تسريب غير مقصود لكود مصدر برنامج Claude من شركة Anthropic عبر ملف "source map" الخاص بـ npm.

اكتشف باحث الأمن تشافان شو في 31 مارس أن أداة Claude Code CLI التابعة لشركة Anthropic كانت تحتوي على الكود المصدري الكامل لـ TypeScript الخاص بها منشورًا بشكل علني على سجل npm العام. تضمنت النسخة 2.1.88 من الحزمة @anthropic-ai/claude-code ملف "source map" والذي لم يكن من المفترض تضمينه. نشر شو هذا الاكتشاف على منصة X، حيث حظي بملايين المشاهدات. في غضون ساعات، تم أرشيف الكود المصدري بالكامل في مستودعات GitHub متعددة، حيث جمعت بسرعة عشرات الآلاف من النجوم والتفرعات.

في بيان صادر لـ CNBC، وصفت Anthropic الحادث بأنه "مشكلة في عملية التعبئة ناتجة عن خطأ بشري، وليس خرقًا أمنيًا"، وأضافت أنه "لم تتضمن أي بيانات أو بيانات اعتماد للعملاء". وأوضحت الشركة أنها تعمل على تطبيق إجراءات لمنع تكرار ذلك.

إذًا، ما الذي حدث بالضبط؟ تم تضمين ملف ".map"، وهو نوع من ملفات تصحيح الأخطاء التي تربط الكود المنتج المضغوط بالكود المصدري الأصلي، في حزمة npm المنشورة. أشار هذا الملف إلى الكود المصدري الكامل لـ TypeScript، والذي لم يتم إخفاؤه، والمستضاف على خدمة التخزين السحابي R2 الخاصة بشركة Anthropic، مما جعله قابلاً للتنزيل مباشرةً كملف ZIP. تستخدم أداة Claude Code بيئة Bun، والتي تقوم بإنشاء ملفات "source map" افتراضيًا ما لم يتم تعطيلها بشكل صريح. منع حدوث ذلك ليس أمرًا معقدًا: يمكن إضافة "*.map" إلى ملف ".npmignore"، أو الحفاظ على قائمة بيضاء صريحة في حقل "files" في ملف package.json، أو تشغيل الأمر "npm pack --dry-run" قبل النشر للتحقق من العناصر التي سيتم تضمينها.

كما كتب المحلل والمطور غابرييل أنهايا في تحليله على منصة DEV Community:

"إن إعداد ملف ".npmignore" أو حقل "files" بشكل خاطئ في ملف package.json يمكن أن يعرض كل شيء."

تجدر الإشارة إلى أن هذا ليس الحادث الأول الذي تقوم فيه Anthropic بإرسال ملفات "source map" في حزم npm الخاصة بها. تضمنت الإصدارات السابقة في عام 2025 أيضًا ملفات "source map" كاملة قبل إزالتها من السجل.

(المصدر: تغريدة على منصة X)

من المهم ملاحظة أن هذا يتعلق بأداة Claude Code CLI، وليس تطبيق الويب claude.ai أو نماذج LLM نفسها. كما قال أحد المعلقين على Reddit:

"على الرغم من أنه ليس نهاية العالم من الناحية الفنية، نظرًا لأنه من المفترض أن يكون أي عميل واجهة مستخدم قابلاً للعكس هندسيًا، إلا أنه لا يزال خطأ فادحًا تسريب الكود المصدري الكامل وغير المخفي، نظرًا لوجود كنز من المعلومات القيمة للغاية مثل المطالبات النظامية، وتصميم محرك السياق/الاستعلام/RAG، ومنطق التنسيق/التنظيم، والبنية العامة للوكيل. إنه بمثابة دليل مرجعي لكيفية تصميم وكيل يعتمد على نماذج LLM."

لم يتفق الجميع على أن الضرر كان شديدًا كما أشارت إليه العناوين.

"الذين أرادوا ذلك بالفعل حصلوا عليه. كانت المطالبات ذات الصلة متاحة كسلاسل مجانية في الملف التنفيذي. الكود المصدري بأكمله الذي تم تسريبه كان متاحًا على شكل JavaScript مضغوط."

نظرًا لأن Claude Code هو تطبيق JavaScript يتم تجميعه مع بيئة تشغيل، فإن الكود المصدري المضغوط كان متاحًا دائمًا من الناحية الفنية، على الرغم من أن وجود الكود الكامل لـ TypeScript مع أسماء المتغيرات الأصلية والتعليقات وهيكل الوحدات يوفر مستوى مختلف تمامًا من التعرض.

يكشف الكود المصدري عن نظام متطور للغاية...

إن واجهة المستخدم الطرفية لـ Claude Code تبدو أبسط بكثير مما تشير إليه تعقيدات الكود الأساسي. يتكون الكود المصدري من حوالي 1900 ملف TypeScript وأكثر من 512000 سطر من التعليمات البرمجية، وقد تم تحليل هذا الكود على منصات مثل DEV Community و Hacker News، وفي مستودع GitHub مفصل. ومن بين النتائج التي تم التوصل إليها: ما يقرب من 40 أداة منفصلة، كل منها مزود بآليات للتحكم في الوصول. ويقوم محرك الاستعلام، الذي يبلغ حجمه حوالي 46000 سطر، بمعالجة استدعاءات واجهة برمجة التطبيقات (API) لنماذج اللغة الكبيرة (LLM)، بالإضافة إلى عمليات البث والتخزين المؤقت والتنسيق. تسمح ميزة التنسيق بين الوكلاء بإنشاء وإدارة وكلاء عمل متوازيين. وتستخدم عمليات التكامل مع بيئات التطوير المتكاملة (IDE) آلية المصادقة باستخدام رموز JSON Web Token (JWT). وتكمل هذه البنية نظام ذاكرة دائم.

توجد في الكود المصدري العديد من الميزات غير المعلنة والمخفية خلف علامات الميزات. تصف KAIROS وضع "شيطان" مستقل حيث يعمل Claude Code كوكيل في الخلفية، ويقوم بتوحيد الذاكرة أثناء بقاء المستخدم في وضع الخمول. ويبدو أن ULTRAPLAN مصمم لتحميل مهام التخطيط المعقدة إلى بنية تحتية سحابية. أما BUDDY فهو رفيق ذكاء اصطناعي على غرار لعبة Tamagotchi، ويتميز بأنواع مختلفة ومستويات نادرة وإحصائيات. تظهر أيضًا أسماء رمزية للنماذج الداخلية، حيث يرتبط اسم "Capybara" بنسخة من Claude 4.6، ويرتبط اسم "Fennec" بنسخة من Opus 4.6.

لفت تفصيل معين انتباهًا خاصًا: وهو نظام فرعي يسمى "Undercover Mode" (وضع التخفي). تم تصميم هذا النظام لمنع Claude Code من الكشف عن معلومات داخلية عند المساهمة في مستودعات مفتوحة المصدر، حيث يقوم النظام بتوجيه النموذج لإضافة تعليمات تمنعه من الإشارة إلى أسماء رمزية داخلية، أو أرقام إصدارات غير معلنة، أو قنوات Slack داخلية، أو حقيقة أنه ذكاء اصطناعي. ولم يغفل المراقبون عن المفارقة الكامنة في ذلك. فقد قامت شركة Anthropic ببناء نظام فرعي كامل لمنع ذكاءها الاصطناعي من تسريب تفاصيل داخلية، ولكن بسبب خطأ في إعداد البناء، تم الكشف عن الكود المصدري بأكمله.

أشار أحد المعلقين على Reddit إلى الآثار الأمنية المنطقية للتنسيق المسربة:

إذا كنت تعرف مكان وكيفية تطبيق آليات الحماية من حقن التعليمات، يمكنك بسهولة العثور على طرق لتجاوزها. وإذا كنت تعرف التعليمات الموجهة للنظام، فلن يضطر المهاجم إلى تخمين المقدمة عند إنشاء محتوى يستخدم اللغة المناسبة للتلاعب بالنموذج.

وعلى نحو مؤسف، في نفس اليوم، تعرضت حزمة axios npm لهجوم منفصل وغير مرتبط، وهو ما تم الإبلاغ عنه أولاً من قبل StepSecurity. في الفترة بين الساعة 00:21 و 03:29 بتوقيت جرينتش في 31 مارس، تم نشر إصدارات ضارة من axios (1.14.1 و 0.30.4) تحتوي على حصان طروادة عن بُعد على npm. وبما أن Claude Code يعتمد على axios، فقد يكون أي شخص قام بتثبيت أو تحديث هذه الحزمة خلال تلك الفترة قد قام بسحب التبعية المخترقة. يجب على المطورين التحقق من ملفات القفل الخاصة بهم بحثًا عن هذه الإصدارات المحددة أو التبعية plain-crypto-js.