Cadarnhaodd Anthropic fod fersiwn diweddar o becyn npm Claude Code yn ddamweiniol yn cynnwys ffeiliau cod ffynhonnell mewnol. Digwyddodd y digwyddiad ar fore Ebrill 1, 2026 gyda rhyddhau fersiwn 2.1.88 o’r pecyn @anthropic-ai/claude-code. Nododd Usuários yn gyflym bresenoldeb ffeil map ffynhonnell o tua 60 MB a oedd yn caniatáu i rannau sylweddol o sylfaen cod yr asiant amgodio gael eu hail-greu. Tynnodd y cwmni’r fersiwn yr effeithiwyd arni o’r gofrestrfa gyhoeddus a phriodolodd y broblem i gamgymeriad dynol yn y broses becynnu.
Ni ddatgelwyd unrhyw ddata cwsmeriaid sensitif na manylion adnabod yn ystod y digwyddiad. Amlygodd y cwmni nad oedd yr achos yn gyfystyr â thorri diogelwch allanol, ond yn hytrach methiant cyfluniad mewnol wrth baratoi’r datganiad. Dilynodd Desenvolvedores ac ymchwilwyr diogelwch y digwyddiad mewn amser real ar ôl cyhoeddusrwydd cychwynnol ar lwyfannau ar-lein.
Manylion y ffeil a ddatgelwyd yn y datganiad
Roedd y ffeil map ffynhonnell a gynhwyswyd yn y fersiwn problemus yn caniatáu mynediad i tua 1,900 o ffeiliau TypeScript a mwy na 512 mil o linellau cod. Mae deunydd Esse yn cyfateb i strwythur Claude Code, offeryn llinell orchymyn sy’n defnyddio galluoedd asiantaidd model Claude i gyflawni tasgau rhaglennu yn annibynnol. Cyhoeddwyd y pecyn ar gofrestrfa npm, ystorfa a ddefnyddir yn eang gan ddatblygwyr ledled y byd.
Digwyddodd y datguddiad oherwydd bod gosodiadau anwybyddu a oedd i fod i gadw’r map ffynhonnell yn fewnol wedi methu ag atal ei gynnwys yn y llun terfynol. Sylwodd Pesquisadores fod y map yn cyfeirio at ffeil gywasgedig ar storfa Anthropic, a oedd yn ei gwneud hi’n hawdd i unrhyw un â diddordeb lawrlwytho’r cynnwys yn llawn yn ystod y cyfnod byr pan oedd ar gael.
- Tynnwyd fersiwn pecyn 2.1.88 o npm yn fuan ar ôl i’r mater gael ei nodi.
- Cafodd copïau o’r cod a ddatgelwyd eu harchifo’n gyflym mewn ystorfeydd cyhoeddus ar GitHub.
- Dechreuodd dadansoddwyr archwilio’r deunydd i gael cipolwg ar bensaernïaeth yr asiant.
Anthropic ymateb i’r digwyddiad
Cyhoeddodd y cwmni ddatganiad swyddogol trwy lefarydd a chadarnhaodd fod y digwyddiad yn deillio o gamgymeriad dynol yn unig. Medidas Mae mesurau atal ychwanegol yn cael eu rhoi ar waith i osgoi ailadrodd tebyg mewn datganiadau meddalwedd yn y dyfodol. Atgyfnerthodd Anthropic fod Claude Code yn parhau i fod yn weithredol i ddefnyddwyr heb ymyrraeth sy’n gysylltiedig â’r achos.
Mae arbenigwyr diogelwch y gadwyn gyflenwi yn nodi y gall gollyngiadau o’r math hwn, hyd yn oed heb amlygiad modelau AI neu ddata cwsmeriaid, ddarparu gwelededd i offer mewnol a llif gwaith cwmni. Lansiwyd Claude Code ym mis Chwefror 2025 ac enillodd tyniant trwy ychwanegu nodweddion asiantaidd sy’n caniatáu i’r model gyflawni gweithredoedd ar ran y defnyddiwr â gwahanol lefelau o ymreolaeth.
Dadansoddiad technegol o’r deunydd sydd ar gael
Nododd datblygwyr a adolygodd y cod agored gyfeiriadau at offer mewnol, patrymau rhyngweithio rhwng cydrannau, a chyfluniadau asiant penodol. Mae maint y llinellau cod yn awgrymu sylfaen gymhleth sy’n integreiddio’r model iaith â galluoedd cyflawni tasgau, adolygu awtomatig a rheoli llif gwaith. Mae Parte o’r cynnwys yn datgelu dulliau a ddefnyddir i reoli ymddygiad asiant mewn senarios codio ymarferol.
Daw’r digwyddiad ar adeg o dwf cyflymach ar gyfer offer datblygu gyda chymorth AI. Empresas yn y sector yn buddsoddi’n drwm mewn asiantau sy’n mynd y tu hwnt i gynhyrchu cod syml ac yn dechrau gweithredu’n fwy annibynnol mewn amgylcheddau datblygu. Mae Anthropic yn gosod yr Claude Code fel ateb sy’n cydbwyso pŵer â mesurau diogelwch.
Cyd-destun diweddar digwyddiadau yn y cwmni
Dyma’r ail bennod a adroddwyd mewn cyfnod byr o amser yn cynnwys datguddiad damweiniol o wybodaeth fewnol o Anthropic. Yn yr wythnos flaenorol, daeth ffeiliau cynnwys drafft yn hygyrch i’r cyhoedd trwy ffurfweddiadau offer rheoli. Roedd y cwmni’n trin y ddau achos fel methiannau gweithredol ynysig ac nad oeddent yn gysylltiedig ag ymosodiadau allanol neu gamddefnyddio ei offer AI ei hun.
Mae cymunedau datblygwyr yn cadw llygad barcud ar ddatblygiadau, yn enwedig gan fod npm yn chwarae rhan ganolog yn y gadwyn gyflenwi meddalwedd fodern. Qualquer Gall methiant pecynnu yn yr ecosystem hon luosogi’n gyflym rhwng prosiectau dibynnol. Dywedodd Anthropic ei fod yn gweithio i gryfhau prosesau adolygu cyn cyhoeddi cyhoeddiadau newydd.
Effaith bosibl ar yr ecosystem AI
Mae mynediad at y cod Claude Code yn caniatáu i ymchwilwyr ac ymarferwyr archwilio mecanweithiau offeryniaeth asiant, rheoli offer, a strategaethau cyfyngu ymddygiad digroeso yn agos. Embora nad yw’r model iaith craidd wedi’i amlygu, mae’r bensaernïaeth o’i gwmpas yn cynnig cliwiau ynghylch sut mae Anthropic yn strwythuro rhyngweithiadau cymhleth rhwng AI a systemau allanol.
Enillodd yr offeryn amlygrwydd trwy ganiatáu i Claude gyflawni tasgau gyda llai o angen am ymyrraeth ddynol mewn rhai moddau. Mae Analistas yn nodi y gallai’r gollyngiad gyflymu trafodaethau am arferion diogelwch wrth ryddhau cynhyrchion AI, yn enwedig y rhai sy’n cynnwys cydrannau asiantaidd gyda’r potensial ar gyfer gweithredu ymreolaethol.
Mae Anthropic yn parhau i ddatblygu Claude Code ac ehangu ei alluoedd o fewn terfynau diffiniedig. Mae’r bennod yn ein hatgoffa o bwysigrwydd rheolaethau llym ar bob cam o ddosbarthu meddalwedd, hyd yn oed mewn cwmnïau sy’n arwain datblygiadau mewn deallusrwydd artiffisial.
