تسربت الشفرة المصدرية لواجهة أوامر Claude Code الخاصة بشركة Anthropic عبر الإنترنت نتيجة خطأ في حزم أحد الإصدارات الأخيرة. وقد كشف الحادث عن أكثر من 512 ألف سطر برمجي من حوالي ألفي ملف بلغة TypeScript. ووصفت الشركة الواقعة بأنها خطأ بشري لم يترتب عليه كشف أي بيانات حساسة.
أصدرت شركة Anthropic الإصدار 2.1.88 من حزمة Claude Code على منصة npm في 31 مارس 2026، حيث تضمنت الحزمة عن غير قصد ملف خريطة مصدر (source map) أتاح الوصول إلى قاعدة البيانات البرمجية بالكامل. وكان الباحث الأمني تشاوفان شو أول من سلط الضوء على هذه المشكلة عبر منصة X، مشاركاً رابطاً لأرشيف الملفات. وسرعان ما ظهرت الشفرة في مستودع عام على GitHub، والذي تمت مشاركته (fork) عشرات الآلاف من المرات منذ ذلك الحين. وبحسب مسؤولي Anthropic، لم يتم كشف أي بيانات خاصة بالعملاء أو بيانات اعتماد، مؤكدين أن الأمر يتعلق بمسألة في حزم الإصدار نجمت عن خطأ بشري وليس خرقاً أمنياً. وذكرت الشركة: "في وقت سابق من اليوم، تضمن أحد إصدارات Claude Code بعض الشفرات المصدرية الداخلية. لم يتم الكشف عن أي بيانات حساسة للعملاء أو بيانات اعتماد. كانت هذه مسألة تتعلق بحزم الإصدار ناتجة عن خطأ بشري، وليست خرقاً أمنياً. نحن بصدد طرح تدابير لمنع تكرار ذلك". وبدأ المطورون سريعاً في تحليل الشفرة المسربة؛ فعلى سبيل المثال، قدم أحد التحليلات تفاصيل حول بنية الذاكرة في Claude Code، بما في ذلك خطوات إعادة كتابة الذاكرة والتحقق منها في الخلفية. وأشار تحليل آخر إلى وجود حوالي 40 ألف سطر لنظام أدوات يشبه الإضافات (plugins) و46 ألف سطر لنظام الاستعلام، واصفاً إياه بأداة تطوير متطورة وبمستوى إنتاجي تتجاوز كونها مجرد غلاف بسيط لواجهة برمجة التطبيقات (API). ورغم أن جهود المجتمع السابقة نجحت في الهندسة العكسية الجزئية لـ Claude Code، إلا أن هذا التسريب يوفر اكتمالاً غير مسبوق، مما يمنح المنافسين رؤى حول بنية Anthropic ونقاط الضعف المحتملة في أنظمة الحماية الخاصة بها.
