Claude Code: il codice sorgente esposto per errore nel pacchetto npm
Anthropic ha pubblicato accidentalmente oltre 512.000 righe di codice TypeScript di Claude Code. Un file di source map dimenticato ha esposto funzionalità non…
Contenuto
Scopri anche
- Intelligenza artificiale e coscienza: il dibattito tra umani e macchine
- Samsung distribuisce la patch di sicurezza di marzo 2026 su ampia gamma di dispositivi Galaxy
- Allucinazioni strutturali e autoconservazione: i nuovi rischi emergenti dell'IA avanzata
- Intelligenza artificiale: definizioni, coscienza e il dibattito tra umano e macchina
- Vulnerabilità critiche investono l'ecosistema WordPress: oltre 10 milioni di siti esposti a rischi di compromissione
- L'intelligenza artificiale sta trasformando l'app economy: app come infrastruttura invisibile
- Nvidia e la nuova definizione di AGI: quando l'intelligenza artificiale genera valore economico
- Data poisoning: bastano 250 documenti per compromettere un modello AI
- Samsung rilascia la patch di sicurezza di marzo 2026: corrette 65 vulnerabilità sui dispositivi Galaxy
- AI Infrastructure: chi beneficia più di Nvidia dall'espansione del settore
- ChatGPT: l'evoluzione da GPT-3.5 a GPT-5.4 Thinking e la nuova era agente
- Data poisoning: quando 250 documenti bastano per compromettere un modello AI
- Cybersecurity automotive: normative UNECE R155, ISO 21434 e nuove minacce per i veicoli connessi
- Il fenomeno del Fake Work: quando l'attività simulata sostituisce il lavoro reale
- ChatGPT: l'evoluzione da GPT-5 a GPT-5.4 Thinking e la strada verso l'AGI
- L'evoluzione degli LLM: dal testo all'intelligenza agentica, il panorama 2025-2026
- ESAs: rischi elevati per il sistema finanziario UE tra tensioni geopolitiche e minacce informatiche
- Apple rilascia iOS 26.5 Beta 1: ritorna la crittografia RCS e arrivano i Suggested Places
- ChatGPT: evoluzione dei modelli GPT-5, capabilities agentiche e nuove policy di sicurezza
- OpenAI lancia Codex Security: validazione comportamentale invece di report SAST tradizionali
Claude Code: il codice sorgente esposto per errore nel pacchetto npm
Il 31 marzo 2026 Anthropic ha distribuito accidentalmente il codice sorgente completo di Claude Code, il suo strumento a riga di comando per la programmazione assistita da intelligenza artificiale. L'incidente è stato causato dalla presenza di un file di debug all'interno del pacchetto npm pubblico, che ha permesso di ricostruire circa 512.000 righe di codice TypeScript distribuite su quasi 2.000 file.
Un portavoce di Anthropic ha confermato a VentureBeat che il rilascio "è stato causato da un errore umano, non è una violazione della sicurezza". L'azienda ha specificato che non sono stati esposti dati sensibili dei clienti, credenziali di accesso, pesi dei modelli né l'infrastruttura di inferenza.
La causa tecnica dell'esposizione
⬆ Torna suLa versione 2.1.88 di @anthropic-ai/claude-code è stata distribuita con un file di source map JavaScript da 59,8 MB. Si tratta di un artefatto di debug che mappa il codice di produzione minificato al TypeScript originale. Questo file puntava direttamente a un archivio zip accessibile pubblicamente presente sul bucket di archiviazione Cloudflare R2 di Anthropic.
Il ricercatore di sicurezza Chaofan Shou, stagista presso Fuzzland, ha individuato il problema e ha pubblicato il link diretto al bucket su X. La causa principale risiede nel fatto che il bundler di Bun genera mappe sorgente per impostazione predefinita e nessuna fase di compilazione ha escluso l'artefatto di debug prima della pubblicazione. Una voce mancante in .npmignore o nel campo files di package.json avrebbe impedito l'intero evento.
Il file di source map conteneva 4.756 sorgenti totali: 1.906 appartengono al codice di Claude Code in TypeScript, i restanti 2.850 provengono dalle librerie di terze parti incluse nel progetto.
Le funzionalità nascoste scoperte
⬆ Torna suPrima che Anthropic potesse intervenire, gli utenti avevano già copiato il codice su GitHub, dove il repository ha accumulato oltre 50.000 fork in poche ore. Analizzando il contenuto, la community ha individuato diverse funzionalità non ancora rilasciate nascoste dietro flag di attivazione.
La più rilevante è denominata KAIROS: un demone in background sempre attivo che monitora i file, registra gli eventi ed esegue un processo di consolidamento della memoria "onirico" durante i periodi di inattività. Se implementata, Claude Code non aspetterebbe i comandi degli utenti, ma lavorerebbe continuamente in sottofondo.
Un'altra scoperta è BUDDY, un sistema di assistenza definito come un "animale domestico da terminale" con 18 specie tra cui il capibara. Ogni creatura possiede statistiche come DEBUGGING, PATIENCE e CHAOS. Secondo quanto emerso su Reddit, questa funzionalità reagisce al coding: se si scrive codice di qualità, la creatura appare contenta.
È presente anche una MODALITÀ COORDINATORE che consente a un singolo agente di generare e gestire agenti di lavoro paralleli, e ULTRAPLAN per sessioni di pianificazione multi-agente remote da 10 a 30 minuti. La MODALITÀ UNDERCOVER istruisce l'IA a rimuovere i riferimenti ai nomi in codice interni e ai dettagli del progetto dai commit git e dalle pull request.
L'architettura interna visibile
⬆ Torna suIl codice esposto rivela un motore di gestione delle richieste da 46.000 righe che coordina le chiamate al modello, il flusso in tempo reale delle risposte, la cache e la comunicazione tra lo strumento e i server Anthropic. È presente un sistema di coordinamento tra più agenti AI per gestire sessioni di lavoro parallele e l'integrazione con gli ambienti di sviluppo tramite un canale di comunicazione bidirezionale.
La telemetria verso Datadog è ora leggibile. Il sistema analizza i prompt alla ricerca di parolacce come segnale di frustrazione, ma non registra le conversazioni complete degli utenti né il codice. Sono visibili anche gli schemi di autorizzazione, i sistemi di memoria e i prompt di sistema.
Claude Code funziona come un agente autonomo a riga di comando: l'utente assegna un obiettivo di programmazione e il sistema pianifica ed esegue le operazioni necessarie, leggendo file, scrivendo codice, lanciando test e gestendo l'ambiente di sviluppo.
Un errore già verificatosi in passato
⬆ Torna suQuesta è la seconda volta che si verifica lo stesso problema. Una fuga di mappe sorgente quasi identica si è verificata con una versione precedente di Claude Code nel febbraio 2025. La recidiva solleva interrogativi sui processi di controllo qualità di Anthropic.
Chaofan Shou ha dichiarato che "si tratta di un errore di packaging elementare, che non dovrebbe mai capitare in un prodotto software finito". Nonostante Anthropic avesse rimosso il pacchetto incriminato nel 2025, l'incidente si è ripetuto.
L'episodio arriva cinque giorni dopo un altro caso analogo: un errore nella configurazione del CMS del sito di Anthropic ha esposto circa 3.000 risorse interne non pubblicate, tra cui bozze di articoli, documenti in PDF e dettagli su Claude Mythos, il modello definito dall'azienda come "il più potente che abbia mai addestrato".
La risposta di Anthropic
⬆ Torna suChristopher Nulty, portavoce di Anthropic, ha dichiarato: "Si è trattato di un problema di packaging della release causato da un errore umano, non di una violazione della sicurezza. Stiamo implementando misure per evitare che si ripeta".
I file sono stati rimossi e Anthropic ha richiesto la rimozione dei repository mirrorati su GitHub in base al DMCA. Tuttavia, il codice era già stato copiato e replicato su decine di archivi pubblici prima dell'intervento.
Sole24Ore ha testato i file recuperati fornendoli a Claude Opus 4.6. Inizialmente il modello ha risposto che "Claude Code è open source, Anthropic ha rilasciato il codice sorgente pubblicamente su GitHub". Quando gli è stato chiesto di leggere uno degli articoli sull'argomento, ha corretto: "Il codice sorgente di Claude Code non era destinato a essere pubblico. Quello che hai nella tua cartella è il codice ricostruito dalla fuga. Non è un progetto open source ufficiale, è codice proprietario finito online per errore".
Le implicazioni per la sicurezza
⬆ Torna suSecondo Arun Chandrasekaran di Gartner, la fuga di informazioni potrebbe facilitare tentativi di aggirare i guardrail. Tuttavia nel lungo periodo potrebbe trasformarsi in un'opportunità per Anthropic di rafforzare sicurezza e processi interni.
L'esposizione riguarda la logica del programma a riga di comando, non i parametri interni del modello. Tuttavia, architettura interna, logiche di gestione dei permessi, barriere di protezione e dati di telemetria dello strumento sono ora nel dominio pubblico, accessibili a chiunque, inclusi i concorrenti.
Secondo quanto riportato da Punto Informatico, per un'azienda che fa della sicurezza il proprio marchio di fabbrica, è uno scivolone che arreca più danni alla reputazione che al prodotto.
Il contesto temporale
⬆ Torna suL'incidente del 31 marzo si è verificato in concomitanza con un attacco separato alla catena di fornitura npm sul pacchetto axios, attivo tra le 00:21 e le 03:29 UTC. Anthropic consiglia agli sviluppatori che hanno installato o aggiornato Claude Code tramite npm durante quella finestra temporale di verificare le proprie dipendenze e cambiare le credenziali, suggerendo di utilizzare il proprio programma di installazione nativo anziché npm in futuro.
Il codice sorgente trapelato rimane disponibile in forma archiviata e duplicata nonostante le misure di rimozione. Anthropic non ha pubblicato un'analisi post-mortem più ampia né una dichiarazione pubblica oltre al commento rilasciato a VentureBeat.
Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.
Implicazioni e scenari
⬆ Torna suL'episodio evidenzia vulnerabilità nei processi di release di uno strumento destinato agli sviluppatori, con conseguenze che travalicano il singolo incidente.
- Scenario 1: Anthropic potrebbe dover rivedere radicalmente le procedure di build e packaging, considerando la recidiva dell'errore già verificatosi nel febbraio 2025.
- Scenario 2: L'architettura interna esposta potrebbe essere analizzata da concorrenti per comprendere le scelte implementative di Claude Code, inclusi sistemi di memoria e coordinamento agenti.
- Scenario 3: Le funzionalità nascoste come KAIROS e BUDDY potrebbero anticipare la roadmap ufficiale, generando aspettative nella community prima di annunci formali.
Cosa monitorare
⬆ Torna su- Eventuali dichiarazioni o analisi post-mortem ufficiali da parte di Anthropic.
- L'effettiva implementazione di KAIROS e delle altre funzionalità individuate nel codice.
- Segnali di sfruttamento dell'architettura esposta per tentativi di aggirare i guardrail.
Nota editoriale: questa sezione propone una lettura analitica dei temi trattati, senza introdurre dati fattuali non presenti nelle fonti.
Fonti
⬆ Torna su- https://en.ilsole24ore.com/art/anthropic-strips-claude-code-ends-online-human-error-AI4PQzHC
- https://tg24.sky.it/tecnologia/2026/04/01/claude-code-anthropic-pubblicazione-errore
- https://www.punto-informatico.it/codice-sorgente-claude-code-trapelato-funzioni-segrete/
- https://news.bitcoin.com/it/fuga-di-codice-sorgente-di-anthropic-nel-2026-il-codice-cli-di-claude-reso-pubblico-a-causa-di-un-errore-nella-mappa-sorgente-di-npm/
- https://ainews.it/anthropic-ha-esposto-nuovamente-il-codice-sorgente-di-claude-code/
- https://www.hwupgrade.it/news/sicurezza-software/claude-code-il-codice-sorgente-esposto-per-un-file-di-debug-dimenticato-nel-pacchetto-di-distribuzione_151974.html
- https://xygeni.io/blog/static-source-code-analysis-getting-started/
In breve
- anthropic
- cybersecurity
- ai
- agentic