel, da fjerningskampanjen startet, var utallige kopier allerede arkivert, forked og redistribuert, noe som gjorde det praktisk talt umulig å trekke tilbake materialet fullstendig.
Hvordan en pakkefeil blåste opp et flaggskip-AI-agent
På papir, publisering av en ny Claude Code-versjon til npm bør være en rutineoppgave: publisere en minimert JavaScript-pakke, inkludere bare det som er strengt nødvendig og stole på konfigurasjonsfiler (som .npmignore eller files felt i package.json) for å holde feilsøkingsartefakter ute av den endelige pakken.
I dette tilfellet stablet flere små valg seg opp på helt feil måte. Byggepipelinen brukte Bollepakker, Som genererer kildekart som standardIngen påfølgende trinn i kompilerings- eller pakkeflyten fjernet det kartet, og en feilkonfigurert ignoreringsliste betydde at kartet ble sendt rett til det offentlige registeret. Derfra gjorde npms åpne, globalt speilede natur resten.
Antropisk har understreket at ingen sensitive kundedata, legitimasjon eller modellvekter var en del av lekkasjen. I stedet var dette et rent pakkeproblem: feilsøkingsmetadata ment for intern feilsøking ble ved et uhell samlet i en produksjonsutgivelse. Denne innramningen er nøyaktig fra et snevert sikkerhetsperspektiv, men den undervurderer hvor mye strategisk informasjon som finnes i en moderne AI-agents kodebase.
For å komplisere saken ytterligere var dette ikke første gang noe lignende hadde skjedd. En veldig lignende kildekartlekkasje skal ha påvirket en tidligere Claude Code-byggeprosess februar 2025To nesten identiske hendelser innen omtrent 13 måneder reiser uunngåelig spørsmål om hvor strengt Anthropic håndhever rekkverk i sine utgivelsesprosesser.
Hva den lekkede Claude-koden faktisk avslører
Da forskere og utviklere begynte å granske de gjenopprettede filene, ble det klart at dette ikke var en overfladisk titt på noen hjelpeskript, men en fullstendig arkitektonisk tverrsnitt av Claude Codes CLITypeScript-treet strekker seg over omtrent en halv million linjer og dekker:
- Verktøyutførelse og orkestrering: hvordan Claude Code planlegger, sekvenserer og påkaller verktøy, skall og eksterne tjenester.
- Tillatelsesskjemaer og sandkasseregler: den nøyaktige logikken som bestemmer hvilke kommandoer som kan kjøres, med hvilke parametere og i hvilke miljøer.
- Minnesystemer og konteksthåndtering: strategier for å håndtere langvarige økter uten å miste sammenheng.
- Telemetri og analyse: hva som blir målt, aggregert og sendt tilbake til Anthropic.
- Systemmeldinger og funksjonsflagg: de skjulte instruksjonene som former agentens atferd og aktiverer eksperimentelle evner.
Samfunnsanalyser fremhevet en trelags minnedesign sentrert rundt en fil som ofte beskrives som MEMORY.mdI stedet for å logge rå interaksjonshistorikk på ubestemt tid, opprettholder Claude Code en indeksert, emnebasert referansestrukturAgenten konsulterer denne indeksen når den trenger å hente frem tidligere arbeid, og henter bare inn fragmentene som er relevante for den gjeldende oppgaven, og følger strenge skriveregler for å redusere kontekstavvik og selvkorrupsjon.
Denne tilnærmingen med «minne med sunn skepsis» bidrar til å dempe entropien av langvarige samtaler, der naiv kontekstakkumulering ellers ville føre til at agenten ble inkonsekvent eller hallusinerte. For andre team som bygger agentverktøy, er lekkasjen effektivt en gratis mesterklasse i minneorkestrering i produksjonsklasse.
Kilden avslører også diverse interne telemetri-kroker. Blant dem er logikk som flagg frustrasjonssignaler – for eksempel å skanne etter banning i ledetekster – uten å beholde fullstendige brukersamtaler eller kodebaser. En annen bemerkelsesverdig del er en «undercover» eller stealth-modus designet for å fjerne interne prosjektkodenavn og andre sensitive identifikatorer fra git-commits og pull-forespørsler, slik at AI-skrevne bidrag ikke ved et uhell lekker proprietære detaljer.
Utover systemer som allerede er synlige i produktet, referansene til kodebasen uutgitt eller skjult funksjonalitet kontrollert av funksjonsflagg: moduser for bakgrunnsdrift, koordinering mellom flere agenter og til og med lekne brukergrensesnittdetaljer som terminalledsagere.
Uutgitte moduler: KAIROS, BUDDY og multiagentsvermer
Noen av de mest oppmerksomhetsfangende oppdagelsene dreier seg om funksjoner som Anthropic ikke har annonsert offentlig ennå, men som nå er eksponert i detaljerte tekniske detaljer. En av de mest fremtredende modulene er KAIROS, beskrevet i kommentarer og konfigurasjon som en kontinuerlig kjørende bakgrunnsdemon som overvåker filendringer, logger hendelser og utfører såkalte drøm eller «oniric»-konsolidering skjer når brukeren er inaktiv.
I praksis ser det ut til at KAIROS gir Claude Code noe som ligner på «alltid på» autonomiI stedet for å vente passivt på instruksjoner, kan agenten våkne opp med jevne mellomrom, reindeksere sin forståelse av en kodebase, rydde opp i minnestrukturene sine og utarbeide bedre planer for kommende arbeidsøkter. For team som eksperimenterer med helt autonome agenter, avslører dette i hovedsak Anthropics blåkopi for langlivede bakgrunnsarbeidere.
En annen funksjon som raskt fanget internetts fantasi er BUDDY, fremstilt i koden som en slags maskot på terminalsidenImplementeringen inkluderer 18 forskjellige «arter» – én av dem en capybara – i tillegg til lekfulle statistikker som DEBUGGING, PATIENCE og CHAOSSelv om det virker lunefullt på overflaten, peker BUDDY på at Anthropic eksperimenterer med mer uttrykksfulle, følelsesmessig bevisste utvikleropplevelser.
I den mer seriøse enden av spekteret ligger en arkitektur for samarbeid mellom flere agenter. Internt beskrevet gjennom konstruksjoner som en KOORDINATOR-modus og ULTRAPLAN-økter, lar dette systemet en primær agent skape og føre tilsyn med flåter av arbeidsagenter parallelt. Dokumentasjonsfragmenter refererer til eksterne planleggingsmøter mellom agenter som varer i 10 til 30 minutter, noe som antyder en modell der Claude Code kan dele opp en stor oppgave, delegere deloppgaver til hjelpere og deretter slå sammen resultatene.
Det finnes også hint om moduler og modellvarianter som fortsatt er under utvikling, inkludert referanser til interne navn som Capybara, innrammet som videreutviklinger av Claude 4.x-familien. Målinger innebygd i koden nevnes falskt positive rater som svever rundt 29–30 % for noen sikkerhets- eller deteksjonssystemer, sammenlignet med rundt 16.7 % i tidligere runder – ærlige tall som normalt ville holdt seg innenfor tekniske dashbord.
Samlet sett gjør disse funnene det lekkede treet til et øyeblikksbilde av Anthropics agentstrategi i veikartkvalitethvor selskapet ser grensene for nyttig autonomi, hvordan det ønsker at agenter skal samarbeide, og hvilke avveininger det for tiden sliter med.
Jailbreaks, kloner og konsekvenser for forsyningskjeden
Selv om ingen passord eller tokener ble eksponert, er sikkerhetsspesialister langt fra avslappede. Med den fulle CLI-logikken i hånden blir det mye enklere å reverskonstruere Claude Codes rekkverk og utforske stier rundt dem. Det som pleide å være en svart boks er nå en trinnvis oppskrift på hvordan verktøyet analyserer kommandoer, bruker filtre og avgjør om noe er trygt å kjøre i en brukers terminal.
Den åpenheten kan være et tveegget sverd. På den ene siden kan defensive forskere nå revidere sikkerhetsmodellen i enestående dybde og foreslå herdingsstrategier. På den andre siden kan angripere nøye utforme ledetekster og kontekstmanipulasjoner for å slippe ondsinnede instruksjoner forbi Bash-validatorer, utnytte subtile forskjeller mellom tillatelseslag eller lokke agenten til handlinger den aldri var ment å utføre.
En nært beslektet bekymring er økningen i ondsinnede eller forfalskede klonerMed en produksjonsklar kodebase tilgjengelig, er det trivielt for en motivert aktør å fjerne merkevarebygging og telemetri, injisere bakdører eller datautfiltreringslogikk og publisere en nesten identisk pakke under et litt endret navn. For utviklere som installerer verktøy fra npm på autopilot, er risikoen for å trekke inn en forurenset "Claude-lignende" agent nå markant høyere.
Tidspunktet for lekkasjen forsterket disse bekymringene. Rundt samme vindu sto npm overfor en uavhengig forsyningskjedeangrep på det populære axios pakke, med skadelige versjoner som er tilgjengelige mellom omtrent 00:21 og 03:29 UTC. Den parallelle hendelsen understreket hvor skjørt JavaScript-økosystemet kan være når det gjelder tillit til avhengigheter.
Sikkerhetsveiledningen for team som installerte eller oppdaterte Claude Code via npm i løpet av denne perioden har vært direkte: revider avhengighetstreet ditt, spesielt for pakker som axios og plain-crypto-js; roter legitimasjonsinformasjon som kan ha vært tilstede på berørte systemer; og hold et øye med unormal oppførsel. Anthropic har på sin side eksplisitt foreslått foretrekker sitt opprinnelige installasjonsprogram fremfor npm fremover for å krympe angrepsflaten.
Anthropics offisielle svar og DMCA-press
Da nyheten om lekkasjen kom ut, handlet Anthropic raskt for å forme fortellingen. I kommentarer delt med kanaler som TecMundo og VentureBeat, understreket selskapet at Dette var et problem med utgivelsespakking forårsaket av menneskelige feil, ikke et brudd på intern infrastruktur eller et eksternt hacking.
Kjernebudskapet forble konsistent: ingen kundehemmeligheter, ingen legitimasjon, ingen modellvekter hadde lekket; bare intern applikasjonslogikk ble avslørt. Uttalelsen understreket også at Anthropic allerede var iverksette sikkerhetstiltak for å forhindre lignende uhell i fremtidige bygg, selv om detaljerte obduksjoner ikke er offentliggjort.
På den juridiske fronten startet selskapet en energisk prosess DMCA-fjerningskampanjeGitHub og andre verter begynte å motta forespørsler om å fjerne repositorier som speiler Claude Code-kildekoden, og noen av de mest fremtredende speilene forsvant etter å ha samlet betydelig oppmerksomhet og diskusjon.
Til tross for disse trekkene, er den praktiske realiteten at når en kodebase av denne størrelsen slipper ut i naturen, å få den helt tilbake i tøyler er nesten umuligArkiverte kopier sirkulerer privat, krypterte pakker ligger på generiske fildelingssider, og delsett av koden har allerede blitt portert eller implementert på nytt i andre språk som Python og Rust av entusiaster som ønsker å omgå opphavsrettsbegrensninger.
Hendelsen skjedde også bare dager etter et annet konfigurasjonsuhell som angivelig var tilfelle. eksponerte rundt 3,000 interne filer knyttet til en uutgitt modell kjent som «Claude Mythos» gjennom et feilkonfigurert CMS. To urelaterte publikasjonsavbrudd på under en uke har naturlig nok fått observatører til å stille spørsmål Anthropics driftshygiene rundt innholds- og kodeutgivelser.
Bredere innvirkning på AI-økosystemet og konkurrentene
Fra et forretningsmessig synspunkt rammer lekkasjen et produkt som allerede ble sett på som en av Anthropics viktigste inntektsdrivereBransjens anslag anslår at Claude Codes årlige, gjentakende inntekter ligger på lave milliarder, med et stort flertall av bruken fra bedriftskunder. Det gjør CLI til ikke bare et utviklerleketøy, men en strategisk pilar i selskapets kommersielle veikart.
Ved å offentliggjøre så mye av arkitekturen, gir hendelsen effektivt rivaliserende lag problemer en dypt detaljert ingeniørhåndbok som ellers ville tatt år med eksperimentering og betydelig kapital å kompilere. Konkurrerende verktøy, inkludert nyere agentiske IDE-er og kodepiloter, kan nå sammenligne sine egne tilnærminger mot Anthropics designbeslutninger i den virkelige verden i stedet for å operere på gjetninger og markedsføringsspråk.
Samtidig senker lekkasjen inngangsbarrieren for potensielle kunder Claude Code-konkurrenterDet er nå mye enklere å sette sammen en agent med lignende minnemønstre, bakgrunnsarbeidsflyter og koordineringsmuligheter ved å referere til implementeringer som allerede var innstilt for produksjonsbruk. I den forstand har en del av Anthropics intellektuelle vollgrav plutselig blitt delt kunnskap for den bredere bransjen.
Historien tyder på at slike hendelser kan ha en paradoksal effekt. På den ene siden akselerere innovasjon på tvers av feltet, ettersom flere team lærer av eksempler av høy kvalitet. På den annen side kutter de ut de som er tidlig ute, noe som tvinger etablerte aktører til å handle raskere og investere mer i differensierende funksjoner, sikkerhet og pålitelighet.
For oppstartsbedrifter og bedriftskjøpere som evaluerer AI-verktøy, kan episoden også subtilt endre forventningene. Potensielle kunder vil sannsynligvis presse leverandørene hardere på utgivelsesdisiplin, CI/CD-sikkerhetsmekanismer og hendelsesresponsprosesser, og behandler sikre publiseringsrørledninger som en ikke-forhandlingsbar del av enhver seriøs AI-plattform.
Sikkerhetsleksjoner: fra konfigurasjonsfiler til MCP-servere
Sikkerhetsledere og -praktikere har brukt lekkasjen som et springbrett for å foreslå konkrete defensive skritt for organisasjoner som allerede eksperimenterer med agentkodingsverktøy. En tilbakevendende anbefaling er å revisjonskonfigurasjonsfiler tilknyttet Claude Code, Eksempel CLAUDE.md og .claude/config.json, som kan fungere som vektorer med høye rettigheter for å injisere skjulte instruksjoner eller lempe på sikkerhetsinnstillinger.
Et annet fokusområde er behandling av eksterne verktøyservere og Model Context Protocol (MCP)-endepunkter som upålitelige avhengigheterMed kontraktsflatene nå lagt ut i detalj, kan ondsinnede operatører prøve å utgi seg for å være legitime servere eller subtilt endre atferd på disse integrasjonspunktene. Å feste versjoner, overvåke endringer og stramme inn tilgangskontroller kan redusere denne risikoen.
Gitt hvor raskt en AI-assistent kan flytte kode rundt, blir team også oppfordret til å låse skalltillatelser og systematisk skanne etter hemmeligheter før de i det hele tatt treffer et repositorium. De samme evnene som gjør agenter produktive – rask redigering av konfigurasjoner, tilkobling av CI og berøring av flere tjenester – kan like gjerne forsterke et enkelt feiltrinn til en alvorlig lekkasje av legitimasjon.
Til slutt er det et økende press på organisasjoner til å spore opprinnelsen til AI-assisterte commitsEtter hvert som mer av verdens kode skrives eller modifiseres av agenter, kan regulatorer og revisorer med rimelighet forvente klare retningslinjer for offentliggjøring, robust logging og måter å bekrefte hvor kritisk logikk oppsto, spesielt i sensitive eller regulerte domener.
Samlet sett gjenspeiler disse forslagene et skifte fra å behandle AI-agenter som bare et annet utviklerverktøy til å anerkjenne dem som kjerneinfrastruktur med egne dedikerte trusselmodeller, sårbarheter i forsyningskjeden og styringsbehov.
Alt i alt handler Claude Code-lekkasjen via npm mindre om en enkelt feilaktig utgivelse og mer om hvordan Små, kjente feil i moderne programvareprosesser kan omforme konkurranse- og sikkerhetslandskapet rundt AI. Nå som agentens interne strategi er i praksis offentlig, står Anthropic og konkurrentene overfor et økende press for å styrke publiseringsflytene sine, revurdere hvor mye logikk de eksponerer i utkanten av plattformen og bygge kulturer der konfigurasjonsdetaljer granskes like mye som enhver banebrytende modellarkitektur.
