Anthropic mengkonfirmasi kemarin bahwa ‘kesalahan manusia’ menyebabkan bocornya sebagian besar kode sumber produk unggulannya, Claude Code.
Anthropic secara tidak sengaja membocorkan kode sumber agen Claude Code-nya setelah paket perangkat lunak yang salah dikonfigurasi mengeksposnya ke publik. Hal ini menyusul insiden terpisah pekan lalu di mana Fortune mengatakan perusahaannya secara tidak sengaja membocorkan ribuan file.
Kebocoran tersebut ditemukan pada hari Selasa oleh peneliti keamanan Chaofan Shou, menurut The Register, yang menemukan bahwa paket npm resmi untuk Claude Code telah dikirimkan dengan file peta yang merujuk pada sumber TypeScript yang tidak dikaburkan. Chaofan Shou melanjutkan untuk mengumumkan penemuannya di X, memicu kesibukan.
File itu menunjuk ke arsip zip yang disimpan di keranjang penyimpanan Cloudflare R2 Anthropic, yang dapat diunduh dan didekompresi oleh siapa saja. Arsip tersebut dilaporkan berisi sekitar 1.900 file TypeScript dengan total lebih dari 512.000 baris kode, termasuk perpustakaan lengkap perintah garis miring dan alat bawaan.
Dalam beberapa jam, salinan kode tersebut diunggah ke GitHub, di mana kode tersebut ‘di-fork’ lebih dari 41.500 kali, menurut The Register, yang secara efektif memastikan bahwa pemaparan tidak dapat dibatalkan dengan mudah.
“Sebelumnya hari ini, rilis Claude Code menyertakan beberapa kode sumber internal,” kata juru bicara Anthropic kepada SiliconRepublic.com. “Tidak ada data sensitif atau kredensial pelanggan yang terlibat atau terekspos. Ini adalah masalah kemasan rilis yang disebabkan oleh kesalahan manusia, bukan pelanggaran keamanan. Kami meluncurkan langkah-langkah untuk mencegah hal ini terjadi lagi.”
Insiden ini terjadi hanya beberapa hari setelah Fortune melaporkan bahwa Anthropic secara tidak sengaja membuat ribuan file tersedia untuk umum, termasuk rancangan postingan blog yang menggambarkan model mendatang yang dikenal secara internal sebagai “Mythos” dan “Capybara” – yang menurut dokumen tersebut menimbulkan risiko keamanan siber.
Register mengutip insinyur perangkat lunak Gabriel Anhaia, yang menerbitkan analisis rinci tentang kode yang terungkap, dan mengatakan bahwa insiden tersebut harus menjadi peringatan bagi tim pengembangan di mana pun.
“Rupanya, file peta sumber disertakan dalam paket npm. Peta sumber dimaksudkan untuk debugging – mereka memetakan kode yang diperkecil/dibundel kembali ke sumber aslinya,” tulis Anhaia dalam analisisnya tentang kebocoran Kode Claude. “Memasukkan satu dalam publikasi npm produksi secara efektif mengirimkan seluruh basis kode Anda dalam bentuk yang dapat dibaca.
“Ini adalah pengingat bagi setiap tim teknik: periksa pipeline build Anda. Pastikan file .map dikecualikan dari konfigurasi publikasi Anda. Satu kolom .npmignore atau files yang salah dikonfigurasi di package.json dapat mengekspos semuanya,”
Ketika para ahli dan komentator meneliti kode sumber yang kini tersedia, tampaknya terdapat konsensus bahwa mereka terkesan dengan apa yang mereka lihat.
“Perhatikan, tidak ada seorang pun yang mengatakan kode ini buruk,” kata blogger teknologi terkemuka Amerika, Robert Scoble, dalam postingan media sosialnya. “Dalam setiap momen yang menyakitkan selalu ada hadiah. Hadiahnya adalah kita semua sekarang tahu bahwa kode Anthropic sangat bagus.”
Namun jelas juga bahwa kebocoran tersebut merupakan hadiah bagi pesaing kuatnya yang berlomba-lomba bersaing dengan salah satu produk Anthropic yang paling sukses, dan telah mengetahui apa yang ada di baliknya.