Anthropic Claude Code Leak: Un'analisi approfondita del codice sorgente e delle sue implicazioni
Il mondo digitale opera spesso con un'illusione di controllo, una facciata attentamente curata dietro sistemi complessi. Il 31 marzo 2026, quella facciata è crollata brevemente per Anthropic, una delle principali aziende di IA, quando l'intero codice sorgente del suo strumento da riga di comando (CLI) chiamato Claude Code è diventato inavvertitamente pubblico. Non si è trattato di un hack malevolo, ma piuttosto di una semplice svista, amplificata dalla naturale curiosità degli sviluppatori e dall'onnipresente interconnessione delle piattaforme online.
Riepilogo rapido: Punti chiave della fuga di Claude Code
La fuga accidentale del codice sorgente di Claude Code di Anthropic ha svelato informazioni cruciali e sollevato domande importanti. Ecco una breve panoramica:
- Cosa è successo? Il 31 marzo 2026, il codice sorgente dello strumento CLI di Anthropic, Claude Code, è stato reso pubblicamente accessibile per errore tramite un file Source Map nel registro npm. Questa è la terza volta che Anthropic commette questo errore.
- Ambito della fuga: La fuga comprendeva 1.906 file TypeScript proprietari, per un totale di oltre 512.000 righe di codice, offrendo un piano completo dello strumento lato client.
- Risposta di Anthropic: L'azienda ha rimosso rapidamente il pacchetto npm problematico, ha confermato la fuga involontaria e ha dichiarato che nessun dato sensibile dei clienti o credenziali di accesso sono stati compromessi. Hanno attribuito l'incidente a un errore di packaging causato da un errore umano.
- Scoperte chiave: Il codice ha rivelato una sofisticata architettura di memoria "Self-Healing Memory" a tre livelli, una modalità daemon autonoma "KAIROS" per le operazioni in background e nomi di progetto interni come "Capybara" (Claude 4.6) e "Fennec" (Opus 4.6).
- Funzionalità controverse: È stata scoperta una "Modalità Sottocoperta" (Undercover Mode) progettata per mascherare l'origine AI dei contributi ai repository open-source pubblici. È stato anche trovato un sistema "Buddy", un animale domestico da terminale simile a Tamagotchi.
- Implicazioni sulla sicurezza: La fuga aumenta il rischio che gli attaccanti possano creare repository malevoli. Un contemporaneo compromesso del pacchetto `axios` npm ha rappresentato una minaccia anche per gli utenti che hanno aggiornato Claude Code tramite npm durante una specifica finestra temporale.
- Raccomandazioni: Si consiglia agli utenti di passare all'Installer Nativo, verificare i file di lock per versioni malevole di `axios`, ruotare le chiavi API e adottare un approccio zero-trust in ambienti sconosciuti.
Analisi della fuga di Claude Code di Anthropic
Il 31 marzo 2026, il codice sorgente dello strumento CLI di Anthropic, Claude Code, è stato reso pubblicamente accessibile per errore, un fatto ampiamente riportato da testate come The Register. Il nucleo del problema era un file Source Map, che è stato inavvertitamente pubblicato sul registro npm, come dettagliato da The Decoder. La scoperta è stata riportata per la prima volta pubblicamente dall'esperto di sicurezza Chaofan Shou su X (precedentemente Twitter).

Fonte: usethebitcoin.com
L'esperto di sicurezza Chaofan Shou ha inizialmente riportato il rilascio pubblico accidentale del codice sorgente di Claude Code di Anthropic, portando l'incidente all'attenzione del pubblico.
Subito dopo questa rivelazione, un'istantanea completa della codebase è emersa in un repository GitHub pubblico intitolato instructkr/claude-code, un fatto verificato da dev.to. Questo codice speculare era sostanziale, contenente circa 1.900 file e oltre 512.000 righe, secondo Heise.
Claude Code è progettato come uno strumento da riga di comando, che consente agli sviluppatori di interagire con i modelli AI di Anthropic usando il linguaggio naturale, come riportato da Silicon Republic. Aiuta in attività come la modifica di file o l'esecuzione di comandi. I Source Map, tipicamente utilizzati per il debug, aiutano a collegare il codice compresso ai suoi file sorgente originali, come spiega dev.to. Quando questi file sono inclusi accidentalmente nei pacchetti pubblicati, possono esporre l'intero codice sorgente non minificato. In questo specifico incidente, il file JavaScript Source Map da 59,8 MB (.map) all'interno della versione 2.1.88 del pacchetto `@anthropic-ai/claude-code` puntava direttamente alle sue sorgenti TypeScript non minificate, secondo dev.to. Una configurazione errata del pacchetto durante il processo di pubblicazione npm è ritenuta la causa principale di questa esposizione.
Anthropic ha risposto rapidamente, rimuovendo la versione problematica del pacchetto dal registro npm e sostituendola con una versione pulita che mancava i Source Map esposti. Un portavoce dell'azienda ha confermato la fuga involontaria di codice, rassicurando il pubblico che nessun dato sensibile dei clienti o credenziali di accesso sono stati compromessi. Anthropic ha caratterizzato l'incidente come un problema di packaging causato da errore umano, non una vulnerabilità di sicurezza, e ha dichiarato che stavano implementando misure per prevenire futuri incidenti simili.
Ciò che rende questa fuga particolarmente degna di nota è che segna la terza volta che Anthropic commette questo preciso errore con i Source Map nel registro npm, come riportato da The Register. Una versione precedente di Claude Code aveva affrontato un'esposizione simile nel febbraio 2025; Anthropic l'aveva risolta rimuovendo la vecchia versione e il Source Map. Tuttavia, il problema è riemerso nella versione 2.1.88 nel 2026. La causa tecnica principale sembra essere un bug documentato (oven-sh/bun#28001) nel bundler Bun, che genera Source Map per impostazione predefinita a meno che non vengano esplicitamente disabilitati, portando a incidenti ripetuti se non configurato correttamente.
Implicazioni e scoperte inaspettate nel codice di Claude di Anthropic
L'ampio codice trapelato, comprendente 1.906 file sorgente TypeScript proprietari, offriva una finestra senza precedenti sull'architettura interna di Anthropic. Ha messo a nudo dettagli intricati sulla loro progettazione API, sui sistemi di analisi telemetrica, sugli strumenti di crittografia e sui protocolli di comunicazione inter-processo. Sebbene i dati degli utenti e i pesi dei modelli AI siano rimasti non esposti, questa nuova trasparenza del funzionamento interno di Anthropic offre informazioni significative ai concorrenti e introduce nuove considerazioni sulla sicurezza per gli utenti.
Memoria auto-ripfactorplot e Daemon KAIROS
Una delle rivelazioni più sorprendenti della fuga è la sofisticata architettura di memoria a tre livelli di Anthropic, esplicitamente progettata per gestire l' "entropia del contesto". A differenza dei tradizionali metodi di recupero "salva tutto", Claude Code impiega un sistema unico di "Memoria Auto-ripfactorplot" (Self-Healing Memory), come dettagliato da dev.to. Questo sistema si basa su `MEMORY.md`, un indice leggero di puntatori (circa 150 caratteri per riga) che viene costantemente caricato nel contesto del modello. Crucialmente, questo indice memorizza le posizioni della memoria, non i dati effettivi. La vera conoscenza del progetto è distribuita in "file tematici", che vengono recuperati solo quando necessario. Le trascrizioni grezze non vengono mai completamente rilette; invece, vengono "grep'd" per identificatori specifici. Una "Strict Write Discipline" assicura che l'agente aggiorni il suo indice solo dopo un'operazione di scrittura di file riuscita, prevenendo che il contesto del modello venga inquinato da tentativi falliti. Il codice conferma esplicitamente che agli agenti di Anthropic viene impartito di trattare la propria memoria come un semplice "suggerimento", richiedendo la verifica rispetto all'effettiva codebase prima di procedere con qualsiasi azione.
La fuga ha anche portato alla luce "KAIROS", una modalità daemon autonoma menzionata oltre 150 volte nel codice sorgente, come dettagliato da dev.to. KAIROS opera come un agente di background costantemente attivo, che gestisce meticolosamente le sessioni in background e utilizza un processo chiamato "autoDream". Mentre l'utente è inattivo, "autoDream" esegue la "consolidazione della memoria", un processo sofisticato che fonde osservazioni disparate, risolve contraddizioni logiche e trasforma intuizioni vaghe in fatti concreti. Questa manutenzione in background garantisce che il contesto dell'agente rimanga pulito e altamente pertinente al ritorno dell'utente. Un sottotipo di agente forkato gestisce questi compiti, impedendo in modo critico che queste operazioni di manutenzione di routine corrompano "il filo del pensiero" dell'agente principale.
Roadmap interna dei modelli
Il codice trapelato ha anche offerto uno sguardo sulla roadmap interna dei modelli di Anthropic. "Capybara" è stato rivelato come il nome in codice interno per una variante di Claude 4.6, mentre "Fennec" è associato a Opus 4.6. "Numbat" rappresenta un modello ancora in fase di test. Commenti interni nel codice indicavano che Anthropic stava già lavorando su Capybara v8, che mostrava un tasso significativo del 29-30% di affermazioni false - una regressione dal tasso del 16,7% osservato in v4. Per contrastare questo, una funzionalità "Assertiveness Counterweight" mira a impedire al modello di diventare eccessivamente aggressivo durante i processi di refactoring, evidenziando gli sforzi di Anthropic per bilanciare prestazioni e accuratezza.
Ecco una rapida panoramica dei nomi in codice dei modelli rivelati:
| Nome in codice | Modello/Stato associato | Note |
|---|---|---|
| Capybara | Variante di Claude 4.6 | Commenti interni indicano che v8 ha un tasso di affermazioni false del 29-30% (regressione dal 16,7% in v4). |
| Fennec | Opus 4.6 | — |
| Numbat | Modello in fase di test | — |
| Tengu | Funzionalità di attestazione | — |
Modalità Sottocoperta e Sistema Buddy
Una funzionalità eticamente discutibile portata alla luce è la "Modalità Sottocoperta" (Undercover Mode), come evidenziato da dev.to. Questa modalità suggerisce che Anthropic utilizzi Claude Code per contributi "furtivi" a repository open-source pubblici. Il prompt di sistema avverte esplicitamente il modello: "Stai operando SOTTOCOPERTA... I tuoi messaggi di commit... NON DEVONO contenere alcuna informazione interna di Anthropic. Non rivelare te stesso." Questa logica assicura che nessun nome di modello (come 'Tengu' o 'Capybara') o attribuzioni AI appaiano nei log Git pubblici, mascherando efficacemente la natura automatizzata dei contributi. Crucialmente, non c'è modo per un utente di disabilitare forzatamente questa funzione Sottocoperta.
❝ Stai operando SOTTOCOPERTA... I tuoi messaggi di commit... NON DEVONO contenere alcuna informazione interna di Anthropic. Non rivelare te stesso. ❞

Fonte: red-gate.com
Uno snippet di codice avverte esplicitamente il modello sulla sua operazione in "Modalità Sottocoperta", istruendolo a evitare di rivelare qualsiasi informazione interna di Anthropic nei messaggi di commit pubblici.
Inoltre, il codice ha esposto il sistema "Buddy", un animale domestico da terminale simile a Tamagotchi con statistiche come CHAOS e SNARK, progettato per aumentare l'interazione dell'utente, anch'esso scoperto da dev.to. I nomi delle specie sono codificati per aggirare le revisioni automatiche del codice, aggiungendo un ulteriore livello di oscurità alla sua funzionalità interna.

Fonte: etsy.com
Il sistema Buddy è un animale domestico da terminale simile a Tamagotchi, con statistiche come CHAOS e SNARK, progettato per aumentare l'interazione dell'utente con Claude Code.
Rischi di sicurezza e raccomandazioni per gli utenti di Claude Code
La fuga del codice sorgente di Claude Code presenta maggiori rischi per la sicurezza sia per gli utenti individuali che per i clienti aziendali. Con il piano dettagliato del funzionamento interno dello strumento ora pubblico, gli attaccanti potrebbero creare repository malevoli progettati per indurre Claude Code a eseguire comandi in background o addirittura a esfiltrare dati. A questo si aggiunge un attacco separato alla catena di approvvigionamento sul pacchetto npm `axios`, avvenuto contemporaneamente, poche ore prima della fuga di Claude Code. Ciò significa che se Claude Code è stato installato o aggiornato tramite npm tra le 00:21 e le 03:29 UTC del 31 marzo 2026, una versione malevola di `axios` (1.14.1 o 0.30.4) contenente un Trojan di accesso remoto (RAT) potrebbe essere stata installata sui sistemi degli utenti.
Gli utenti interessati dovrebbero immediatamente rivedere i propri file di lock del progetto (come `package-lock.json`, `yarn.lock` o `bun.lockb`) per la presenza di queste versioni sospette di `axios` o della dipendenza `plain-crypto-js`. In caso di ritrovamento, la macchina host dovrebbe essere considerata compromessa. Tutti i segreti devono essere ruotati e dovrebbe essere eseguita una reinstallazione completa del sistema operativo per garantire una completa risoluzione.
Best practice per l'installazione
In futuro, è altamente consigliabile passare dalle installazioni basate su npm all'Installer Nativo per Claude Code, accessibile tramite `curl -fsSL https://claude.ai/install.sh | bash`. L'Installer Nativo utilizza un eseguibile standalone, rendendolo immune alla volatilità della catena di dipendenze npm. Supporta anche aggiornamenti automatici in background, cruciali per ricevere patch di sicurezza (probabilmente versione 2.1.89 o successive). Se il mantenimento dell'installazione npm è inevitabile, gli utenti dovrebbero disinstallare la versione 2.1.88 ora compromessa e fissare esplicitamente la loro installazione a una versione sicura verificata, come la 2.1.86.
curl -fsSL https://claude.ai/install.sh | bash
Inoltre, si raccomanda un approccio zero-trust quando si utilizza Claude Code in ambienti sconosciuti. Evitare di eseguire l'agente all'interno di repository appena clonati o non attendibili fino a quando il file `.claude/config.json` e qualsiasi hook personalizzato non siano stati manualmente esaminati per elementi sospetti. Le chiavi API di Anthropic dovrebbero essere ruotate frequentemente tramite la console sviluppatori e i modelli di utilizzo dovrebbero essere monitorati continuamente per eventuali anomalie, fornendo un ulteriore livello di sicurezza.
Domande frequenti (FAQ)
Cosa è stato esattamente trapelato?
La fuga comprendeva l'intero codice sorgente dello strumento da riga di comando (CLI) di Anthropic, Claude Code. Ciò includeva 1.906 file TypeScript proprietari, per un totale di oltre 512.000 righe di codice, coprendo la progettazione API interna, i sistemi di telemetria, gli strumenti di crittografia e i protocolli di comunicazione inter-processo.
Sono stati compromessi dati sensibili degli utenti o modelli AI?
Secondo Anthropic, nessun dato sensibile dei clienti, credenziali di accesso o pesi principali dei modelli AI sono stati compromessi in questo incidente. La fuga ha principalmente esposto l'implementazione lato client dello strumento Claude Code.
Come è avvenuta la fuga?
La fuga è avvenuta a causa di un file Source Map pubblicato inavvertitamente all'interno della versione 2.1.88 del pacchetto `@anthropic-ai/claude-code` sul registro npm. Una configurazione errata del pacchetto durante il processo di pubblicazione npm, possibilmente legata a un bug nel bundler Bun, è ritenuta la causa principale. Questa è la terza volta che Anthropic commette questo specifico errore.
Quali sono le scoperte più significative dal codice trapelato?
Le scoperte chiave includono una sofisticata architettura di memoria "Self-Healing Memory" a tre livelli, una modalità daemon autonoma "KAIROS" per il consolidamento della memoria in background, nomi di progetto interni (ad es. "Capybara" per Claude 4.6) e una "Modalità Sottocoperta" progettata per mascherare l'origine AI dei contributi di codice ai repository pubblici.
Quali sono i rischi di sicurezza per gli utenti?
La disponibilità pubblica del codice sorgente potrebbe consentire agli attaccanti di creare repository malevoli che inducono Claude Code a eseguire comandi o esfiltrare dati. Inoltre, un contemporaneo compromesso del pacchetto npm `axios` significa che gli utenti che hanno aggiornato Claude Code tramite npm durante una finestra temporale specifica (31 marzo 2026, 00:21-03:29 UTC) potrebbero aver installato una versione malevola di `axios` contenente un Trojan di accesso remoto (RAT).
Cosa dovrebbero fare gli utenti di Claude Code per proteggersi?
Gli utenti dovrebbero passare dalle installazioni basate su npm all'Installer Nativo. Controllare immediatamente i file di lock del progetto per versioni malevole di `axios` (1.14.1 o 0.30.4) o la dipendenza `plain-crypto-js`. In caso di ritrovamento, considerare la macchina compromessa, ruotare tutti i segreti ed eseguire una reinstallazione pulita del sistema operativo. Adottare un approccio zero-trust, rivedere i file di configurazione e ruotare frequentemente le chiavi API di Anthropic.
Conclusione
L'esposizione pubblica accidentale del codice sorgente di Claude Code di Anthropic sottolinea vividamente le sfide persistenti intrinseche allo sviluppo e alla distribuzione del software, in particolare nel panorama dell'IA in rapida evoluzione. Mentre Anthropic afferma che nessun dato sensibile degli utenti o pesi cruciali dei modelli AI sono stati compromessi, la fuga fornisce ai concorrenti un piano eccezionalmente dettagliato del funzionamento interno di Claude Code, inclusa la sua sofisticata gestione della memoria e complessi flussi di lavoro multi-agente, come riportato in modo completo da dev.to. Oltre alle informazioni competitive, solleva anche criticali preoccupazioni di sicurezza per gli utenti finali, evidenziando la necessità assoluta di vigilanza e aderenza alle migliori pratiche nella gestione delle dipendenze software. Questo incidente serve come un duro promemoria che anche un singolo, apparentemente minore errore in un file di configurazione può esporre mesi di lavoro proprietario e inviare onde significative nella comunità tecnica.