Do incydentu doszło dziś rano, gdy w publicznym rejestrze npm udostępniono wersję 2.1.88 pakietu @anthropic-ai/claude-code. Przez przeoczenie dołączono do niej plik mapy źródłowej JavaScript (.map) o rozmiarze niemal 60 MB. Tego typu pliki, przeznaczone wyłącznie do wewnętrznego debugowania, pozwalają na odtworzenie oryginalnego kodu źródłowego z jego skompresowanej formy. Dzięki temu osoby postronne zyskały wgląd w architekturę i sposób funkcjonowania autorskiego rozwiązania Anthropic, które do tej pory było ściśle strzeżoną tajemnicą handlową.

Chaofan Shou, stażysta w Solayer Labs, opublikował informację o swoim odkryciu na platformie X. Jego wpis, zawierający bezpośredni link do pobrania archiwum, stał się cyfrowym sygnałem alarmowym. W ciągu zaledwie kilku godzin kod źródłowy napisany w języku TypeScript, liczący około 512 000 linii, został powielony w serwisie GitHub i poddany analizie przez tysiące programistów.

Dla firmy Anthropic  incydent ten jest czymś więcej niż zwykłym uchybieniem w systemie zabezpieczeń. To  cios w jej własność intelektualną, zadany w szczególnie niefortunnym momencie, tuż przed kluczowymi premierami rynkowymi. Dane rynkowe wskazują, że narzędzie Claude Code osiągnęło roczny powtarzalny przychód (ARR) na poziomie 2,5 miliarda dolarów, co oznacza ponad dwukrotny wzrost od początku roku. Aż 80% tych wpływów generują firmy.

– Dzisiejsze wydanie Claude Code zawierało fragmenty wewnętrznego kodu źródłowego. Nie doszło do wycieku danych klientów ani haseł. Przyczyną był błąd ludzki przy pakowaniu wersji, a nie atak na nasze serwery. Wdrażamy procedury, które zapobiegną takim sytuacjom w przyszłości -poinformował Antrophic.