Anthropic Mengungkap Kode Sumber Claude Code di npm karena Salah Konfigurasi

Anthropic secara tidak sengaja mengekspos kode sumber lengkap untuk agen AI Claude Code pada 31 Maret 2026 setelah sebuah berkas source map yang salah konfigurasi diterbitkan ke registri npm sebagai bagian dari versi 2.1.88 dari paket @anthropic-ai/claude-code.

Berkas berukuran 59,8 MB tersebut berisi sekitar 512.000 baris TypeScript di 1.906 berkas, mengungkap arsitektur memori tiga lapis milik agen, referensi ke mode daemon otonom bernama KAIROS, kode sandi model internal termasuk Capybara (Claude 4.6) dan Fennec (Opus 4.6), serta sebuah fitur yang memungkinkan kontribusi “undercover” ke repositori open source tanpa mengungkap keterlibatan AI.

Kebocoran Kode Sumber Mengungkap Arsitektur Memori Tiga Lapis Claude Code

Kode sumber yang bocor menjelaskan bagaimana Anthropic membangun Claude Code untuk mengelola sesi coding jangka panjang melalui sistem memori yang canggih. Intinya ada berkas ringan bernama MEMORY.md yang menyimpan referensi singkat alih-alih informasi lengkap, dengan catatan proyek yang lebih detail disimpan terpisah dan diambil hanya saat diperlukan. Riwayat sesi sebelumnya dicari secara selektif, bukan dimuat sekaligus. Sistem ini juga memeriksa memori terhadap kode aktual sebelum mengambil tindakan, sebuah desain yang bertujuan mengurangi kesalahan dan asumsi yang keliru.

Kebocoran tersebut menunjukkan bahwa agen diarahkan untuk memperlakukan memori miliknya sendiri sebagai “petunjuk” yang memerlukan verifikasi terhadap codebase sebelum melanjutkan. Pendekatan ini, yang dijelaskan sebagai “Strict Write Discipline,” mencegah model mencemari konteksnya dengan upaya yang gagal. Arsitektur memori tersebut dirancang untuk menyelesaikan apa yang disebut pengembang sebagai “context entropy”—kecenderungan agen AI menjadi bingung atau halusinatif seiring sesi yang berjalan lama meningkat dalam kompleksitas.

Mode Otonom KAIROS dan Fitur Undercover Terungkap

Kode sumber tersebut menyebut fitur yang berulang kali dengan nama KAIROS, yang digambarkan sebagai mode daemon di mana agen dapat terus beroperasi di latar belakang alih-alih menunggu prompt langsung. Proses terkait bernama autoDream menangani konsolidasi memori saat periode idle dengan mendamaikan kontradiksi dan mengubah pengamatan sementara menjadi fakta yang terverifikasi.

Salah satu pengungkapan paling sensitif melibatkan sebuah fitur yang dijelaskan sebagai Undercover Mode. System prompt yang berhasil dipulihkan menginstruksikan Claude Code untuk berkontribusi pada repositori open source publik tanpa mengungkap bahwa AI terlibat, dengan instruksi spesifik untuk menghindari pengungkapan pengenal internal termasuk kode sandi Anthropic dalam pesan commit atau log git publik. Pengembang yang meninjau kebocoran tersebut juga menemukan puluhan hidden feature flags, termasuk referensi ke otomasi peramban melalui Playwright.

Metrik Kinerja Model Internal dan Roadmap Pengembangan Terungkap

Kebocoran tersebut mengungkap nama model internal dan data performa. Menurut sumber, Capybara merujuk pada varian Claude 4.6, Fennec berpadanan dengan rilis Opus 4.6, dan Numbat masih dalam pengujian pra-peluncuran. Benchmark internal menunjukkan versi Capybara terbaru dengan false claims rate sebesar 29% hingga 30%, naik dari 16,7% pada iterasi sebelumnya. Sumber tersebut juga merujuk pada sebuah penyeimbang “assertiveness” yang dirancang untuk mencegah model menjadi terlalu agresif saat melakukan refactoring kode pengguna.

Materi yang bocor juga mengungkap mesin perizinan Anthropic, logika orkestrasi untuk alur kerja multi-agen, sistem validasi bash, dan arsitektur server MCP, memberikan gambaran rinci kepada para pesaing tentang cara kerja Claude Code. Dilaporkan, Claude Code mencapai pendapatan berulang tahunan sebesar $2,5 miliar per Maret 2026, dengan adopsi enterprise menyumbang 80% dari pendapatannya.

Serangan Rantai Pasokan npm Berbasis Serangan Terpisah Memperparah Risiko Keamanan

Paparan sumber tersebut bertepatan dengan serangan rantai pasokan terpisah yang melibatkan versi paket axios npm yang berbahaya yang didistribusikan pada 31 Maret antara 00:21 dan 03:29 UTC. Pengembang yang menginstal atau memperbarui Claude Code melalui npm selama periode tersebut mungkin telah menarik versi axios yang dikompromikan (1.14.1 atau 0.30.4) yang berisi remote access trojan.

Anthropic mengonfirmasi kebocoran tersebut dalam sebuah pernyataan, menyatakan bahwa sebuah rilis Claude Code menyertakan beberapa kode sumber internal dan bahwa tidak ada data pelanggan sensitif atau kredensial yang terlibat atau diekspos. Perusahaan menyalahkan masalah tersebut pada kesalahan manusia dalam pengemasan rilis, bukan pelanggaran keamanan, dan menyatakan bahwa mereka sedang menerapkan langkah-langkah untuk mencegah terulangnya kejadian. Setelah pelanggaran, Anthropic menetapkan penginstal binary mandiri sebagai metode yang disukai untuk menginstal Claude Code karena melewati rantai dependensi npm.

FAQ

Kode sumber apa yang secara tidak sengaja diekspos Anthropic?

Anthropic mengekspos sekitar 512.000 baris kode sumber TypeScript untuk Claude Code, agen coding AI-nya, melalui sebuah berkas source map yang salah konfigurasi yang diterbitkan ke npm. Kebocoran tersebut mengungkap arsitektur memori agen, mode daemon otonom bernama KAIROS, kode sandi model internal, serta fitur yang memungkinkan kontribusi “undercover” ke repositori open source.

Risiko keamanan apa yang dihadapi pengguna setelah kebocoran?

Pengguna yang menginstal atau memperbarui Claude Code melalui npm selama jendela tiga jam pada 31 Maret mungkin secara tidak sengaja telah menginstal dependensi axios berbahaya yang berisi remote access trojan. Peneliti keamanan merekomendasikan untuk memeriksa lockfiles untuk versi yang dikompromikan, memutar kredensial, dan mempertimbangkan instal ulang OS penuh pada mesin yang terdampak.

Bagaimana seharusnya pengguna Claude Code mengurangi risiko?

Anthropic merekomendasikan penggunaan penginstal binary mandiri, bukan instalasi melalui npm, karena itu melewati rantai dependensi npm. Pengguna di npm harus menghapus versi 2.1.88 dan mengunci pada versi yang aman dan terverifikasi. Selain itu, pengguna harus menghindari menjalankan agen di repositori yang tidak tepercaya sampai memeriksa berkas konfigurasi dan custom hooks.