Razkritje izvorne kode Claude prek npm: kaj se je v resnici zgodilo in zakaj je to pomembno

Domov » Python » Razkritje izvorne kode Claude prek npm: kaj se je v resnici zgodilo in zakaj je to pomembno

Nenamerno razkritje notranjega vira Claudea Codea prek npm je rutinsko izdajo spremenilo v enega najbolj odmevnih varnostnih incidentov umetne inteligence v zadnjih letih. Kar se je začelo kot napačen korak pri pakiranju izvorne kode JavaScript, se je končalo vstavljanje sto tisoč vrstic Anthropicovega TypeScripta v roke raziskovalcev, konkurentov in oportunističnih napadalcev po vsem svetu.

Namesto klasičnega vdora, ki vključuje obrambo oboda ali krajo poverilnic, ta primer kaže, kako navadna človeška napaka pri objavljanju programske opreme lahko razkrije zelo občutljivo intelektualno lastnino. Razkritje ne vključuje uteži modelov ali podatkov o strankah, razkriva pa notranje delovanje enega najnaprednejših asistenti agentnega kodiranja na trgu, od pomnilniških sistemov in varnostnih filtrov do eksperimentalnih funkcij, ki še nikoli niso bile namenjene javnosti.

Časovnica: od izdaje npm do globalne replikacije

Incident se osredotoča na paket npm @anthropic-ai/claude-code, natančneje različica 2.1.88Med sicer standardno izdajo je Anthropic objavil Datoteka z izvornim zemljevidom JavaScript velikosti približno 60 MB (običajno imenovano cli.js.map) skupaj z zmanjšanim svežnjem CLI. Namesto da bi bil ta zemljevid odstranjen iz produkcijskega artefakta, je ohranil sourcesContent polje, ki je učinkovito vdelalo izvirno kodo TypeScript.

Zaradi te napake bi lahko vsak, ki bi prijel paket rekonstruirati približno 1,900 datotek in več kot 500,000 vrstic TypeScripta, ki je razkril usmerjanje ukazov CLI, orkestracijo orodij, logiko telemetrije, varnostne preglede in notranje pozive. Zemljevid je kazal tudi nazaj na javno dostopno zip arhivo v Anthropicovo lastno vedro za shranjevanje Cloudflare R2, kar je pomenilo, da ni bil potreben noben vdor: datoteka je bila preprosto tam, odprta za internet.

Problem je prvi izpostavil varnostni raziskovalec Chaofan Shou (@Fried_rice), sodelavec pri podjetju za varnost veriženja blokov Fuzzland, ki je na X objavil neposredno povezavo do razkritega vedra. V nekaj urah je zrcalni repozitoriji so se pojavili na GitHubu, nekateri pa so hitro pritegnili več deset tisoč zvezdic, saj so razvijalci hiteli klonirati in pregledati kodo, preden je izginila.

Antropični se je odzval potegovanje prizadete različice npm in sprožitev vala zahtev za odstranitev na podlagi zakona DMCA, usmerjenih proti GitHubu in drugim platformam za gostovanje. Kljub temu je bilo do začetka kampanje odstranjevanja nešteto kopij že arhiviranih, razdeljenih in prerazporejenih, zaradi česar je bilo dejansko nemogoče v celoti umakniti gradivo.

Kako je napaka v embalaži razkrila vodilnega agenta umetne inteligence

Na papirju objava nove različice Claude Code v npm bi morala biti rutinska naloga: potisniti minimiziran paket JavaScript, vključiti le tisto, kar je nujno potrebno, in se zanašati na konfiguracijske datoteke (kot je .npmignore ali files polje v package.json), da se artefakti za odpravljanje napak ne vključijo v končni paket.

V tem primeru se je več majhnih izbir naložilo popolnoma na napačen način. Gradbeni cevovod je uporabil Zvezalec žemljic, Ki je privzeto ustvari izvorne zemljevideNoben nadaljnji korak v postopku prevajanja ali pakiranja ni odstranil tega zemljevida in napačno konfiguriran seznam ignoriranih pomenilo je, da je bil zemljevid poslan neposredno v javni register. Od tam naprej je odprta, globalno zrcaljena narava npm opravila ostalo.

Anthropic je poudaril, da brez občutljivih podatkov o strankah, poverilnic ali uteži modela so bili del puščanja informacij. Namesto tega je šlo zgolj za težavo z embalažo: metapodatki za odpravljanje napak, namenjeni notranjemu odpravljanju težav, so bili pomotoma vključeni v produkcijsko izdajo. Takšna uokvirjenost je z ozkega varnostnega vidika pravilna, vendar podcenjuje, koliko strateških informacij se skriva v kodni bazi sodobnega agenta umetne inteligence.

Zadevo je še bolj zapletlo to, da je bilo to ne prvič Nekaj ​​podobnega se je že zgodilo. Zelo podobno puščanje izvorne kode naj bi vplivalo na prejšnjo različico Claude Code leta februar 2025Dva skoraj identična incidenta v približno 13 mesecih neizogibno sprožata vprašanja o tem, kako strogo Anthropic uveljavlja varovalne ograje pri svojih izdajah.

Kaj razkriva razkrita Claudeova koda

Ko so raziskovalci in razvijalci začeli pregledovati obnovljene datoteke, je postalo jasno, da to ni bil površen vpogled v nekaj pomožnih skriptov, temveč celoten arhitekturni prerez CLI Claudea CodeaDrevo TypeScript obsega približno pol milijona vrstic in zajema:

• Izvajanje in orkestracija orodij: kako Claude Code načrtuje, zaporedja in kliče orodja, lupine in zunanje storitve.
• Sheme dovoljenj in pravila peskovnika: natančna logika, ki določa, kateri ukazi se lahko izvajajo, s katerimi parametri in v katerih okoljih.
• Pomnilniški sistemi in upravljanje konteksta: strategije za obvladovanje dolgotrajnih sej brez izgube skladnosti.
• Telemetrija in analitika: kaj se izmeri, združi in pošlje nazaj podjetju Anthropic.
• Sistemski pozivi in ​​zastavice funkcij: skrita navodila, ki oblikujejo vedenje agenta in preklapljajo eksperimentalne zmožnosti.

Analize skupnosti so izpostavile trislojna zasnova pomnilnika osredotočeno na datoteko, ki je pogosto opisana kot MEMORY.mdNamesto da bi v nedogled beležil surovo zgodovino interakcij, Claude Code vzdržuje indeksirana, tematsko usmerjena referenčna strukturaAgent se posvetuje s tem indeksom, ko mora priklicati prejšnje delo, pri čemer potegne le fragmente, ki so pomembni za trenutno nalogo, in upošteva stroga pravila pisanja, da zmanjša zamik konteksta in samopoškodovanje.

Ta pristop »spomina z zdravim skepticizmom« pomaga ublažiti entropija dolgotrajnih pogovorov, kjer bi naivno kopičenje konteksta sicer povzročilo, da bi agent postal nedosleden ali haluciniral. Za druge ekipe, ki gradijo agentna orodja, je puščanje dejansko brezplačen mojstrski tečaj orkestracije pomnilnika produkcijske kakovosti.

Vir razkriva tudi različne notranje telemetrične kljuke. Med njimi je logika, ki zastave signale frustracije – na primer skeniranje kletvic v pozivih – brez ohranjanja celotnih uporabniških pogovorov ali kodnih baz. Drug pomemben del je "Pod krinko" ali prikrit način zasnovano za odstranjevanje internih kodnih imen projektov in drugih občutljivih identifikatorjev iz git commit-ov in pull request-ov, da prispevki, napisani z umetno inteligenco, ne bi pomotoma razkrili lastniških podrobnosti.

Poleg sistemov, ki so že vidni v izdelku, se kodna baza sklicuje na neobjavljena ali skrita funkcionalnost nadzorovano z zastavicami funkcij: načini za delovanje v ozadju, koordinacija med več agenti in celo igrivi dodatki uporabniškega vmesnika, kot so terminalski spremljevalci.

Neizdani moduli: KAIROS, BUDDY in večagentni roji

Nekatera najbolj zanimiva odkritja se vrtijo okoli zmogljivosti, ki jih Anthropic še ni javno objavil, in so zdaj predstavljene v podrobnih inženirskih podrobnostih. Eden od izstopajočih modulov je KAIROS, opisano v komentarjih in konfiguraciji kot neprekinjeno delujoč demon v ozadju ki spremlja spremembe datotek, beleži dogodke in izvaja tako imenovane sanje ali »onirska« konsolidacija se izvede, ko je uporabnik nedejaven.

V praksi se zdi, da KAIROS daje Claudeu Codeu nekaj podobnega "Vedno vklopljena" avtonomijaNamesto pasivnega čakanja na pozive se lahko agent občasno prebudi, ponovno indeksira svoje razumevanje kodne baze, očisti svoje pomnilniške strukture in pripravi boljše načrte za prihajajoče delovne seje. Za ekipe, ki eksperimentirajo s popolnoma avtonomnimi agenti, to v bistvu razkriva Anthropicov načrt za dolgožive delavce v ozadju.

Druga značilnost, ki je hitro pritegnila domišljijo interneta, je PRIJATELJ, v kodi prikazan kot nekakšen maskota ob terminaluImplementacija vključuje 18 različnih »vrst« – ena od njih je kapibara – ter igrive statistike, kot je DEBUGGING, PATIENCE in CHAOSČeprav se na prvi pogled zdi muhast, BUDDY kaže na to, da Anthropic eksperimentira z bolj izraznimi, čustveno ozaveščenimi izkušnjami razvijalcev.

Na resnejšem koncu spektra leži arhitektura za sodelovanje več agentov. Notranje opisana s konstrukti, kot je Način KOORDINATORJA in ULTRAPLAN seje, ta sistem omogoča primarnemu agentu ustvarjanje in nadzor flot delavskih agentov vzporedno. Odlomki dokumentacije omenjajo oddaljene načrtovalne sestanke med agenti, ki trajajo od 10 do 30 minut, kar nakazuje model, kjer lahko Claude Code razdeli veliko nalogo, dodeli podnaloge pomočnikom in nato združi rezultate.

Obstajajo tudi namigi o modulih in različicah modelov, ki so še v razvoju, vključno s sklici na interna imena, kot je Capybara, uokvirjeni kot razvoj družine Claude 4.x. Metrike, vdelane v kodo, omemba stopnje lažno pozitivnih rezultatov se gibljejo okoli 29–30 % za nekatere varnostne ali detekcijske sisteme, v primerjavi s približno 16.7 % v prejšnjih krogih – odkrite številke, ki bi običajno ostale znotraj inženirskih nadzornih plošč.

Skupaj te najdbe spremenijo puščajoče drevo v posnetek strategije agentov Anthropic na ravni načrtakje podjetje vidi meje uporabne avtonomije, kako želi, da agenti sodelujejo, in s kakšnimi kompromisi se trenutno spopada.

Jailbreaki, kloni in posledice dobavne verige

Tudi če gesla ali žetoni niso bili razkriti, varnostni strokovnjaki še zdaleč niso sproščeni. S celotno logiko CLI v rokah postane veliko lažje obratno inženirstvo Claude Codeovih varovalnih ograj in raziskujte poti okoli njih. Kar je bilo nekoč črna skrinjica, je zdaj podroben recept za to, kako orodje razčlenjuje ukaze, uporablja filtre in odloča, ali je nekaj varno zagnati v uporabnikovem terminalu.

Ta preglednost je lahko dvorezen meč. Po eni strani lahko obrambni raziskovalci zdaj pregledati varnostni model z izjemno natančnostjo in predlagajo strategije za utrjevanje. Po drugi strani pa lahko napadalci skrbno oblikujejo pozive in manipulacije konteksta, da podtakniti zlonamerna navodila mimo Bash validatorjev, izkoristiti subtilne razlike med plastmi dovoljenj ali prepričati agenta v dejanja, ki jih nikoli ni bil namenjen izvajanju.

Tesno povezana skrb je porast zlonamerni ali ponarejeni kloniZ na voljo produkcijsko pripravljeno kodno osnovo je za motiviranega akterja preprosto odstraniti blagovno znamko in telemetrijo, vstaviti zadnja vrata ali logiko za izkrcanje podatkov ter objaviti skoraj identičen paket pod nekoliko spremenjenim imenom. Za razvijalce, ki orodja iz npm nameščajo samodejno, je tveganje za namestitev okuženega agenta, podobnega Claudu, zdaj občutno večje.

Čas uhajanja informacij je te pomisleke še okrepil. Približno v istem časovnem okviru se je npm soočil z neodvisen napad dobavne verige na priljubljeno axios paket, pri čemer so zlonamerne različice aktivne med približno 00:21 in 03:29 UTC. Ta vzporedni incident je poudaril, kako krhek je lahko ekosistem JavaScript, ko gre za zaupanje v odvisnosti.

Varnostna navodila za ekipe, ki so v tem obdobju namestile ali posodobile Claude Code prek npm, so bila precej nejasna: revidirajte svoje drevo odvisnosti, še posebej za pakete, kot so axios in plain-crypto-js; zamenjajte poverilnice, ki so morda bile prisotne na prizadetih sistemih; in pozorno spremljajte nepravilno vedenje. Anthropic je to izrecno predlagal daje prednost izvornemu namestitvenemu programu pred npm v prihodnje zmanjšati površino napada.

Uradni odgovor Anthropica in pobuda DMCA

Ko je novica o uhajanju informacij prišla v javnost, je Anthropic hitro oblikoval zgodbo. V komentarjih, ki jih je delil z mediji, kot sta TecMundo in VentureBeat, je podjetje poudarilo, da To je bila težava z izdajo paketa, ki jo je povzročila človeška napaka, ne kršitev notranje infrastrukture ali zunanji vdor.

Osrednje sporočilo je ostalo dosledno: brez skrivnosti strank, brez poverilnic, brez uteži modela je pricurljala; razkrita je bila le notranja logika aplikacije. V izjavi je bilo tudi poudarjeno, da je Anthropic že uvedba zaščitnih ukrepov za preprečevanje podobnih nesreč v prihodnjih gradnjah, čeprav podrobni obdukcije še niso bili javno objavljeni.

Na pravnem področju se je podjetje lotilo energičnega Kampanja za odstranitev DMCAGitHub in drugi ponudniki gostovanja so začeli prejemati zahteve za odstranitev repozitorijev, ki zrcalijo izvorno kodo Claude Code, pri čemer so nekateri najvidnejši zrcalni viri izginili, potem ko so pritegnili veliko pozornosti in razprav.

Kljub tem potezam je praktična realnost taka, da ko kodna baza te velikosti enkrat uide v divjino, Popolnoma ga je mogoče spet ukrotiti, kar je skoraj nemogočeArhivirane kopije krožijo zasebno, šifrirani paketi so shranjeni na generičnih spletnih mestih za deljenje datotek, podmnožice kode pa so navdušenci, ki želijo zaobiti omejitve avtorskih pravic, že ​​prenesli ali ponovno implementirali v druge jezike, kot sta Python in Rust.

Do incidenta je prišlo le nekaj dni po domnevni drugi konfiguracijski napaki. razkrili približno 3,000 notranjih datotek povezan z neobjavljenim modelom, znanim kot »Claude Mythos«, prek napačno konfiguriranega sistema za upravljanje vsebin. Dva nepovezana izpuščanja objav v manj kot tednu dni sta opazovalce seveda spodbudila k dvomom Anthropicova operativna higiena glede objav vsebine in kode.

Širši vpliv na ekosistem umetne inteligence in konkurenco

Z vidika poslovanja puščanje informacij zadeva izdelek, ki je bil že prej obravnavan kot eden ključnih gonilnikov prihodkov podjetja AnthropicIndustrijske ocene omenjajo letni ponavljajoči se prihodek Claude Code v nekaj milijardah, pri čemer velika večina uporabe prihaja od poslovnih strank. Zaradi tega CLI ni le igračka za razvijalce, temveč strateški steber komercialnega načrta podjetja.

Z objavo tolikšnega dela svoje arhitekture incident dejansko izpostavlja konkurenčnim ekipam zelo podroben inženirski priročnik ...za kar bi sicer potrebovali leta eksperimentiranja in precejšen kapital za sestavljanje. Konkurenčna orodja, vključno z novejšimi agentnimi IDE in kodirnimi kopiloti, lahko zdaj primerjajo svoje lastne pristope z resničnimi oblikovalskimi odločitvami Anthropica, namesto da bi delovala na podlagi ugibanj in trženjskega jezika.

Hkrati puščanje znižuje vstopno oviro za potencialne Tekmovalci Clauda CodeaZdaj je veliko lažje sestaviti agenta s podobnimi vzorci pomnilnika, delovnimi tokovi v ozadju in koordinacijskimi zmogljivostmi s sklicevanjem na implementacije, ki so bile že uglašene za produkcijsko uporabo. V tem smislu je del intelektualnega jarka Anthropic nenadoma postal skupno znanje za širšo industrijo.

Zgodovina kaže, da imajo lahko takšni dogodki paradoksalen učinek. Po eni strani pospešiti inovacije na celotnem področju, saj se vse več ekip uči iz visokokakovostnih primerov. Po drugi strani pa zmanjšujejo prednost tistih, ki so se lotili zgodnjih korakov, in silijo uveljavljena podjetja, da se hitreje premikajo in več vlagajo v diferencialne funkcije, varnost in zanesljivost.

Za zagonska podjetja in velike kupce, ki ocenjujejo orodja za umetno inteligenco, bi lahko ta dogodek subtilno spremenil tudi pričakovanja. Potencialne stranke bodo verjetno bolj pritiskale na prodajalce. disciplina pri izdaji, zaščitni ukrepi CI/CD in postopki odzivanja na incidente, pri čemer varne objavljalske cevovode obravnavajo kot nepogrešljiv del vsake resne platforme umetne inteligence.

Varnostne lekcije: od konfiguracijskih datotek do strežnikov MCP

Vodje in strokovnjaki na področju varnosti so uhajanje informacij uporabili kot odskočno desko za predlog betonske obrambne stopnice za organizacije, ki že eksperimentirajo z orodji za agentno kodiranje. Eno od ponavljajočih se priporočil je, da konfiguracijske datoteke za revizijo, povezane s Claude Code, Kot je CLAUDE.md in .claude/config.json, ki lahko delujejo kot vektorji z visokimi privilegiji za vbrizgavanje skritih navodil ali sproščanje varnostnih nastavitev.

Drugo področje poudarka je obravnavanje zunanjih strežnikov orodij in končnih točk protokola MCP (Model Context Protocol) kot nezaupanja vrednih odvisnostiKer so pogodbene površine zdaj podrobno opredeljene, bi lahko zlonamerni operaterji poskušali posnemajo legitimne strežnike ali subtilno spreminjati vedenje na teh integracijskih točkah. Pripenjanje različic, spremljanje sprememb in strožji nadzor dostopa lahko zmanjšajo to tveganje.

Glede na to, kako hitro lahko asistent umetne inteligence premika kodo, se ekipe pozivajo tudi k zaklenite dovoljenja lupine in sistematično skenirajte za skrivnosti še preden pridejo do repozitorija. Iste sposobnosti, ki agentom omogočajo produktivnost – hitro urejanje konfiguracij, povezovanje CI in dostop do več storitev – lahko prav tako enostavno en sam napačen korak spremenijo v resno uhajanje poverilnic.

Nenazadnje je vse večji pritisk na organizacije, da sledite izvoru potrjenih s pomočjo umetne inteligence potrjenih potrjevanjKer agenti na svetu pišejo ali spreminjajo vse več kode, lahko regulatorji in revizorji upravičeno pričakujejo jasne politike razkritja, robustno beleženje in načine za preverjanje izvora kritične logike, zlasti na občutljivih ali reguliranih področjih.

Skupno gledano ti predlogi odražajo premik od obravnave agentov umetne inteligence kot le še enega orodja za razvijalce k njihovemu prepoznavanju kot osrednja infrastruktura z lastnimi namenskimi modeli groženj, ranljivosti dobavne verige in potrebe upravljanja.

Skratka, razkritje Claude Code prek npm ni toliko zgodba o eni sami pomanjkljivi izdaji in bolj o tem, kako Majhne, ​​znane napake v sodobnih programskih cevovodih lahko spremenijo konkurenčno in varnostno okolje. okoli umetne inteligence. Ker je notranji priročnik agenta zdaj dejansko javen, se Anthropic in njegovi konkurenti soočajo z vse večjim pritiskom, da okrepijo svoje objavljalske tokove, ponovno premislijo, koliko logike razkrijejo na robu, in zgradijo kulturo, kjer so podrobnosti konfiguracije deležne prav toliko pozornosti kot katera koli najsodobnejša arhitektura modela.