- Claude Code 2.1.88:n npm-paketti lähetti vahingossa massiivisen lähdekoodikartan, joka paljasti noin 512 000 riviä sisäistä TypeScriptiä.
- Vuoto johtui inhimillisestä virheestä pakkausprosessissa, ei suorasta kyberhyökkäyksestä, mutta se paljasti silti arkkitehtuuria, tietoturvalogiikkaa ja julkaisemattomia ominaisuuksia.
- Tutkijat peilasivat koodin nopeasti paljastaen moduuleja, kuten KAIROSin, BUDDYn, peitetoimintatiloja, moniagenttisen orkestroinnin ja kolmikerroksisen muistijärjestelmän.
- Tapaus herättää vakavia toimitusketju-, jailbreak- ja kloonausriskejä ja asettaa Anthropicille ja muille tekoälytoimittajille paineita tiukentaa julkaisutoiminnan työnkulkuja.
Vahingossa Claude Coden sisäisen lähteen paljastuminen npm:n kautta on muuttanut rutiinijulkaisun yhdeksi viime vuosien puhutuimmista tekoälyyn liittyvistä tietoturvaongelmista. Se, mikä alkoi JavaScript-lähdekoodikartan pakkausvirheenä, päätyi laittamalla satojatuhansia rivejä Anthropicin TypeScriptiä tutkijoiden, kilpailijoiden ja opportunististen hyökkääjien käsiin ympäri maailmaa.
Klassisen ulkorajojen puolustusta tai varastettuja tunnistetietoja koskevan tietomurron sijaan tämä tapaus osoittaa, miten pelkkä inhimillinen virhe ohjelmistojen julkaisussa voi vuotaa erittäin arkaluontoista immateriaalioikeutta. Vuoto ei sisällä mallien painoja tai asiakastietoja, mutta se paljastaa yhden edistyneimmistä yrityksistä sisäisen toiminnan. agenttikoodausavustajat markkinoilla, muistijärjestelmistä ja turvasuodattimista kokeellisiin ominaisuuksiin, joiden ei ollut vielä koskaan tarkoitus olla julkisia.
Aikajana: npm-julkaisusta globaaliin replikointiin
Tapaus keskittyy npm-pakettiin @anthropic-ai/claude-code, erityisesti versio 2.1.88Muuten normaalin julkaisun aikana Anthropic julkaisi Noin 60 Mt:n JavaScript-lähdekoodikarttatiedosto (yleisesti viitataan nimellä cli.js.map) yhdessä minifioidun CLI-paketin kanssa. Sen sijaan, että se olisi poistettu tuotantoartefaktista, kyseinen kartta säilytti sourcesContent kenttä, joka käytännössä upotti alkuperäisen TypeScript-koodin.
Tuon valvonnan vuoksi kuka tahansa paketin napannut saattoi rekonstruoi noin 1 900 tiedostoa ja yli 500 000 riviä TypeScript-koodia, paljastaen komentoriviliittymän komentojen reitityksen, työkalujen orkestroinnin, telemetrialogiikan, turvatarkistukset ja sisäiset kehotteet. Kartta osoitti myös takaisin julkisesti saatavilla olevaan zip-arkistoon Anthropicin oma Cloudflare R2 -säilytysämpäri, mikä tarkoitti, ettei tunkeutumista tarvittu: tiedosto oli yksinkertaisesti olemassa, avoinna internetille.
Ongelma nousi ensimmäisenä esiin turvallisuustutkija Chaofan Shou (@Fried_rice), lohkoketjuteknologiaa valvovan Fuzzlandin työntekijä, joka julkaisi suoran linkin paljastuneeseen X-ämpäriin. Muutaman tunnin sisällä peilirepositoriot ilmestyivät GitHubiin, jotkut houkuttelivat nopeasti kymmeniätuhansia tähtiä kehittäjien kiirehtiessä kloonaamaan ja tarkastamaan koodia ennen kuin se katosi.
Antroppinen reagoi haetaan kyseinen npm-versio ja käynnisti aallon DMCA-poistopyyntöjä, jotka kohdistuivat GitHubiin ja muihin hosting-alustoihin. Poistokampanjan alkaessa lukemattomia kopioita oli kuitenkin jo arkistoitu, haarautunut ja jaettu uudelleen, mikä teki materiaalin täydellisen poistamisen käytännössä mahdottomaksi.
Kuinka pakkaushäiriö räjäytti tekoälyn lippulaiva-agentin
Paperilla, julkaisemalla uuden Claude-koodiversion npm:lle pitäisi olla rutiinitehtävä: työnnä minifioitu JavaScript-paketti, sisällytä vain ehdottoman välttämätön ja luota asetustiedostoihin (kuten .npmignore tai files kenttä sisään package.json) pitääkseen debug-artefaktit poissa lopullisesta paketista.
Tässä tapauksessa useita pieniä vaihtoehtoja asettui täysin väärin päin. Rakennusputkessa käytettiin Nutturan niputtelija, Joka luo lähdekartat oletuksenaMikään seuraava vaihe kokoamis- tai pakkausprosessissa ei poistanut kyseistä karttaa, ja väärin määritetty estolista tarkoitti, että kartta lähetettiin suoraan julkiseen rekisteriin. Sieltä npm:n avoin, globaalisti peilattu luonne hoiti loput.
Antrooppinen on korostanut, että ei arkaluonteisia asiakastietoja, tunnistetietoja tai mallien painotuksia olivat osa vuotoa. Sen sijaan kyseessä oli puhdas pakkausongelma: sisäiseen vianmääritykseen tarkoitetut debug-metatiedot oli vahingossa niputettu tuotantoversioon. Tämä kehystys on tarkka kapeasta tietoturvanäkökulmasta, mutta se aliarvioi, kuinka paljon strategista tietoa nykyaikaisen tekoälyagentin koodikannassa on.
Asiaa mutkistaa entisestään se, että tämä ei ensimmäistä kertaa jotain tällaista oli tapahtunut. Hyvin samankaltaisen lähdekarttavuoton kerrotaan vaikuttaneen aiempaan Claude Code -koontiversioon helmikuu 2025Kaksi lähes identtistä tapausta noin 13 kuukauden sisällä herättävät väistämättä kysymyksiä siitä, kuinka tiukasti Anthropic valvoo suojakaiteita julkaisuputkissaan.
Mitä vuodettu Claude-koodi todellisuudessa paljastaa
Kun tutkijat ja kehittäjät alkoivat käydä läpi palautettuja tiedostoja, kävi selväksi, ettei kyseessä ollutkaan pinnallinen kurkistus joihinkin apuskripteihin, vaan Claude Coden CLI:n täydellinen arkkitehtoninen poikkileikkausTypeScript-puu kattaa noin puoli miljoonaa riviä ja:
- Työkalun suoritus ja orkestrointi: miten Claude Code suunnittelee, sekvensoi ja kutsuu työkaluja, shellejä ja ulkoisia palveluita.
- Käyttöoikeusmallit ja hiekkalaatikkosäännöt: tarkka logiikka, joka päättää, mitkä komennot voidaan suorittaa, millä parametreilla ja missä ympäristöissä.
- Muistijärjestelmät ja kontekstinhallinta: strategioita pitkien istuntojen käsittelemiseksi menettämättä johdonmukaisuutta.
- Telemetria ja analytiikka: mitä mitataan, kootaan ja lähetetään takaisin Anthropicille.
- Järjestelmäkehotteet ja ominaisuusliput: piilotetut ohjeet, jotka muokkaavat agentin käyttäytymistä ja kytkevät kokeellisia ominaisuuksia päälle/pois.
Yhteisöanalyysit korostivat a kolmikerroksinen muistisuunnittelu keskittynyt tiedostoon, jota usein kuvataan nimellä MEMORY.mdSen sijaan, että raakaa vuorovaikutushistoriaa kirjattaisiin loputtomiin, Claude Code väittää indeksoitu, aihepohjainen viiterakenneAgentti tarkistaa indeksin, kun sen on haettava aiempaa työtä, hakemalla sieltä vain nykyisen tehtävän kannalta olennaiset osat ja noudattamalla tiukkoja kirjoitussääntöjä kontekstin ajautumisen ja itsetuhoutumisen vähentämiseksi.
Tämä "terveellisen skeptisyyden omaava muisti" -lähestymistapa auttaa lieventämään pitkien keskustelujen entropia, jossa naiivi kontekstin kertyminen muutoin aiheuttaisi agentille epäjohdonmukaisuuden tai hallusinaation. Muille agenttityökaluja rakentaville tiimeille vuoto on käytännössä ilmainen mestarikurssi tuotantotason muistiorkestroinnissa.
Lähde paljastaa myös erilaisia sisäisiä telemetriakoukkuja. Niiden joukossa on logiikka, joka liput turhautumisen signaalit – esimerkiksi tarkistamalla kirosanoja kehotteista – säilyttämättä kokonaisia käyttäjäkeskusteluja tai koodikantoja. Toinen huomionarvoinen osa on "salainen" tai piilotila suunniteltu poistamaan sisäiset projektikoodinimet ja muut arkaluontoiset tunnisteet git-commiteista ja pull-pyynnöistä, jotta tekoälyn kirjoittamat sisällöt eivät vahingossa vuoda projektin omistamia tietoja.
Tuotteessa jo näkyvien järjestelmien lisäksi koodikannassa viitataan julkaisematon tai piilotettu toiminnallisuus ominaisuuslippujen ohjaamia: taustatoimintojen tiloja, useiden agenttien välistä koordinointia ja jopa leikkisiä käyttöliittymäelementtejä, kuten päätekumppanit.
Julkaisemattomat moduulit: KAIROS, BUDDY ja moniagenttiset parvet
Jotkut huomiota herättävimmistä löydöistä liittyvät ominaisuuksiin, joita Anthropic ei ole vielä julkisesti julkistanut ja jotka nyt paljastetaan yksityiskohtaisesti suunnittelun saralla. Yksi huomattavimmista moduuleista on KAIROS, kuvattu kommenteissa ja kokoonpanossa nimellä jatkuvasti käynnissä oleva taustalla oleva daemon joka tarkkailee tiedostojen muutoksia, kirjaa tapahtumia ja suorittaa ns. unelma tai ”oniric”-konsolidointi tapahtuu, kun käyttäjä on käyttämätön.
Käytännössä KAIROS näyttää antavan Claude Codelle jotain lähellä "aina päällä" oleva autonomiaSen sijaan, että agentti odottaisi passiivisesti kehotteita, se voi herätä säännöllisesti, indeksoida uudelleen ymmärryksensä koodikannasta, puhdistaa muistirakenteitaan ja valmistella parempia suunnitelmia tulevia työistuntoja varten. Täysin autonomisia agentteja kokeileville tiimeille tämä paljastaa Anthropicin suunnitelman pitkäikäisille taustatyöntekijöille.
Toinen ominaisuus, joka valloitti nopeasti internetin mielikuvituksen, on KAVERI, joka koodissa kuvataan eräänlaisena terminaalin puolen maskottiToteutus sisältää 18 erilaista "lajia" – joista yksi on kapybara – sekä leikkisiä ominaisuuksia, kuten DEBUGGING, PATIENCE ja CHAOSVaikka BUDDY vaikuttaa pinnalta oikukkaalta, se viittaa Anthropicin kokeiluihin ilmaisuvoimaisempien ja tunnetietoisempien kehittäjäkokemusten luomisessa.
Vakavammassa päässä on moniagenttiyhteistyön arkkitehtuuri. Sisäisesti sitä kuvataan esimerkiksi seuraavilla rakenteilla: COORDINATOR-tila ja ULTRAPLAN-istunnot, tämä järjestelmä antaa ensisijaisen agentin synnyttää ja valvoa työntekijäagenttilaivastoja rinnakkain. Dokumentaatiokatkelmat viittaavat agenttien välisiin 10–30 minuuttia kestäviin etäsuunnittelukokouksiin, mikä viittaa malliin, jossa Claude Code voi jakaa suuren tehtävän osiin, delegoida osatehtäviä avustajille ja yhdistää tulokset.
Mukana on myös vihjeitä vielä kehitteillä olevista moduuleista ja mallimuunnelmista, mukaan lukien viittaukset sisäisiin nimiin, kuten Capybara, jotka on kehitetty Claude 4.x -perheen kehitysaskeleiksi. Koodiin upotetut metriikat mainitsevat väärien positiivisten tulosten määrä on noin 29–30 % joidenkin turvallisuus- tai havaitsemisjärjestelmien osalta, verrattuna aiempien kierrosten noin 16.7 prosenttiin – rehellisiä lukuja, jotka normaalisti pysyisivät suunnittelun kojelaudoissa.
Yhdessä nämä löydöt muuttavat vuotaneen puun tiekarttatason tilannekuva Anthropicin agenttistrategiasta: missä yritys näkee hyödyllisen autonomian rajat, miten se haluaa agenttien tekevän yhteistyötä ja minkä kompromissien kanssa se tällä hetkellä painii.
Jailbreakit, kloonit ja toimitusketjun seuraukset
Vaikka salasanoja tai tokeneita ei paljastuisikaan, tietoturva-asiantuntijat eivät ole lainkaan rentoutuneita. Kun koko komentorivilogiikka on käytössä, siitä tulee paljon helpompaa. Claude Coden kaiteiden käänteinen suunnittelu ja tutkia niiden ympärillä olevia polkuja. Se, mikä ennen oli musta laatikko, on nyt vaiheittainen resepti siitä, miten työkalu jäsentää komentoja, käyttää suodattimia ja päättää, onko jokin turvallista suorittaa käyttäjän terminaalissa.
Tuo läpinäkyvyys voi olla kaksiteräinen miekka. Toisaalta puolustuskannan tutkijat voivat nyt auditoi turvallisuusmalli ennennäkemättömän perusteellisesti ja ehdottaa koventamisstrategioita. Toisaalta hyökkääjät voivat huolellisesti laatia kehotteita ja kontekstimuutoksia lipsauttaa haitallisia ohjeita Bash-validoijien ohi, hyödyntää käyttöoikeuskerrosten välisiä hienovaraisia eroja tai houkutella agenttia toimimaan, joita sen ei ole koskaan tarkoitus suorittaa.
Läheisesti liittyvä huolenaihe on jyrkkä haitalliset tai väärennetyt kloonitKun tuotantovalmis koodikanta on saatavilla, motivoituneen toimijan on triviaalia poistaa brändäys ja telemetria, lisätä takaportteja tai datan vuotamislogiikkaa ja julkaista lähes identtinen paketti hieman muutetun nimen alla. Kehittäjille, jotka asentavat työkaluja npm:stä automaattisesti, saastuneen "Clauden kaltaisen" agentin sisäänajamisen riski on nyt huomattavasti suurempi.
Vuodon ajoitus korosti näitä huolenaiheita. Samoihin aikoihin npm kohtasi riippumaton toimitusketjun hyökkäys suosittua axios paketti, ja haitalliset versiot ovat saatavilla noin klo 00.21 ja 03.29 UTC välillä. Tämä rinnakkainen tapaus korosti sitä, kuinka hauras JavaScript-ekosysteemi voi olla riippuvuuksien luottamuksen suhteen.
Claude-koodin npm:n kautta kyseisenä aikana asentaneille tai päivittäneille tiimeille annetut turvallisuusohjeet ovat olleet tylyjä: tarkasta riippuvuuspuusietenkin paketeille, kuten axios ja plain-crypto-js; kierrättää tunnistetietoja, jotka ovat saattaneet olla kyseisissä järjestelmissä; ja pitää tarkasti silmällä poikkeavaa toimintaa. Anthropic on puolestaan nimenomaisesti ehdottanut mieluummin natiivia asennusohjelmaa kuin npm:ää jatkossa hyökkäyspinnan pienentämiseksi.
Anthropicin virallinen vastaus ja DMCA-toimet
Kun tieto vuodosta levisi, Anthropic ryhtyi nopeasti muokkaamaan tarinaa. TecMundon ja VentureBeatin kaltaisille medioille jaetuissa kommenteissa yritys korosti, että tämä oli inhimillisen virheen aiheuttama julkaisupakkausongelma, ei sisäisen infrastruktuurin murto tai ulkoinen hakkerointi.
Ydinviesti pysyi samana: ei asiakassalaisuuksia, ei tunnistetietoja, ei mallien painoja oli vuotanut; vain sisäinen sovelluslogiikka paljastui. Lausunnossa korostettiin myös, että Anthropic oli jo turvatoimien käyttöönotto vastaavien onnettomuuksien estämiseksi tulevissa rakennuksissa, vaikka yksityiskohtaisia postmortem-tuloksia ei ole julkistettu.
Juridisella rintamalla yritys aloitti energisen DMCA-poistokampanjaGitHub ja muut palveluntarjoajat alkoivat saada pyyntöjä poistaa Claude Code -lähdekoodia peilaavia repositorioita, ja jotkut merkittävimmistä peileistä katosivat saatuaan merkittävää huomiota ja keskustelua.
Näistä toimista huolimatta käytännön todellisuus on, että kun tämän kokoinen koodikanta pääsee vapaaksi, sen täydellinen takaisin hillitseminen on lähes mahdotontaArkistoidut kopiot kiertävät yksityisesti, salatut paketit sijaitsevat yleisillä tiedostonjakosivustoilla ja osia koodista on jo portattu tai toteutettu uudelleen muille kielille, kuten Pythonille ja Rustille, tekijänoikeusrajoituksia kiertääkseen pyrkivien harrastajien toimesta.
Tapaus sattui myös vain päiviä sen jälkeen, kun kerrottiin toisen kokoonpanovirheen tapahtuneen. paljastui noin 3 000 sisäistä tiedostoa sidottu julkaisemattomaan malliin nimeltä "Claude Mythos" väärin konfiguroidun sisällönhallintajärjestelmän kautta. Kaksi toisiinsa liittymätöntä julkaisukatkosta alle viikon sisällä on luonnollisesti saanut tarkkailijat kyseenalaistamaan Anthropicin toiminnan hygienia sisällön ja koodin julkaisujen suhteen.
Laajempi vaikutus tekoälyekosysteemiin ja kilpailijoihin
Liiketoiminnan näkökulmasta vuoto osuu tuotteeseen, jota jo pidettiin yksi Anthropicin tärkeimmistä tulonlähteistäAlan arvioiden mukaan Claude Coden vuotuinen toistuva liikevaihto on hieman alle miljardien dollarien, ja suurin osa käytöstä tulee yritysasiakkailta. Tämä tekee CLI:stä enemmän kuin vain kehittäjän lelun, vaan... yhtiön kaupallisen etenemissuunnitelman strateginen pilari.
Julkaisemalla niin suuren osan arkkitehtuuristaan tapaus antaa kilpaileville joukkueille käytännössä mahdollisuuden syvällisesti yksityiskohtainen insinööriopas jonka kääntäminen muuten vaatisi vuosien kokeiluja ja merkittävää pääomaa. Kilpailevat työkalut, mukaan lukien uudemmat agentti-IDE:t ja koodauksen apupilotit, voivat nyt vertailla omia lähestymistapojaan Anthropicin tosielämän suunnittelupäätöksiin sen sijaan, että ne toimisivat arvausten ja markkinointikielen varassa.
Samaan aikaan vuoto alentaa markkinoille pääsyn kynnystä potentiaalisille Claude Coden kilpailijatNyt on paljon helpompaa koota agentti, jolla on samanlaiset muistikuviot, taustatyönkulut ja koordinointiominaisuudet, viittaamalla toteutuksiin, jotka on jo viritetty tuotantokäyttöön. Tässä mielessä osa Anthropicin älyllisestä vallihaudasta on yhtäkkiä muuttunut jaetuksi tiedoksi laajemmalle toimialalle.
Historia viittaa siihen, että tällaisilla tapahtumilla voi olla paradoksaalinen vaikutus. Toisaalta ne nopeuttaa innovaatioita koko alalla, kun yhä useammat tiimit oppivat korkealaatuisista esimerkeistä. Toisaalta ne kaventavat aikaisten toimijoiden etumatkaa, mikä pakottaa nykyiset toimijat toimimaan nopeammin ja investoimaan enemmän erottaviin ominaisuuksiin, turvallisuuteen ja luotettavuuteen.
Startup-yrityksille ja suuryritysten ostajille, jotka arvioivat tekoälytyökaluja, tämä jakso voi myös hienovaraisesti muuttaa odotuksiaan. Potentiaaliset asiakkaat todennäköisesti painostavat toimittajia kovemmin. julkaisukuri, CI/CD-suojatoimet ja tapauksiin reagointiprosessit, kohtelemalla turvallisia julkaisujärjestelmiä ehdottomana osana mitä tahansa vakavasti otettavaa tekoälyalustaa.
Tietoturvaoppitunteja: asetustiedostoista MCP-palvelimiin
Turvallisuusjohtajat ja -ammattilaiset ovat käyttäneet vuotoa ponnahduslautana ehdottaakseen betoniset puolustusaskelmat organisaatioille, jotka jo kokeilevat agenttisia koodaustyökaluja. Yksi toistuva suositus on Claude-koodiin liittyvät tarkastusmääritystiedostot, Kuten CLAUDE.md ja .claude/config.json, jotka voivat toimia korkean etuoikeuden vektoreina piilotettujen ohjeiden syöttämiseen tai turva-asetusten löysentämiseen.
Toinen painopistealue on ulkoisten työkalupalvelimien ja Model Context Protocol (MCP) -päätepisteiden käsittely epäluotettavina riippuvuuksinaNyt kun sopimuspinnat on esitetty yksityiskohtaisesti, pahantahtoiset operaattorit voivat yrittää tekeytyä laillisiksi palvelimiksi tai muuttaa hienovaraisesti näiden integraatiopisteiden toimintaa. Versioiden kiinnittäminen, muutosten seuranta ja käyttöoikeuksien hallinnan tiukentaminen voivat vähentää tätä riskiä.
Koska tekoälyavustaja voi siirtää koodia nopeasti, tiimejä kehotetaan myös lukitse shell-käyttöoikeudet ja etsi salaisuuksia järjestelmällisesti ennen kuin ne edes päätyvät tietovarastoon. Samat kyvyt, jotka tekevät agenteista tuottavia – konfiguraatioiden nopea muokkaaminen, CI:n kytkeminen ja useiden palveluiden käyttö – voivat aivan yhtä helposti pahentaa yhden virheen vakavaksi tunnistetietovuodoksi.
Lopulta organisaatioihin kohdistuu kasvavaa painetta seurata tekoälyavusteisten committien alkuperääKoska yhä enemmän maailman koodia kirjoittavat tai muokkaavat agentit, sääntelyviranomaiset ja tilintarkastajat voivat kohtuudella odottaa selkeitä tiedonantokäytäntöjä, vankkaa lokitietojen tallentamista ja tapoja varmistaa kriittisen logiikan alkuperä, erityisesti arkaluontoisilla tai säännellyillä aloilla.
Yhteenvetona nämä ehdotukset heijastavat muutosta tekoälyagenttien kohtelusta vain yhtenä kehitystyökaluna niiden tunnustamiseen ydininfrastruktuuri omilla uhkamalleillaan, toimitusketjun haavoittuvuudet ja hallintotarpeet.
Kaiken kaikkiaan Claude Code -vuoto npm:n kautta ei niinkään koske yksittäistä virheellistä julkaisua vaan pikemminkin sitä, miten Pienet, tutut virheet nykyaikaisissa ohjelmistokehityksissä voivat muokata kilpailu- ja tietoturvamaisemaa tekoälyn ympärillä. Agentin sisäisen toimintasuunnitelman ollessa nyt käytännössä julkinen, Anthropic ja sen kilpailijat kohtaavat kasvavaa painetta tiukentaa julkaisuprosessejaan, miettiä uudelleen, kuinka paljon logiikkaa he paljastavat reunalla, ja rakentaa kulttuureja, joissa konfiguraation yksityiskohdat saavat yhtä paljon tarkastelua kuin mikä tahansa huippuluokan malliarkkitehtuuri.
