أنثروبيك .. خطأ برمجي يكشف الشيفرة المصدرية الكاملة لأداة Claude Code للبرمجة
الخطأ يضع أسرار Claude Code بين أيدي المنافسين وأولهم أوبن إيه آي
وقعت شركة أنثروبيك ضحية لواحد من أخطر الحوادث التقنية، بسبب خطأ في خط الإنتاج البرمجي أدى إلى نشر ملفات خرائط الشيفرة المصدرية داخل حزمة npm الرسمية، مما تسبب في كشف الشيفرة الكاملة لأداة Claude Code أمام الجمهور.
هذا الخطأ كشف آلاف الملفات البرمجية TypeScript التي تحتوي على البنية الداخلية للأداة للتحميل، مما يثير مخاوف واسعة حول أمن المعلومات وتأثير الحادث على مستقبل منتجات الشركة المعتمدة على الذكاء الاصطناعي.
وتزداد خطورة الحادث كونه يأتي في وقت تخوض الشركة معركة قانونية مع إدارة الرئيس الأمريكي دونالد ترامب بخصوص القيود على استخدام منتجاتها التقنية، لا سيما نموذج Claude للأغراض العسكرية، وكسبها جولة أولى بعد صدور أمر قضائي يجمد قرار تصنيفها خطراً على سلاسل الإمداد.
كيف حدث تسريب الشيفرة المصدرية؟
وفقاً لتقارير تقنية، بدأت المشكلة عندما تم إصدار نسخة جديدة من حزمة Claude Code على منصة npm، وهي أكبر منصة عالمية لنشر وتوزيع الحزم البرمجية الخاصة بلغة JavaScript وNode.js، ويستخدمها ملايين المطورين حول العالم لنشر مكتباتهم أو تثبيت مكتبات الآخرين.
وتضمّنت هذه النسخة ملفاً من نوع source map يُستخدم عادةً في بيئات التطوير لتسهيل تتبع الأخطاء.
وبسبب غياب خطوة الاستثناء داخل خط البناء، أصبح الملف متاحاً للجمهور، ومعه رابط مباشر إلى أرشيف كامل يحتوي على مئات الآلاف من الأسطر البرمجية.
هذا النوع من الملفات يجب ألا يظهر في الإصدارات النهائية، مما يجعل الحادثة مثالاً واضحاً على خطورة الأخطاء الهندسية التي قد تؤدي إلى تسريب واسع النطاق.
ماذا كشف التسريب؟
شمل التسريب أكثر من ألفي ملف TypeScript، إضافة إلى تفاصيل حساسة حول البنية الداخلية للأداة، مثل أنظمة إدارة الذاكرة، آليات تنفيذ الأوامر، الجسور مع بيئات التطوير، وأنظمة الأدوات المدمجة.
وقدّر الباحثون حجم الشيفرة المسرّبة بأكثر من نصف مليون سطر، وذلك يمنح أي جهة خارجية رؤية كاملة لآلية عمل المنتج.
كما كشف التسريب عن ميزات مستقبلية لم يعلن عنها بعد، مما يوفر للمنافسين رؤية واضحة لخريطة الطريق الخاصة بمنتج Claude Code.
تكهنات حول أسباب الخطأ وتبعاته
يرى خبراء أمن المعلومات أن هذا النوع من الأخطاء يعود غالباً إلى ضعف في إجراءات المراجعة داخل خط الإنتاج البرمجي، أو الاعتماد المفرط على الأتمتة دون وجود طبقة تحقق بشرية.
كما يشير إلى غياب سياسات صارمة لإدارة الإصدارات، خصوصاً في المنتجات الحساسة التي تعتمد عليها شركات كبرى في عملياتها اليومية.
وتتجاوز التبعات المحتملة مجرد كشف الشيفرة، إذ يمكن للمهاجمين تحليل الملفات للعثور على ثغرات أمنية، كما قد يستغل المنافسون المعلومات المسربة لفهم التقنيات الداخلية التي تعتمد عليها أنثروبيك.
إضافة إلى ذلك، قد يتأثر موقف الشركة التجاري، خاصة أن Claude Code يعد جزءاً أساسياً من منظومة منتجاتها التي تحقق انتشاراً واسعاً في سوق أدوات الذكاء الاصطناعي.
وتعيد مثل هذه الحوادث فتح النقاش داخل مجتمع المطورين حول أهمية تأمين خطوط الإنتاج البرمجية في الشركات التي تعتمد على الذكاء الاصطناعي، خصوصاً مع ازدياد حدة المنافسة وتسارع وتيرة التطوير واعتماد المؤسسات على أدوات بناء تلقائية.
وقد تدفع الحادثة الشركات إلى إعادة تقييم سياسات النشر والمراجعة، وتطبيق طبقات إضافية من الحماية قبل إصدار أي تحديثات عامة.
