Anthropic ha confermato che la versione 2.1.88 del pacchetto @anthropic-ai/claude-code, rilasciata il 1 aprile 2026, includeva accidentalmente un file di mappa sorgente di circa 60 MB che consentiva di ricostruire parti significative del codice sorgente dell’agente di codifica. L’azienda ha immediatamente rimosso la versione interessata dal registro npm dopo che gli utenti hanno identificato l’esposizione. L’azienda ha attribuito l’incidente a un errore umano nel processo di confezionamento, escludendo qualsiasi violazione della sicurezza esterna o esposizione dei dati sensibili dei clienti.
Escala di esposizione e contenuto del file trapelato
Il file di mappa sorgente reso disponibile ha consentito l’accesso a circa 1.900 file TypeScript e più di 512mila righe di codice relative alla struttura Claude Code, uno strumento a riga di comando che utilizza le capacità agentiche del modello Claude per eseguire attività di programmazione in modo autonomo. L’errore si è verificato perché le impostazioni di ignora che avrebbero dovuto mantenere interna la mappa di origine non funzionavano correttamente durante la preparazione della build finale.
La mappa inclusa puntava a un file compresso ospitato sullo storage Anthropic, rendendo facile per chiunque fosse interessato scaricare completamente il contenuto durante il breve periodo in cui è rimasto disponibile nel registro npm, un repository ampiamente utilizzato dagli sviluppatori di tutto il mondo.
- La versione del pacchetto 2.1.88 è stata rimossa da npm poco dopo l’identificazione del problema.
- Cópias del codice trapelato è stato rapidamente archiviato nei repository pubblici su GitHub.
- Pesquisadores ha iniziato a esaminare il materiale per ottenere approfondimenti sull’architettura dell’agente.
Resposta di Anthropic e misure preventive implementate
L’azienda ha rilasciato un comunicato ufficiale confermando che l’episodio è stato causato esclusivamente da un errore umano e ribadendo che non sono stati divulgati dati o credenziali sensibili dei clienti. Ulteriori misure di prevenzione Medidas vengono implementate per evitare ripetizioni simili nelle future versioni del software. Claude Code rimane operativo per gli utenti senza interruzioni legate ai casi.
Especialistas nella sicurezza della catena di fornitura sottolinea che perdite di questo tipo, anche senza esposizione dei modelli di intelligenza artificiale o dei dati dei clienti, possono fornire visibilità sugli strumenti e sui flussi di lavoro interni di un’azienda. Anthropic ha dichiarato che lavora per rafforzare i processi di revisione prima delle nuove pubblicazioni.
Codice tecnico Análise disponibile
Desenvolvedores che ha esaminato il codice esposto ha identificato riferimenti a strumenti interni, modelli di interazione tra componenti e configurazioni specifiche dell’agente. Il volume di righe di codice suggerisce una base complessa che integra il modello linguistico con funzionalità di esecuzione delle attività, revisione automatica e gestione del flusso di lavoro. Il contenuto di Parte rivela gli approcci utilizzati per controllare il comportamento degli agenti in scenari pratici di codifica.
Il materiale consente ai ricercatori di esaminare i meccanismi di orchestrazione degli agenti, la gestione degli strumenti e le strategie per contenere comportamenti indesiderati. Il modello linguistico principale di Embora non è stato esposto, l’architettura attorno ad esso offre indizi su come Anthropic struttura le interazioni complesse tra AI e sistemi esterni.
Contexto degli incidenti recenti e dell’impatto sull’ecosistema
Este è il secondo episodio segnalato in un breve periodo di tempo che coinvolge l’esposizione accidentale di informazioni interne da Anthropic. La settimana scorsa, le bozze dei file di contenuto sono diventate accessibili pubblicamente tramite le impostazioni dello strumento di gestione. L’azienda ha trattato entrambi i casi come fallimenti operativi isolati e non correlati ad attacchi esterni o uso improprio dei propri strumenti di intelligenza artificiale.
L’incidente arriva in un momento di crescita accelerata degli strumenti di sviluppo assistiti dall’intelligenza artificiale. Claude Code, lanciato nel febbraio 2025, ha guadagnato terreno aggiungendo funzionalità agentiche che consentono al modello di eseguire azioni per conto dell’utente con diversi livelli di autonomia. Gli sviluppatori di Comunidades seguono da vicino gli sviluppi del caso, soprattutto perché npm rappresenta una parte centrale della moderna catena di fornitura del software. La fuga di notizie potrebbe accelerare le discussioni sulle pratiche di sicurezza nei rilasci di prodotti IA, in particolare quelli che coinvolgono componenti agenti con il potenziale di azione autonoma.