#ClaudeCode500KCodeLeak

Laporan Kebocoran Sumber Kode Claude

Pada 31 Maret 2026, Anthropic secara tidak sengaja merilis seluruh kode sumber Claude Code melalui kesalahan pengemasan di registry npm. Kebocoran terjadi pada versi 2.1.88 dan mengekspos sekitar 512.000 baris TypeScript di 1.906 file.

Konteks Pasar
Ini adalah kebocoran data besar kedua bagi Anthropic dalam satu minggu setelah kesalahan konfigurasi CMS yang membocorkan detail tentang model mendatang dengan kode nama Capybara. Meskipun dinilai sebesar 60 miliar dolar, perusahaan ini masih mengalami kesulitan dengan kebersihan rilis dasar.

Akar Penyebab Teknis
Kebocoran disebabkan oleh entri yang hilang di file .npmignore. Runtime Bun menghasilkan file peta sumber sebesar 60MB yang berisi tautan langsung ke arsip zip di bucket Cloudflare R2. Peneliti keamanan Chaofan Shou menemukan tautan tersebut dan telah di-fork lebih dari 40.000 kali sebelum paket tersebut ditarik.

Temuan Utama dalam Kode

1 Mode Otonom KAIROS
Kode sumber mengandung lebih dari 150 referensi ke KAIROS, sebuah mode daemon latar belakang yang belum dirilis. Ini memungkinkan Claude bekerja secara proaktif saat pengguna tidak di terminal.

2 Sistem Memori AutoDream
Kode mengungkapkan arsitektur memori tiga lapis. Agen melakukan proses yang disebut autoDream saat waktu diam untuk mengkonsolidasikan log, menyelesaikan kontradiksi, dan mempromosikan pengamatan ke dalam pengetahuan proyek yang diverifikasi di MEMORY.

3 Mode Undercover
Sebuah prompt sistem tersembunyi menginstruksikan agen untuk menghapus semua branding Anthropic dan pengenal AI dari commit kode. Ini mengonfirmasi bahwa Anthropic telah menggunakan Claude untuk kontribusi ghost ke proyek open source tanpa atribusi.

4 Model Mendatang
Kode secara eksplisit merujuk pada string versi internal yang belum dirilis, termasuk Opus 4.7 dan Sonnet 4.8. Juga disebutkan tingkat klaim palsu sebesar 30 persen untuk iterasi awal model Mythos yang baru.

5 Penjaga Keamanan
Instruksi keselamatan dimiliki secara unik oleh individu tertentu bernama David Forsythe dan Kyla Guru, bukan oleh komite umum. Setiap perubahan pada batas keamanan memerlukan persetujuan langsung dari mereka.

Dampak Industri
Pengembang telah mulai mem-porting harness agenik ke Python dan Rust. Meskipun bobot model tetap aman, logika orkestrasi—rahasia dari performa tinggi Claude—sekarang menjadi publik. Ini secara efektif menyediakan buku teks gratis bagi pesaing tentang cara membangun agen AI tingkat produksi.

Status Saat Ini
Anthropic telah menghentikan jalur instalasi npm demi penginstal native untuk mencegah kebocoran paket di masa depan. Tidak ada data pelanggan atau kredensial yang dikompromikan dalam insiden ini.