एंथ्रोपिक ने पुष्टि की है कि 1 अप्रैल, 2026 को जारी @एंथ्रोपिक-एआई/क्लाउड-कोड पैकेज के संस्करण 2.1.88 में गलती से लगभग 60 एमबी स्रोत मानचित्र फ़ाइल शामिल हो गई थी, जिसने एन्कोडिंग एजेंट स्रोत कोड के महत्वपूर्ण हिस्सों को पुनर्निर्माण करने की अनुमति दी थी। उपयोगकर्ताओं द्वारा एक्सपोज़र की पहचान करने के बाद कंपनी ने तुरंत प्रभावित संस्करण को एनपीएम रजिस्ट्री से हटा दिया। कंपनी ने इस घटना के लिए पैकेजिंग प्रक्रिया में मानवीय त्रुटि को जिम्मेदार ठहराया, किसी भी बाहरी सुरक्षा उल्लंघन या संवेदनशील ग्राहक डेटा के जोखिम को खारिज कर दिया।
लीक हुई फ़ाइल के एक्सपोज़र और सामग्री का पैमाना
स्रोत मानचित्र फ़ाइल ने क्लाउड कोड की संरचना से संबंधित लगभग 1,900 टाइपस्क्रिप्ट फ़ाइलों और कोड की 512 हजार से अधिक पंक्तियों तक पहुंच की अनुमति दी, एक कमांड लाइन टूल जो प्रोग्रामिंग कार्यों को स्वायत्त रूप से निष्पादित करने के लिए क्लाउड मॉडल की एजेंटिक क्षमताओं का उपयोग करता है। विफलता इसलिए हुई क्योंकि अंतिम निर्माण तैयारी के दौरान स्रोत मानचित्र को आंतरिक रखने वाली अनदेखी सेटिंग्स ठीक से काम नहीं कर पाईं।
शामिल मानचित्र एंथ्रोपिक स्टोरेज पर होस्ट की गई एक संपीड़ित फ़ाइल की ओर इशारा करता है, जिससे किसी भी इच्छुक व्यक्ति के लिए उस संक्षिप्त अवधि के दौरान सामग्री को पूरी तरह से डाउनलोड करना आसान हो जाता है, जिसमें यह एनपीएम रजिस्ट्री पर उपलब्ध रहता है, जो दुनिया भर के डेवलपर्स द्वारा व्यापक रूप से उपयोग की जाने वाली रिपॉजिटरी है।
- समस्या का पता चलने के तुरंत बाद पैकेज संस्करण 2.1.88 को एनपीएम से हटा दिया गया था।
- लीक हुए कोड की प्रतियां तुरंत GitHub पर सार्वजनिक रिपॉजिटरी में संग्रहीत की गईं।
- शोधकर्ताओं ने एजेंट की वास्तुकला में अंतर्दृष्टि के लिए सामग्री की जांच शुरू की।
मानवजनित प्रतिक्रिया और निवारक उपाय लागू किए गए
कंपनी ने एक आधिकारिक बयान जारी कर पुष्टि की कि यह प्रकरण विशेष रूप से मानवीय त्रुटि के कारण हुआ और इस बात पर ज़ोर दिया गया कि कोई भी संवेदनशील ग्राहक डेटा या क्रेडेंशियल उजागर नहीं किया गया। भविष्य के सॉफ़्टवेयर रिलीज़ में इसी तरह की पुनरावृत्ति से बचने के लिए अतिरिक्त रोकथाम उपाय लागू किए जा रहे हैं। क्लाउड कोड बिना किसी केस-संबंधी व्यवधान के उपयोगकर्ताओं के लिए चालू रहता है।
आपूर्ति श्रृंखला सुरक्षा विशेषज्ञ ध्यान देते हैं कि इस प्रकार के लीक, एआई मॉडल या ग्राहक डेटा के संपर्क के बिना भी, कंपनी के आंतरिक टूल और वर्कफ़्लो में दृश्यता प्रदान कर सकते हैं। एंथ्रोपिक ने कहा कि यह नए प्रकाशनों से पहले समीक्षा प्रक्रियाओं को मजबूत करने के लिए काम करता है।
उपलब्ध कोड का तकनीकी विश्लेषण
उजागर कोड की समीक्षा करने वाले डेवलपर्स ने आंतरिक उपकरणों, घटकों के बीच इंटरैक्शन पैटर्न और विशिष्ट एजेंट कॉन्फ़िगरेशन के संदर्भों की पहचान की। कोड की पंक्तियों की मात्रा एक जटिल आधार का सुझाव देती है जो भाषा मॉडल को कार्य निष्पादन, स्वचालित समीक्षा और वर्कफ़्लो प्रबंधन क्षमताओं के साथ एकीकृत करती है। कुछ सामग्री व्यावहारिक कोडिंग परिदृश्यों में एजेंट के व्यवहार को नियंत्रित करने के लिए उपयोग किए जाने वाले तरीकों का खुलासा करती है।
सामग्री शोधकर्ताओं को अवांछित व्यवहारों को रोकने के लिए एजेंट ऑर्केस्ट्रेशन तंत्र, उपकरण प्रबंधन और रणनीतियों की जांच करने की अनुमति देती है। हालाँकि मूल भाषा मॉडल को उजागर नहीं किया गया है, लेकिन इसके चारों ओर की वास्तुकला इस बात का सुराग देती है कि एंथ्रोपिक एआई और बाहरी प्रणालियों के बीच जटिल संबंधों को कैसे संरचित करता है।
हाल की घटनाओं का संदर्भ और पारिस्थितिकी तंत्र पर प्रभाव
यह थोड़े समय में रिपोर्ट किया गया दूसरा प्रकरण है जिसमें एंथ्रोपिक की आंतरिक जानकारी का आकस्मिक प्रदर्शन शामिल है। पिछले सप्ताह, ड्राफ्ट सामग्री फ़ाइलें प्रबंधन टूल सेटिंग्स के माध्यम से सार्वजनिक रूप से पहुंच योग्य हो गईं। कंपनी ने दोनों मामलों को अलग-अलग परिचालन विफलताओं और बाहरी हमलों या अपने स्वयं के एआई उपकरणों के दुरुपयोग से असंबंधित माना।
यह घटना एआई-सहायता प्राप्त विकास उपकरणों के त्वरित विकास के समय हुई है। फरवरी 2025 में लॉन्च किए गए क्लाउड कोड ने एजेंटिक सुविधाओं को जोड़कर कर्षण प्राप्त किया जो मॉडल को स्वायत्तता के विभिन्न स्तरों के साथ उपयोगकर्ता की ओर से कार्य करने की अनुमति देता है। डेवलपर समुदाय मामले के विकास पर बारीकी से नज़र रख रहे हैं, खासकर क्योंकि एनपीएम आधुनिक सॉफ्टवेयर आपूर्ति श्रृंखला के एक केंद्रीय भाग का प्रतिनिधित्व करता है। यह लीक एआई उत्पाद रिलीज में सुरक्षा प्रथाओं के बारे में चर्चा को तेज कर सकता है, विशेष रूप से स्वायत्त कार्रवाई की क्षमता वाले एजेंटिक घटकों को शामिल करने वाले।