Broncode van Claude Code gelekt via npm: wat er precies is gebeurd en waarom het belangrijk is.

Home » Python » Broncode van Claude Code gelekt via npm: wat er precies is gebeurd en waarom het belangrijk is.

De toevallige Blootstelling van de interne broncode van Claude Code via npm Een routine-release is uitgegroeid tot een van de meest besproken AI-beveiligingsincidenten van de afgelopen jaren. Wat begon als een verpakkingsfout met betrekking tot een JavaScript-bronmap, eindigde als een honderdduizenden regels TypeScript van Anthropic verwerken in handen van onderzoekers, concurrenten en opportunistische aanvallers over de hele wereld.

In plaats van een klassieke inbreuk waarbij de perimeterbeveiliging wordt omzeild of inloggegevens worden gestolen, laat deze zaak zien hoe Simpele menselijke fouten bij het publiceren van software. kan zeer gevoelige intellectuele eigendommen lekken. Het lek bevat geen modelgewichten of klantgegevens, maar het legt wel de interne werking bloot van een van de meest geavanceerde systemen. agentische codeerassistenten Op de markt, van geheugensystemen en veiligheidsfilters tot experimentele functies die nooit bedoeld waren om openbaar te worden gemaakt.

Tijdlijn: van npm-release tot wereldwijde replicatie

Het incident draait om het npm-pakket. @anthropic-ai/claude-code, specifiek versie 2.1.88Tijdens een verder standaard release publiceerde Anthropic een JavaScript-broncodebestand van ongeveer 60 MB (vaak aangeduid als cli.js.map) samen met de geminificeerde CLI-bundel. In plaats van te worden verwijderd uit het productie-artefact, behield die kaart een sourcesContent een veld dat de originele TypeScript-code effectief insloot.

Door die nalatigheid kon iedereen die het pakket pakte Ongeveer 1,900 bestanden en meer dan 500,000 regels TypeScript-code reconstrueren.waarbij de opdrachtroutering, toolorkestratie, telemetrielogica, veiligheidscontroles en interne prompts van de CLI werden blootgelegd. De kaart verwees ook terug naar een openbaar toegankelijk zip-archief in Anthropic's eigen Cloudflare R2-opslagbucket, wat betekende dat er geen inbreuk nodig was: het bestand was er gewoon, toegankelijk via internet.

Het probleem werd voor het eerst aan het licht gebracht door beveiligingsonderzoeker Chaofan Shou (@Fried_rice), een medewerker van blockchainbeveiligingsbedrijf Fuzzland, die een directe link naar de blootgestelde bucket op X plaatste. Binnen enkele uren, Spiegelrepositories verschenen op GitHubSommige projecten trokken razendsnel tienduizenden sterren aan, terwijl ontwikkelaars zich haastten om de code te kopiëren en te inspecteren voordat deze verdween.

Antropisch reageerde door de betreffende npm-versie ophalen en lanceerde een golf van DMCA-verwijderingsverzoeken gericht op GitHub en andere hostingplatformen. Tegen de tijd dat de verwijderingscampagne van start ging, waren er echter al talloze kopieën gearchiveerd, geforkt en verspreid, waardoor het praktisch onmogelijk werd om het materiaal volledig te verwijderen.

Gerelateerd artikel:

Shai-Hulud: de aanval die de cadena van de suministro van npm oplost

Hoe een verpakkingsfout een toonaangevende AI-agent ontmaskerde

Op papier, Een nieuwe versie van Claude Code publiceren op npm Dit zou een routineklus moeten zijn: een geminificeerde JavaScript-bundel uploaden, alleen de strikt noodzakelijke onderdelen opnemen en vertrouwen op configuratiebestanden (zoals .npmignore of de files veld in package.json) om te voorkomen dat debug-artefacten in het uiteindelijke pakket terechtkomen.

In dit geval stapelden verschillende kleine keuzes zich op precies de verkeerde manier op. De build-pipeline gebruikte de Bundelmaker, welke genereert standaard bronkaartenGeen enkele volgende stap in het compilatie- of verpakkingsproces heeft die kaart verwijderd, en een verkeerd geconfigureerde negeerlijst Dit betekende dat de kaart direct naar het openbare register werd verzonden. Van daaruit deed het open, wereldwijd gespiegelde karakter van npm de rest.

Anthropic heeft benadrukt dat geen gevoelige klantgegevens, inloggegevens of modelgewichten maakten deel uit van het lek. In plaats daarvan was dit puur een verpakkingsprobleem: debugmetadata bedoeld voor interne probleemoplossing was per ongeluk in een productierelease terechtgekomen. Die omschrijving klopt vanuit een eng beveiligingsperspectief, maar onderschat hoeveel strategische informatie er in de codebase van een moderne AI-agent schuilgaat.

Wat de zaken nog ingewikkelder maakte, was dat dit niet de eerste keer Zoiets was al eens gebeurd. Een vergelijkbaar lek in de sourcemap zou een eerdere build van Claude Code hebben getroffen. februari 2025Twee vrijwel identieke incidenten binnen een periode van ongeveer 13 maanden roepen onvermijdelijk vragen op over hoe strikt Anthropic de beveiligingsmaatregelen in zijn releaseprocessen handhaaft.

Wat de gelekte Claude Code werkelijk onthult

Toen onderzoekers en ontwikkelaars de herstelde bestanden begonnen te doorzoeken, werd het duidelijk dat dit geen oppervlakkige blik op een paar hulpscripts was, maar een Volledige architectonische dwarsdoorsnede van Claude Code's CLIDe TypeScript-structuur omvat ongeveer een half miljoen regels code en behandelt het volgende:

• Uitvoering en orkestratie van tools: Hoe Claude Code tools, shells en externe services plant, in de juiste volgorde plaatst en aanroept.
• Toestemmingsschema's en sandboxregels: De precieze logica die bepaalt welke commando's kunnen worden uitgevoerd, met welke parameters en in welke omgevingen.
• Geheugensystemen en contextbeheer: Strategieën om langdurige sessies te beheren zonder de samenhang te verliezen.
• Telemetrie en analyse: Wat wordt gemeten, verzameld en teruggestuurd naar Anthropic?
• Systeemmeldingen en functievlaggen: De verborgen instructies bepalen het gedrag van de agent en schakelen de experimentele mogelijkheden in of uit.

Analyses van de gemeenschap brachten een drielaags geheugenontwerp gecentreerd rond een bestand dat vaak wordt omschreven als MEMORY.mdIn plaats van de ruwe interactiegeschiedenis oneindig lang vast te leggen, houdt Claude Code het volgende bij: een geïndexeerde, op onderwerpen gebaseerde referentiestructuurDe agent raadpleegt die index wanneer hij eerder werk moet oproepen, waarbij hij alleen de fragmenten ophaalt die relevant zijn voor de huidige taak en strikte schrijfregels volgt om contextverschuiving en zelfcorruptie te verminderen.

Deze benadering van "herinnering met een gezonde dosis scepsis" helpt de gevolgen te verzachten. entropie van langdurige gesprekkenwaarbij naïeve contextaccumulatie er anders voor zou zorgen dat de agent inconsistent wordt of gaat hallucineren. Voor andere teams die agentische tools ontwikkelen, is het lek effectief een gratis masterclass over geheugenorkestratie van productieniveau.

De broncode onthult ook diverse interne telemetrie-hooks. Daaronder bevindt zich logica die vlaggen frustratie signalen — bijvoorbeeld door te scannen op scheldwoorden in prompts — zonder volledige gebruikersgesprekken of codebases te bewaren. Een ander noemenswaardig onderdeel is een “ondergedoken” of stealth-modus Ontworpen om interne projectcodenamen en andere gevoelige identificatiegegevens uit git-commits en pull-requests te verwijderen, zodat door AI geschreven bijdragen niet per ongeluk vertrouwelijke details lekken.

Naast de systemen die al in het product zichtbaar zijn, verwijst de codebasis naar niet-uitgebrachte of verborgen functionaliteit aangestuurd door feature flags: modi voor achtergrondwerking, coördinatie tussen meerdere agents en zelfs speelse UI-elementen zoals terminal companions.

Nog niet uitgebrachte modules: KAIROS, BUDDY en multi-agent zwermen

Een aantal van de meest opvallende ontdekkingen betreffen mogelijkheden die Anthropic nog niet publiekelijk had aangekondigd, maar die nu in gedetailleerde technische specificaties worden gepresenteerd. Een van de meest in het oog springende modules is... KAIROS, beschreven in opmerkingen en configuratie als een continu draaiende achtergronddaemon dat bestandswijzigingen in de gaten houdt, gebeurtenissen registreert en zogenaamde droom of "oniric"-consolidatie plaatsvindt wanneer de gebruiker inactief is.

In de praktijk lijkt KAIROS Claude Code iets te bieden dat in de buurt komt van... “altijd actieve” autonomieIn plaats van passief te wachten op aanwijzingen, kan de agent periodiek ontwaken, zijn begrip van een codebase opnieuw indexeren, zijn geheugenstructuren opschonen en betere plannen maken voor toekomstige werksessies. Voor teams die experimenteren met volledig autonome agenten, onthult dit in wezen Anthropics blauwdruk voor langdurige, achtergrondwerkers.

Een andere functie die snel de verbeelding van het internet wist te prikkelen is BUDDY, in de code weergegeven als een soort van mascotte bij de terminalDe implementatie omvat 18 verschillende 'soorten' - waaronder een capibara - en speelse statistieken zoals... DEBUGGING, PATIENCE en CHAOSHoewel BUDDY op het eerste gezicht speels lijkt, wijst het erop dat Anthropic experimenteert met meer expressieve, emotioneel bewuste ontwikkelaarservaringen.

Aan het meer serieuze uiteinde van het spectrum bevindt zich een architectuur voor samenwerking tussen meerdere agenten. Intern beschreven door middel van constructies zoals een COÖRDINATOR-modus en ULTRAPLAN-sessiesDit systeem maakt het mogelijk dat een primaire agent Vloten van werkagenten genereren en beheren Parallel daaraan. Documentatiefragmenten verwijzen naar planningsvergaderingen op afstand tussen agenten die 10 tot 30 minuten duren, wat suggereert dat Claude Code een grote taak kan opsplitsen, subtaken kan delegeren aan helpers en vervolgens de resultaten kan samenvoegen.

Er zijn ook aanwijzingen voor modules en modelvarianten die nog in ontwikkeling zijn, waaronder verwijzingen naar interne namen zoals Capybara, gepresenteerd als evoluties van de Claude 4.x-familie. De in de code opgenomen statistieken vermelden Het percentage vals-positieve resultaten schommelt rond de 29-30%. Voor sommige veiligheids- of detectiesystemen ligt dit percentage, vergeleken met ongeveer 16.7% in eerdere rondes – cijfers die normaal gesproken alleen in technische dashboards openbaar zouden worden gemaakt.

Al deze bevindingen samen maken van de gelekte boom een Een beknopt overzicht van de agentenstrategie van Anthropic.: waar het bedrijf de grenzen van nuttige autonomie ziet, hoe het wil dat agenten samenwerken en met welke afwegingen het momenteel worstelt.

Ontsnappingen uit de gevangenis, klonen en de gevolgen voor de toeleveringsketen.

Zelfs als er geen wachtwoorden of tokens zijn gelekt, zijn beveiligingsspecialisten nog lang niet gerustgesteld. Met de volledige CLI-logica in handen wordt het veel gemakkelijker om De vangrails van Claude Code reverse-engineeren en paden eromheen verkennen. Wat voorheen een black box was, is nu een stapsgewijs recept voor hoe de tool commando's analyseert, filters toepast en bepaalt of iets veilig is om in de terminal van een gebruiker uit te voeren.

Die transparantie kan een tweesnijdend zwaard zijn. Aan de ene kant kunnen defensieve onderzoekers nu Het veiligheidsmodel grondig auditeren en suggesties doen voor beveiligingsstrategieën. Aan de andere kant kunnen aanvallers zorgvuldig prompts en contextmanipulaties ontwerpen om Het is niet gepast om kwaadaardige instructies langs Bash-validators te sluipen., subtiele verschillen tussen permissielagen benutten of de agent ertoe aanzetten acties uit te voeren die hij nooit had mogen uitvoeren.

Een nauw verwante zorg is de toename van kwaadaardige of namaakklonenMet een kant-en-klare codebasis is het voor een kwaadwillende een fluitje van een cent om de merknaam en telemetrie te verwijderen, backdoors of data-exfiltratielogica te injecteren en een bijna identiek pakket onder een licht gewijzigde naam te publiceren. Voor ontwikkelaars die automatisch tools van npm installeren, is het risico op het binnenhalen van een besmette "Claude-achtige" agent nu aanzienlijk groter.

De timing van het lek versterkte deze zorgen. Rond dezelfde tijdsperiode kreeg npm te maken met een onafhankelijke aanval op de toeleveringsketen van de populaire axios pakketEr waren kwaadaardige versies actief tussen ongeveer 00:21 en 03:29 UTC. Dat parallelle incident onderstreepte hoe kwetsbaar het JavaScript-ecosysteem kan zijn als het gaat om vertrouwen in afhankelijkheden.

De beveiligingsrichtlijnen voor teams die Claude Code in die periode via npm hebben geïnstalleerd of bijgewerkt, waren zeer duidelijk: Controleer je afhankelijkheidsstructuur., vooral voor pakketten zoals axios en plain-crypto-js; de inloggegevens roteren die mogelijk op de getroffen systemen aanwezig waren; en afwijkend gedrag nauwlettend in de gaten houden. Anthropic heeft op zijn beurt expliciet gesuggereerd waarbij de voorkeur uitgaat naar de eigen installer boven npm. in de toekomst het aanvalsoppervlak verkleinen.

De officiële reactie van Anthropic en de DMCA-oproep

Toen het nieuws over het lek naar buiten kwam, reageerde Anthropic snel om het verhaal te beïnvloeden. In reacties aan media zoals TecMundo en VentureBeat benadrukte het bedrijf dat Dit was een probleem met de releaseverpakking, veroorzaakt door een menselijke fout.Het betreft geen inbreuk op de interne infrastructuur of een externe hack.

De kernboodschap bleef onveranderd: geen klantgeheimen, geen inloggegevens, geen modelgewichten was uitgelekt; alleen interne applicatielogica was openbaar geworden. In de verklaring werd ook benadrukt dat Anthropic al Het invoeren van veiligheidsmaatregelen om soortgelijke incidenten te voorkomen. in toekomstige builds, hoewel gedetailleerde analyses achteraf nog niet openbaar zijn gemaakt.

Op juridisch vlak zette het bedrijf zich vol energie in voor een nieuw proces. DMCA-verwijderingscampagneGitHub en andere hostingproviders begonnen verzoeken te ontvangen om repositories te verwijderen die de broncode van Claude Code spiegelden. Enkele van de meest prominente spiegelrepositories verdwenen nadat ze veel aandacht en discussie hadden gegenereerd.

Ondanks deze maatregelen is de praktische realiteit dat zodra een codebase van deze omvang in omloop komt, Het volledig terugdringen ervan is vrijwel onmogelijk.Gearchiveerde kopieën circuleren privé, versleutelde bestanden staan ​​op algemene sites voor het delen van bestanden en delen van de code zijn al geporteerd of opnieuw geïmplementeerd in andere talen zoals Python en Rust door enthousiastelingen die de auteursrechtelijke beperkingen willen omzeilen.

Het incident vond bovendien slechts enkele dagen na een ander configuratieprobleem plaats, dat naar verluidt ook al was voorgekomen. ongeveer 3,000 interne bestanden blootgelegd gekoppeld aan een nog niet uitgebracht model genaamd "Claude Mythos" via een verkeerd geconfigureerd CMS. Twee ongerelateerde publicatiefouten in minder dan een week hebben waarnemers er vanzelfsprekend toe aangezet vragen te stellen. De operationele hygiëne van Anthropic rondom content- en code-releases..

Bredere impact op het AI-ecosysteem en concurrenten

Vanuit zakelijk oogpunt treft het lek een product dat al als zodanig werd beschouwd. een van de belangrijkste inkomstenbronnen van AnthropicVolgens schattingen uit de sector bedraagt ​​de jaarlijkse terugkerende omzet van Claude Code enkele miljarden, waarbij het overgrote deel van het gebruik afkomstig is van zakelijke klanten. Dat maakt de CLI niet zomaar een speeltje voor ontwikkelaars, maar een waardevolle tool voor de markt. strategische pijler van de commerciële routekaart van het bedrijf.

Door zoveel van de architectuur openbaar te maken, geeft het incident rivaliserende teams in feite een voorsprong. een zeer gedetailleerd draaiboek voor ingenieurs Dat zou anders jaren van experimenteren en aanzienlijk kapitaal vergen om te realiseren. Concurrerende tools, waaronder nieuwere agentische IDE's en codeercopiloten, kunnen hun eigen aanpak nu vergelijken met de daadwerkelijke ontwerpbeslissingen van Anthropic in plaats van te werken op basis van gissingen en marketingpraatjes.

Tegelijkertijd verlaagt het lek de drempel voor potentiële deelnemers. Claude Code concurrentenHet is nu veel eenvoudiger om een ​​agent samen te stellen met vergelijkbare geheugenpatronen, achtergrondworkflows en coördinatiemogelijkheden door te verwijzen naar implementaties die al geoptimaliseerd waren voor productiegebruik. In die zin is een deel van Anthropics intellectuele voorsprong plotseling gedeelde kennis geworden voor de bredere industrie.

De geschiedenis leert dat dergelijke gebeurtenissen een paradoxaal effect kunnen hebben. Enerzijds... innovatie in het hele vakgebied versnellenEnerzijds leren meer teams van hoogwaardige voorbeelden. Anderzijds tasten ze de voorsprong van de koplopers aan, waardoor gevestigde bedrijven gedwongen worden sneller te handelen en zwaarder te investeren in onderscheidende kenmerken, veiligheid en betrouwbaarheid.

Voor startups en zakelijke kopers die AI-tools evalueren, kan dit incident ook de verwachtingen subtiel beïnvloeden. Potentiële klanten zullen leveranciers waarschijnlijk meer onder druk zetten op het gebied van... Release-discipline, CI/CD-beveiligingsmaatregelen en incidentresponsprocedureswaarbij veilige publicatieprocessen worden beschouwd als een niet-onderhandelbaar onderdeel van elk serieus AI-platform.

Beveiligingslessen: van configuratiebestanden tot MCP-servers

Leiders en experts op het gebied van beveiliging hebben het lek aangegrepen als springplank om voorstellen te doen. concrete verdedigingsstappen voor organisaties die al experimenteren met agentische codeertools. Een terugkerende aanbeveling is om Controleer de configuratiebestanden die zijn gekoppeld aan Claude Code., zoals CLAUDE.md en .claude/config.jsondie kunnen fungeren als vectoren met hoge privileges voor het injecteren van verborgen instructies of het versoepelen van veiligheidsinstellingen.

Een ander aandachtspunt is Externe toolservers en Model Context Protocol (MCP)-eindpunten als onbetrouwbare afhankelijkheden behandelen.Nu de contractuele afspraken gedetailleerd zijn vastgelegd, zouden kwaadwillende personen kunnen proberen zich voor te doen als legitieme servers of het gedrag op die integratiepunten subtiel te manipuleren. Het vastzetten van versies, het monitoren van wijzigingen en het aanscherpen van de toegangscontrole kunnen dat risico verkleinen.

Gezien de snelheid waarmee een AI-assistent code kan verplaatsen, worden teams ook aangespoord om Vergrendel de shelltoegang en scan systematisch op geheimen. voordat ze ook maar een repository bereiken. Dezelfde mogelijkheden die agents productief maken – snel configuraties bewerken, CI opzetten en meerdere services beheren – kunnen net zo makkelijk leiden tot een enkele misstap en een ernstig datalek.

Tot slot neemt de druk op organisaties toe om Volg de herkomst van door AI ondersteunde commits.Naarmate er wereldwijd meer code wordt geschreven of aangepast door ontwikkelaars, mogen toezichthouders en auditors redelijkerwijs duidelijke openbaarmakingsrichtlijnen, robuuste logboekregistratie en manieren om te verifiëren waar kritieke logica vandaan komt verwachten, met name in gevoelige of gereguleerde domeinen.

Al met al weerspiegelen deze suggesties een verschuiving van het beschouwen van AI-agenten als slechts een ontwikkelaarstool naar het erkennen ervan als... kerninfrastructuur met eigen specifieke dreigingsmodellen, kwetsbaarheden in de toeleveringsketen en behoeften op het gebied van governance.

Al met al is het lek van Claude Code via npm minder een verhaal over een enkele gebrekkige release en meer over hoe... Kleine, veelvoorkomende fouten in moderne softwareontwikkelingsprocessen kunnen het concurrentie- en beveiligingslandschap ingrijpend veranderen. rondom AI. Nu het interne draaiboek van de agent feitelijk openbaar is, staan ​​Anthropic en soortgelijke bedrijven onder toenemende druk om hun publicatieprocessen te versterken, te heroverwegen hoeveel logica ze aan de rand van het netwerk blootleggen en een cultuur te creëren waarin configuratiedetails net zo nauwkeurig worden onderzocht als de architectuur van een geavanceerd model.