Claude Code Leak 2026: Atacul supply chain și ce înseamnă pentru developeri

Claude Code a fost leak-uit: tot ce trebuie să știi despre cel mai mare incident Anthropic din 2026

Pe 31 martie 2026, Anthropic a făcut o greșeală care va rămâne în istoria recentă a industriei AI. Codul sursă complet al Claude Code — tool-ul lor de coding care generează venituri de peste 2.5 miliarde de dolari pe an — a ajuns public pe npm, vizibil pentru oricine. Nu a fost un hack. Nu a fost un whistleblower. A fost pur și simplu o eroare umană într-un proces de packaging.

Hai să dezbatem ce s-a întâmplat, ce s-a descoperit în cod, de ce contează și ce ar trebui să faci dacă folosești Claude Code.

Cum s-a întâmplat leak-ul: o poveste despre source maps și .npmignore

Dacă lucrezi cu TypeScript sau JavaScript, știi despre source maps. Când compilezi codul pentru producție, build tool-ul (Webpack, esbuild, Bun etc.) poate genera fișiere .map care fac legătura între codul minificat și sursa originală. Există pentru debugging și nu ar trebui să ajungă niciodată la utilizatorii finali.

Versiunea 2.1.88 a pachetului @anthropic-ai/claude-code a fost publicată pe npm cu un fișier source map de 59.8 MB inclus din greșeală. Acest fișier conținea o referință directă către o arhivă zip găzduită pe un bucket Cloudflare R2 al Anthropic — un bucket accesibil public. Oricine descărca pachetul de pe npm putea să urmeze link-ul și să descarce tot codul sursă. Fără autentificare. Fără hack. Fișierul era pur și simplu acolo.

Chaofan Shou, cercetător de securitate și intern la firma de securitate blockchain Fuzzland, a fost primul care a semnalat public problema pe X (fostul Twitter). Postarea lui a strâns peste 28.8 milioane de vizualizări. În câteva ore, codul a fost copiat pe GitHub, unde repo-ul a adunat peste 84.000 de stele și 82.000 de fork-uri înainte ca Anthropic să trimită cereri DMCA de takedown.

Ce e ironic? Nu e prima dată. Un leak aproape identic, tot prin source maps, s-a întâmplat cu o versiune anterioară de Claude Code în februarie 2025. Deci Anthropic a făcut aceeași greșeală de două ori în 13 luni.

Reacția oficială a Anthropic

Anthropic a confirmat incidentul destul de rapid. Un purtător de cuvânt a declarat pentru mai multe publicații că o versiune de Claude Code a inclus cod sursă intern, că nu au fost implicate sau expuse date sensibile ale clienților sau credențiale, și că a fost o problemă de packaging cauzată de eroare umană, nu o breșă de securitate. Au adăugat că implementează măsuri pentru a preveni repetarea.

Lucrul important de reținut: greutățile modelului AI (model weights) nu au fost expuse. Datele utilizatorilor nu au fost compromise. Cheile API nu au fost leak-uite. Ce a ieșit a fost harnasul agentic — codul TypeScript care înconjoară modelul Claude și îi permite să folosească tool-uri, să gestioneze fișiere, să ruleze comenzi bash și să orchestreze fluxuri multi-agent.

Ce conținea codul leak-uit: 512.000 de linii de TypeScript

Arhiva descărcabilă conținea directorul src/ al Claude Code: aproximativ 1.906 fișiere TypeScript, cu un total de peste 512.000 de linii de cod. Iată ce au descoperit cercetătorii și developerii care au analizat codul.

Arhitectura generală

Claude Code e structurat în jurul mai multor componente cheie. Bucla principală de orchestrare gestionează rundele de conversație, decide când să invoce tool-uri și controlează fluxul de execuție al agentului. Un motor de query-uri gestionează apelurile API către LLM și orchestrarea. Managerul ferestrei de context decide ce informații încap în conversație și gestionează compresia automată când se apropie de limitele de token-uri.

Fiecare tool (citire fișiere, execuție bash, editare cod etc.) trăiește în propriul director sub tools/ cu un fișier de implementare separat, descriere și schemă a parametrilor. Există și un motor custom de rendering în terminal, construit pe Ink și React cu layout Yoga, care gestionează renderarea textului, output ANSI, focus management, scrolling, selecție și hit testing.

Un layer de comunicare bidirecțională conectează extensiile IDE (precum VS Code) la CLI, permițând integrarea fluidă la care developerii s-au obișnuit.

44 de feature flags ascunse — 20 de funcționalități nelivrate

Poate cea mai interesantă descoperire a fost prezența a 44 de feature flags răspândite în întreaga bază de cod. Claude Code folosește mecanismul bun:bundle cu feature() pentru eliminarea codului mort la compilare. Flag-urile compilează la false când Anthropic generează build-ul extern, dar codul de dedesubt e complet funcțional și gata de livrat.

Dintre aceste 44 de flag-uri, 20 reprezintă funcționalități complet construite dar încă nelansate. Observatorii din industrie au remarcat că Anthropic lansează un feature nou cam la fiecare două săptămâni — probabil pentru că totul e deja gata și doar activează flag-urile conform unui program.

KAIROS: modul daemon autonom

Una dintre cele mai discutate descoperiri este o funcționalitate numită intern KAIROS — după conceptul grec antic care înseamnă 'la momentul potrivit.' Flag-ul KAIROS este menționat de peste 150 de ori în codul sursă și reprezintă o schimbare fundamentală în modul în care tool-ul operează.

KAIROS permite Claude Code să ruleze ca un agent persistent în background, un daemon care continuă să lucreze chiar și când utilizatorul e inactiv. Folosește un proces numit autoDream, în care agentul efectuează consolidare a memoriei cât timp developerul lipsește. În timpul autoDream, Claude combină observații disparate, elimină contradicții logice și convertește insight-uri vagi în fapte concrete. Practic, Claude Code ar putea studia și îmbunătăți înțelegerea bazei tale de cod în timp ce dormi.

Arhitectura de memorie self-healing

Codul leak-uit a dezvăluit modul în care Anthropic abordează ceea ce ei numesc 'entropia de context' — tendința agenților AI de a deveni confuși sau de a hallucina pe măsură ce sesiunile lungi acumulează din ce în ce mai mult context. Soluția lor e o arhitectură de memorie self-healing.

Un detaliu fascinant: agenții sunt instruiți intern să trateze propria memorie ca pe un 'hint' (sugestie), nu ca pe un adevăr absolut. Modelul trebuie să verifice informațiile din memorie contra bazei de cod reale înainte de a acționa. E un sistem sceptic prin design, și această alegere de design îl diferențiază de multe abordări concurente.

Developerii au găsit și un comentariu intern revelator în fișierul autoCompact.ts (liniile 68 până la 70): 1.279 de sesiuni aveau 50 sau mai multe eșecuri consecutive de auto-compactare (până la 3.272 eșecuri într-o singură sesiune), irosind aproximativ 250.000 de apeluri API pe zi la nivel global. Fix-ul a fost de trei linii de cod: MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3. După 3 eșecuri consecutive, sistemul pur și simplu se oprește din încercat. Uneori ingineria bună înseamnă să știi când să renunți.

Orchestrare multi-agent și sub-agenți

Codul confirmă că Claude Code poate genera sub-agenți sau swarm-uri de agenți pentru sarcini complexe. Există un sistem complet de orchestrare multi-agent care permite delegarea sarcinilor între mai mulți agenți care lucrează simultan, permițând procesarea paralelă a fluxurilor de dezvoltare complexe.

Referințe la următorul model: Capybara / Mythos

Codul sursă conține referințe multiple la o nouă familie de modele AI de la Anthropic, cu numele de cod intern Capybara (referit și ca Mythos într-un document separat leak-uit cu câteva zile înainte). Flag-urile beta din cod referențiază string-uri specifice de versiune API pentru Capybara, sugerând că dezvoltarea e mult dincolo de faza conceptuală. Cercetătorul de securitate Roy Paz de la LayerX Security, care a revizuit codul pentru Fortune, a indicat că modelul va fi probabil livrat în variante fast și slow, cu o fereastră de context semnificativ mai mare decât orice e disponibil în prezent pe piață.

Atacul supply chain pe axios: un incident separat dar critic

Timing-ul a făcut totul și mai dramatic. La câteva ore înainte de leak, într-un eveniment complet nelegat, un atac real de supply chain a lovit pachetul npm axios — una dintre cele mai folosite biblioteci HTTP client din ecosistemul JavaScript.

Versiunile malițioase 1.14.1 și 0.30.4 ale axios au fost publicate pe npm și conțineau un Remote Access Trojan (RAT) cross-platform ascuns sub o dependență numită plain-crypto-js. Fereastra de expunere a fost între 00:21 UTC și 03:29 UTC pe 31 martie 2026.

Cum verifici dacă ai fost afectat

Dacă ai instalat sau actualizat Claude Code prin npm în acea fereastră de timp, trebuie să verifici imediat. Caută în fișierele tale de lock (package-lock.json, yarn.lock sau bun.lockb) versiunile axios 1.14.1 sau 0.30.4, sau dependența plain-crypto-js. Poți rula asta în terminal:

grep -r '1.14.1|0.30.4|plain-crypto-js' package-lock.json

Dacă găsești oricare dintre aceste referințe, situația e serioasă. Tratează mașina gazdă ca fiind complet compromisă, rotește toate secretele și credențialele, și efectuează o reinstalare curată a sistemului de operare.

Recomandarea oficială: renunță la npm

Anthropic recomandă acum oficial Native Installer ca metodă preferată de instalare. Comanda este: curl -fsSL https://claude.ai/install.sh | bash. Acest installer folosește un binary standalone care nu depinde de lanțul de dependențe npm, eliminând riscul atacurilor supply chain prin pachete compromise.

Typosquatting și atacuri de dependency confusion

Ca și cum nu era destul, atacatorii au profitat rapid de leak pentru a face typosquatting pe numele pachetelor npm interne ale Anthropic. Un utilizator numit 'pacifier136' a publicat pachete cu nume aproape identice cu cele interne. Deocamdată sunt stub-uri goale (module.exports = {}), dar așa cum a avertizat cercetătorul de securitate Clément Dumas, exact așa funcționează aceste atacuri: ocupi numele, aștepți descărcări, apoi împingi un update malițios care lovește pe toți cei care l-au instalat.

Contextul mai larg: al doilea incident major într-o săptămână

Leak-ul Claude Code nu s-a întâmplat izolat. Cu doar cinci zile înainte, pe 26 martie, o misconfigurare CMS la Anthropic a expus aproximativ 3.000 de fișiere interne care conțineau detalii despre modelul nelansat 'Claude Mythos', tot atribuit erorii umane. Două dezvăluiri accidentale semnificative într-o singură săptămână ridică întrebări legitime despre securitatea operațională la o companie care se promovează ca laboratorul AI safety-first.

Cum a rezumat un analist: leak-ul nu va scufunda Anthropic, dar oferă fiecărui competitor o educație inginerească gratuită despre cum să construiești un agent de coding AI de nivel producție și pe ce tool-uri să te concentrezi.

Claude Code în cifre: de ce contează financial

Claude Code nu e un side-project. La momentul leak-ului, tool-ul genera un venit anualizat recurent (ARR) de aproximativ 2.5 miliarde de dolari, cifră care s-a mai mult decât dublat de la începutul lui 2026. Anthropic în ansamblu raportează un run-rate de venituri anuale de 19 miliarde de dolari, iar adoptarea enterprise reprezintă 80% din veniturile Claude Code.

Compania pregătește un IPO, ceea ce face ca timing-ul acestui leak să fie deosebit de prost. Competitorii — de la giganți tech consacrați la rivali agili ca Cursor — au acum un blueprint literal pentru construirea unui agent de coding AI similar.

Implicații tehnice pentru developeri

System prompts livrate în CLI — de ce e surprinzător

Una dintre cele mai discutate descoperiri e faptul că system prompt-urile complete ale Claude Code erau incluse direct în pachetul CLI distribuit. Cercetătorii se așteptau ca prompt-urile să fie servite de pe server, nu incluse local. Asta înseamnă că instrucțiunile exacte prin care Claude raționează despre sarcini, își planifică acțiunile și își evaluează propriile output-uri sunt acum cunoștințe publice.

Bash tool — bijuteria coroanei

Analiștii au descris tool-ul Bash din Claude Code ca fiind bijuteria coroanei a arhitecturii. Capacitatea de a executa comenzi în terminal, împreună cu toate mecanismele de siguranță și sandboxing-ul asociat, e probabil cel mai critic component atât din perspectiva funcționalității cât și a securității.

Modul undercover și frustration regexes

Alte descoperiri amuzante includ un mod undercover și ceea ce comunitatea a numit 'frustration regexes' — pattern-uri regex care detectează semne de frustrare în mesajele utilizatorului pentru a adapta comportamentul agentului. Cineva de la Anthropic s-a și distrat scriind 187 de animații diferite cu verbe pentru spinner-ele de loading.

Ce trebuie să faci acum dacă folosești Claude Code

Dacă ești utilizator Claude Code, iată pașii concreți pe care ar trebui să-i urmezi:

Gânduri finale

Leak-ul Claude Code din martie 2026 e un studiu de caz despre cât de fragile pot fi procesele de release într-o companie tech, indiferent cât de avansată e tehnologia pe care o construiesc. O singură configurare greșită a fișierului .npmignore sau o intrare greșită în package.json poate expune totul.

Pentru industria AI, leak-ul oferă o transparență neașteptată: vedem acum cum se construiește cu adevărat un agent de coding de nivel producție, de la arhitectura de memorie la orchestrarea multi-agent și la modul în care sunt gestionate limitele ferestrei de context. Pentru competitori, e o educație inginerească gratuită. Pentru Anthropic, e un reminder dureros că safety-first trebuie să se aplice și proceselor interne, nu doar modelelor AI.

Și pentru noi, cei care folosim aceste tool-uri zilnic? E un reminder să fim atenți la propriul supply chain, să verificăm ce instalăm și de unde, și să nu luăm niciodată de bun pachetele pe care le tragem din registre — chiar și de la companiile în care avem cea mai mare încredere.

Surse și referințe