تسريب Claude Code عبر npm يكشف أدوات Anthropic الداخلية

31 مارس 2026 1 د قراءة 2,152

تسريب ضخم ضرب شركة بعد نشر كود أداة Claude Code بالخطأ على npm، في واحدة من أبرز حوادث تسريب أدوات الذكاء الاصطناعي هذا العام.

في واقعة لافتة، تم تضمين ملف source map داخل الحزمة الرسمية، ما سمح بإعادة بناء مشروع TypeScript كامل لأداة سطر الأوامر (CLI). ورغم الضجة، ما تسرّب هو كود الأداة نفسها وليس نموذج ولا أوزانه أو بيانات المستخدمين.

ما الذي تسرّب فعلاً؟

التسريب يقتصر على الكود المصدري لأداة Claude Code التي يستخدمها المطورون محليًا عبر npm للتفاعل مع Claude وإدارة المشاريع وتشغيل الأوامر.

  • مئات الآلاف من الأسطر البرمجية
  • حوالي 1900–2000 ملف TypeScript
  • يشمل منطق العميل وإدارة الجلسات وواجهات API
  • أنظمة التليمتري والصلاحيات والأمان

في المقابل، لم يتم تسريب أوزان النماذج أو بيانات التدريب أو مفاتيح API، حيث تظل داخل البنية التحتية الخاصة بـ Anthropic.

كيف حدث التسريب؟

السبب كان خطأ في عملية النشر، حيث تم تضمين ملف sourcemap داخل الإصدار v2.1.88 من الحزمة: 

cli.js.map

هذا الملف، الذي يُستخدم للتصحيح أثناء التطوير، احتوى على معلومات كافية لإعادة بناء الكود المصدري بالكامل. تم استخراج الكود ونشره على GitHub، وانتشرت عدة نسخ منه خلال ساعات، مما جعل احتواء التسريب شبه مستحيل.

اللافت أن هذه ليست المرة الأولى، حيث وقعت حادثة مشابهة في 2025، ما يثير تساؤلات حول عملية النشر داخل الشركة.

لماذا هذا ليس “تسريب Claude نفسه”؟

الكود المسرّب يمثل طبقة العميل (Client / Orchestration Layer)، وليس النموذج نفسه.

  • إدارة أوامر المطور
  • تنظيم الجلسات
  • تنفيذ الأوامر في بيئة معزولة
  • تطبيق سياسات الأمان قبل إرسال الطلبات

أما نموذج Claude وأوزانه وبيانات التدريب، فلم يتم كشف أي منها، ولا يمكن استنتاجها من هذا الكود.

ماذا تكشف الشفرة؟

  • طريقة تصميم أنظمة الوكلاء (Agentic Systems)
  • آليات sandbox وتنفيذ أوامر bash
  • إدارة المهام المعقدة داخل النظام
  • تفاصيل التليمتري وتحليل استخدام المطورين

هذا يجعل الأداة هدفًا مهمًا للباحثين الأمنيين والمنافسين على حد سواء.

المخاطر الفعلية

لا يوجد خطر مباشر على المستخدمين، لكن التأثير الأكبر يقع على الشركة نفسها:

  • كشف طبقات الأمان الداخلية
  • تسهيل اكتشاف الثغرات مستقبلًا
  • تأثير تنافسي لصالح الشركات الأخرى
  • اهتزاز الثقة في سلاسل الإمداد البرمجية

لماذا يتكرر هذا النوع من الأخطاء؟

  • ضعف مراجعة الإصدارات قبل النشر
  • خلط بين بيئات التطوير والإنتاج
  • غياب اختبارات أمان فعالة في CI/CD

ما الذي يعنيه ذلك للمطورين؟

  • عدم الثقة العمياء في الحزم المنشورة
  • مراجعة التبعيات قبل الاستخدام
  • عدم تشغيل أدوات غير موثوقة بصلاحيات كاملة

الخلاصة

الحادثة تكشف أن الخطر لا يقتصر على نماذج الذكاء الاصطناعي، بل يشمل الأدوات المحيطة بها. كما تؤكد أهمية تأمين عملية النشر ومراجعة الحزم بدقة قبل إصدارها.

شارك الآن ؟

تصفح المقالات

أساسيات REST API: Resources و Endpoints و HTTP Methods و Status Codes
/

أساسيات REST API: Resources و Endpoints و HTTP Methods و Status Codes

تعرف على أساسيات REST API من حيث Resources و Endpoints و HTTP Methods و Status Codes مع أمثلة عملية تساعدك على تصميم واجهات برمجية احترافية

ما هي REST API؟ فهم الفكرة بالمثال خطوة بخطوة
/

ما هي REST API؟ فهم الفكرة بالمثال خطوة بخطوة

مقال يشرح مفهوم REST API، كيف تعمل، ولماذا تُستخدم لربط التطبيقات بالبيانات عبر HTTP وJSON، مع أمثلة عملية وخطوات واضحة للفهم العميق

اقرأ أيضاً

تواصل معي