Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel

Il codice sorgente di Claude Code è trapelato online per errore umano, rivelando funzionalità segrete. Nel frattempo, Claude ha dimostrato di sviluppare autono…

Contenuto

Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel

Scopri anche

Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel

Claude Code: dal leak del codice sorgente alla creazione autonoma di exploit kernel

In questo articolo:

Il 31 marzo 2026, Anthropic ha confermato un incidente che ha esposto il codice sorgente completo di Claude Code, lo strumento CLI basato su intelligenza artificiale per sviluppatori. La versione 2.1.88 del software conteneva erroneamente una source map che ha permesso di ricostruire quasi 2.000 file TypeScript per oltre 512.000 righe di codice. Prima che Anthropic potesse rimuovere i file, gli utenti li avevano già copiati su GitHub, dove il repository ha accumulato oltre 50.000 fork in poche ore.

Errore umano, non violazione della sicurezza

⬆ Torna su

Un portavoce di Anthropic ha dichiarato a VentureBeat che si è trattato di un errore umano nel processo di packaging della release, non di una violazione della sicurezza. Nessun dato sensibile dei clienti o credenziale è stato coinvolto o esposto. Tuttavia, l'incidente ha reso accessibile al pubblico codice proprietario che rivela dettagli sull'architettura interna dello strumento, le istruzioni che Anthropic fornisce a Claude e funzionalità non ancora rilasciate.

Secondo Arun Chandrasekaran di Gartner, la fuga di informazioni potrebbe facilitare tentativi di aggirare i guardrail del sistema, ma nel lungo periodo potrebbe trasformarsi in un'opportunità per Anthropic di rafforzare sicurezza e processi interni. Il codice è ormai nel dominio pubblico di fatto: Anthropic può correggere l'errore, ma non può ritirare ciò che è già stato copiato.

Funzionalità nascoste nel codice

⬆ Torna su

L'analisi del codice trapelato ha rivelato due funzionalità inedite. La prima è un elemento che sembra un "pet" in stile Tamagotchi: una creaturina che si posiziona accanto alla casella di input e reagisce al coding. Se si scrive codice valido, il Tamagotchi appare contento; in caso contrario, la reazione è meno positiva. Non è chiaro se sia un progetto serio o un Easter egg interno.

La seconda scoperta riguarda "KAIROS", una funzionalità che potrebbe abilitare un agente in background sempre attivo. Se implementata, Claude Code non aspetterebbe i comandi degli utenti ma lavorerebbe continuamente in sottofondo, monitorando il codice e intervenendo quando necessario. Questa rappresenterebbe un livello di autonomia superiore rispetto alla modalità auto già rilasciata da Anthropic.

Tra i commenti interni trovati nel codice, uno sviluppatore ha annotato: "La memorizzazione qui aumenta la complessità di parecchio, e non sono sicuro che migliori davvero le prestazioni."

L'exploit FreeBSD sviluppato autonomamente da Claude

⬆ Torna su

Lo stesso giorno del leak, il 31 marzo 2026, il ricercatore Calif.io ha pubblicato i risultati di un esperimento che dimostra come Claude Opus 4.6 abbia sviluppato autonomamente un exploit completo per una vulnerabilità del kernel FreeBSD (CVE-2026-4747). L'AI ha eseguito l'intera catena di sviluppo dell'exploit: configurazione del laboratorio, analisi della vulnerabilità, scrittura del codice e ottenimento di una root shell funzionante.

FreeBSD aveva pubblicato l'advisory per CVE-2026-4747 il 26 marzo 2026, accreditando la scoperta a "Nicholas Carlini using Claude, Anthropic". L'exploit sfrutta un overflow nello stack in RPCSEC_GSS per ottenere esecuzione di codice remoto. Claude ha completato il lavoro in circa 8 ore di tempo reale, di cui circa 4 ore di effettivo processing AI.

Dettagli tecnici dell'exploit

⬆ Torna su

Claude ha configurato autonomamente una VM FreeBSD con server NFS, autenticazione Kerberos e il modulo kernel vulnerabile. Ha determinato che la VM necessitava di 2+ CPU perché "FreeBSD genera 8 thread NFS per CPU, e l'exploit termina un thread per round". Il exploit finale utilizza una strategia a 15 round: il primo round modifica i permessi della memoria kernel rendendola eseguibile, mentre i round 2-15 consegnano il payload di 432 byte di shellcode in pacchetti da 32 byte ciascuno.

Quando gli offset iniziali dello stack si sono rivelati errati, Claude ha utilizzato pattern De Bruijn per generare crash dump e ricalcolare gli offset corretti. Quando i processi figli ereditavano registri di debug obsoleti dal kernel debugger DDB, Claude ha rintracciato il bug nel registro DR7 e lo ha risolto pulendo DR7 prima del fork.

Claude ha progettato l'escalation dei privilegi tramite kproc_create() e kern_execve() per transizionare da thread kernel a root shell. Ha consegnato due exploit funzionanti al primo tentativo: una reverse shell a 15 round e una variante ottimizzata a 6 round per l'iniezione di chiavi SSH.

Implicazioni per la sicurezza informatica

⬆ Torna su

L'esperimento fa parte di MAD Bugs (Month of AI-Discovered Bugs), un'iniziativa che corre durante aprile 2026 per dimostrare le capacità di ricerca autonoma sulle vulnerabilità da parte dell'AI. Claude ha già identificato zero-day RCE in Vim ed Emacs. Per Vim, il prompt è stato diretto: "Qualcuno mi ha detto che c'è una RCE 0-day quando apri un file. Trovala." Claude ha creato multiple proof-of-concept e identificato la causa radice.

Claude Opus 4.6 ha identificato oltre 500 zero-day ad alta severità in software open-source in produzione, molti sopravvissuti a decenni di revisione umana. La scala è senza precedenti: ciò che ha richiesto a un'AI 8 ore potrebbe essere parallelizzato su migliaia di istanze simultaneamente.

Secondo il report X-Force 2026 di IBM, "gli attacchi guidati da AI stanno escalationando mentre le vulnerabilità di base persistono". I criminali informatici utilizzano l'AI per trovare e sfruttare vulnerabilità non patchate "in ore, non settimane". XBOW, un penetration tester AI autonomo, ha raggiunto la posizione #1 su HackerOne nel 2025.

Asimmetria tra attacco e difesa

⬆ Torna su

La ricerca evidenzia un'asimmetria fondamentale nella cybersecurity: l'offensiva accelera mentre la difesa rimane indietro. Lo sviluppo e lo sfruttamento delle vulnerabilità da parte dell'AI richiede ore; il patching e il deployment umano richiede giorni o settimane. Un ricercatore di sicurezza ha sintetizzato il problema: "Una persona all'offensiva può creare lavoro per milioni di difensori." L'AI amplifica questa asimmetria esponenzialmente.

La barriera all'ingresso per l'exploitation avanzata è collassata. Gli avversari non necessitano più di anni di competenza kernel per sviluppare exploit sofisticati: hanno bisogno di accesso AI e conoscenze di base sulla sicurezza. FreeBSD 14.x ha reso il compito più facile rispetto a un kernel Linux moderno: non ha KASLR (gli indirizzi kernel sono fissi e prevedibili) e non ha stack canaries per gli array di interi.

Fonti discordanti sulla natura della scoperta

⬆ Torna su

Le discussioni su Hacker News rivelano opinioni divise. Gli scettici argomentano che Claude ha ricevuto il writeup del CVE ed è stato chiesto di scrivere un exploit, non ha scoperto il bug autonomamente. Notano anche che questo exploit specifico richiede una configurazione rara (NFS esposto su internet con kgssapi.ko caricato) e che i prompt pubblicati erano "sorprendentemente basilari nella qualità".

L'altro campo fa notare che l'advisory FreeBSD accredita "Nicholas Carlini using Claude, Anthropic" per la scoperta, non solo per l'exploit. Presentazioni recenti su "Black-Hat LLMs" mostrano modelli frontier che scoprono exploit sconosciuti a livelli esperti. Le preoccupazioni riguardano scenari futuri in cui AI genera continuamente exploit senza intervento umano.

Contesto: Claude Code come strumento di sviluppo

⬆ Torna su

Claude Code è un'interfaccia a riga di comando che gira sul computer dell'utente, si connette a un'istanza Claude ospitata sui server Anthropic tramite API, e permette all'istanza Claude di eseguire comandi, leggere e scrivere file, e comunicare con l'utente. È stato rilasciato nel febbraio 2025 come strumento CLI agentic che consente agli sviluppatori di delegare task di coding direttamente dal terminale.

La documentazione ufficiale specifica i requisiti di sistema: macOS 13.0+, Windows 10 1809+ o Windows Server 2019+, Ubuntu 20.04+, Debian 10+, Alpine Linux 3.19+. Richiede 4 GB+ di RAM e una connessione internet. Supporta Bash, Zsh, PowerShell e CMD. L'installazione nativa è raccomandata su macOS e Linux tramite curl, mentre Windows richiede Git for Windows o WSL.

L'autenticazione richiede un account Pro, Max, Team, Enterprise o Console. Il piano gratuito Claude.ai non include l'accesso a Claude Code. È anche possibile utilizzare Claude Code con provider API terzi come Amazon Bedrock, Google Vertex AI o Microsoft Foundry.

Uso improprio e incidenti di sicurezza

⬆ Torna su

Nell'agosto 2025, Anthropic ha rivelato che un threat actor denominato "GTG-2002" ha utilizzato Claude Code per attaccare almeno 17 organizzazioni. Nel novembre 2025, l'azienda ha annunciato di aver scoperto che lo stesso threat actor aveva utilizzato Claude Code per automatizzare l'80-90% delle proprie operazioni di cyber-spionaggio contro 30 organizzazioni. Tutti gli account correlati agli attacchi sono stati bannati, e Anthropic ha notificato le forze dell'ordine e le parti affette.

Nel febbraio 2026, Anthropic ha introdotto Claude Code Security, che revisiona le codebase per identificare vulnerabilità. Nello stesso mese, il ricercatore Nicholas Carlini ha riportato che 16 agenti Claude Opus 4.6 hanno scritto un compilatore C in Rust da zero, "capace di compilare il kernel Linux". L'esperimento è costato quasi $20.000; Carlini ha notato che sebbene il compilatore non sia molto efficiente, Opus 4.6 è il primo modello in grado di scriverlo.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Implicazioni e scenari

⬆ Torna su

La convergenza tra il leak del codice sorgente e le dimostrazioni di capacità offensive autonome solleva interrogativi sulla traiettoria evolutiva degli strumenti di sviluppo assistiti.

  • Scenario 1: se l'analisi del codice trapelato rivela punti deboli nei guardrail, potrebbero emergere versioni modificate con restrizioni rimosse o aggirate.
  • Scenario 2: l'implementazione di KAIROS potrebbe trasformare gli strumenti CLI da reattivi a proattivi, con agenti che intervengono sul codice senza sollecitazione esplicita.
  • Scenario 3: l'asimmetria tra tempi di sviluppo exploit (ore) e cicli di patching (settimane) potrebbe spingere le organizzazioni verso deployment di sicurezza automatizzati.

Cosa monitorare

⬆ Torna su
  • Eventuali aggiornamenti sui processi di packaging e sicurezza interna da parte di Anthropic.
  • Progressi dell'iniziativa MAD Bugs e scoperta di nuove vulnerabilità in software open-source.
  • Evoluzione del dibattito sull'accreditamento delle scoperte: ricercatori umani o strumenti automatizzati.

Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.

Fonti

⬆ Torna su

In breve

  • anthropic
  • cybersecurity
  • cve
  • developer

Link utili

Apri l'articolo su DeafNews