Anthropic يكشف الكود المصدري لـ Claude Code بسبب خطأ في حزمة npm لشهر أبريل

أكدت Anthropic أن الإصدار 2.1.88 من حزمة @anthropic-ai/clude-code، الذي تم إصداره في 1 أبريل 2026، تضمن بطريق الخطأ ملف خريطة مصدر يبلغ حجمه 60 ميجابايت تقريبًا مما سمح بإعادة بناء أجزاء كبيرة من كود مصدر وكيل التشفير. قامت الشركة على الفور بإزالة الإصدار المتأثر من سجل npm بعد أن حدد المستخدمون التعرض. وأرجعت الشركة الحادث إلى خطأ بشري في عملية التغليف، مستبعدة أي خرق أمني خارجي أو الكشف عن بيانات حساسة للعملاء.

حجم التعرض ومحتوى الملف المسرب

سمح ملف الخريطة المصدر الذي تم توفيره بالوصول إلى ما يقرب من 1900 ملف TypeScript وأكثر من 512 ألف سطر من التعليمات البرمجية المتعلقة ببنية Claude Code، وهي أداة سطر أوامر تستخدم القدرات الوكيلة لنموذج Claude لتنفيذ مهام البرمجة بشكل مستقل. حدث الفشل لأن تجاهل الإعدادات التي كان من المفترض أن تبقي خريطة المصدر داخلية لم تعمل بشكل صحيح أثناء إعداد البناء النهائي.

أشارت الخريطة المضمنة إلى ملف مضغوط مستضاف على مخزن Anthropic، مما يسهل على أي شخص مهتم تنزيل المحتوى بالكامل خلال الفترة القصيرة التي ظل فيها متاحًا في سجل npm، وهو مستودع يستخدم على نطاق واسع من قبل المطورين حول العالم.

• تمت إزالة إصدار الحزمة 2.1.88 من npm بعد وقت قصير من تحديد المشكلة.
• تمت أرشفة نسخ التعليمات البرمجية المسربة بسرعة في المستودعات العامة على GitHub.
• بدأ الباحثون بفحص المادة للحصول على نظرة ثاقبة حول بنية العميل.

تم تنفيذ الاستجابة الإنسانية والتدابير الوقائية

وأصدرت الشركة بيانًا رسميًا يؤكد أن الحادثة نتجت حصريًا عن خطأ بشري، وأكدت عدم الكشف عن أي بيانات حساسة للعملاء أو بيانات اعتمادهم. ويجري تنفيذ تدابير وقائية إضافية لتجنب تكرارات مماثلة في إصدارات البرامج المستقبلية. يظل Claude Code جاهزًا للعمل للمستخدمين دون انقطاعات متعلقة بالحالة.

ويشير خبراء أمن سلسلة التوريد إلى أن التسريبات من هذا النوع، حتى بدون الكشف عن نماذج الذكاء الاصطناعي أو بيانات العملاء، يمكن أن توفر رؤية للأدوات الداخلية للشركة وسير العمل. وقالت أنثروبيك إنها تعمل على تعزيز عمليات المراجعة قبل المنشورات الجديدة.

التحليل الفني للكود المتاح

حدد المطورون الذين قاموا بمراجعة التعليمات البرمجية المكشوفة مراجع للأدوات الداخلية وأنماط التفاعل بين المكونات وتكوينات الوكيل المحددة. يشير حجم سطور التعليمات البرمجية إلى أساس معقد يدمج نموذج اللغة مع تنفيذ المهام والمراجعة التلقائية وإمكانيات إدارة سير العمل. يكشف بعض المحتوى عن الأساليب المستخدمة للتحكم في سلوك الوكيل في سيناريوهات الترميز العملية.

Leia Tambem

تصل الأعمال الكوميدية والألغاز الرومانسية إلى Netflix في يونيو مع Office Passion وOasis

أوروغواي تعلن قائمة منتخبها لكأس العالم 2026 المكونة من ستة لاعبين برازيليين

متى يبدأ كأس العالم 2026؟ التاريخ والوقت والمباراة الأولى وحفل الافتتاح

تسمح المادة للباحثين بفحص آليات تنسيق الوكيل، وإدارة الأدوات، واستراتيجيات احتواء السلوكيات غير المرغوب فيها. على الرغم من عدم الكشف عن نموذج اللغة الأساسي، إلا أن البنية المحيطة به تقدم أدلة حول كيفية بناء التفاعلات المعقدة بين الذكاء الاصطناعي والأنظمة الخارجية.

سياق الأحداث الأخيرة وتأثيرها على النظام البيئي

هذه هي الحلقة الثانية التي يتم الإبلاغ عنها خلال فترة زمنية قصيرة والتي تتضمن التعرض العرضي للمعلومات الداخلية الخاصة بـ Anthropic. في الأسبوع الماضي، أصبحت ملفات محتوى المسودة متاحة للعامة من خلال إعدادات أداة الإدارة. تعاملت الشركة مع كلتا الحالتين على أنهما إخفاقات تشغيلية معزولة ولا علاقة لها بالهجمات الخارجية أو سوء استخدام أدوات الذكاء الاصطناعي الخاصة بها.

ويأتي هذا الحادث في وقت يشهد نموًا متسارعًا لأدوات التطوير المدعومة بالذكاء الاصطناعي. اكتسب Claude Code، الذي تم إطلاقه في فبراير 2025، قوة جذب من خلال إضافة ميزات وكيلة تسمح للنموذج بتنفيذ إجراءات نيابة عن المستخدم بمستويات مختلفة من الاستقلالية. تتابع مجتمعات المطورين تطورات القضية عن كثب، خاصة وأن npm يمثل جزءًا أساسيًا من سلسلة توريد البرامج الحديثة. يمكن أن يؤدي التسرب إلى تسريع المناقشات حول الممارسات الأمنية في إصدارات منتجات الذكاء الاصطناعي، وخاصة تلك التي تتضمن مكونات وكيلة مع إمكانية العمل المستقل.