- قام موظف إنساني بتسريب مصدر Claude Code عن طريق الخطأ عبر ملف خريطة npm
- كشف التسريب عن 1900 ملف TypeScript تحتوي على أكثر من 500 ألف سطر من التعليمات البرمجية، وتم نسخها بسرعة على GitHub
- أكدت Anthropic عدم الكشف عن أي بيانات للعملاء، واصفة إياه بأنه خطأ في التغليف وسط ثغرات أمنية حديثة مثل ShadowPrompt وCloudy Day
قام أحد موظفي Anthropic عن طريق الخطأ بتسريب الكود المصدري لأحد أشهر مساعدي الذكاء الاصطناعي (AI) – كلود كود.
نشر الباحث الأمني Chaofan Shou على X قائلاً: “لقد تم تسريب كود مصدر Claude Code عبر ملف خريطة في سجل npm الخاص بهم!” وقد تمت مشاهدة التغريدة نفسها أكثر من 30 مليون مرة حتى الآن، مع ارتفاع الأرقام بسرعة، مما يدل على مدى شعبية الأداة حقًا.
بينما سي ان بي سي يقول التسرب جزئي السجل وقالت إنها تحتوي على “كود المصدر الكامل لأداة ترميز الذكاء الاصطناعي الشهيرة”.
يستمر المقال أدناه
الأنثروبي يؤكد التسريب
كان رد فعل الإنترنت هو رد فعل الإنترنت المعتاد – سريعًا ولا هوادة فيه، مما أدى بسرعة إلى دعم التسرب إلى مستودع GitHub الذي تم حتى الآن تشعبه عشرات الآلاف من المرات.
قيل في تحميل GitHub أن التسرب هو نتيجة للإشارة إلى كود مصدر TypeScript غير غامض في ملف الخريطة المضمن في حزمة npm الخاصة بـ Claude Code. أشار المرجع إلى ملف .ZIP الموجود في حاوية تخزين Cloudflare R2 الخاصة بشركة Anthropic والذي يحتوي على 1900 ملف TypeScript مع أكثر من 500000 سطر من التعليمات البرمجية ومكتبات كاملة لأوامر الشرطة المائلة والأدوات المدمجة.
منذ ذلك الحين، أكدت Anthropic الأخبار، قائلة إن هذا لم يكن عملاً من جانب أحد المطلعين الخبيثين، أو طرف ثالث، بل كان حادثًا مؤسفًا:
قال متحدث باسم Anthropic في بيان لـ: “لم يتم تضمين أو الكشف عن أي بيانات حساسة للعملاء أو بيانات اعتمادهم”. سي ان بي سي. “كانت هذه مشكلة تتعلق بتغليف الإصدار بسبب خطأ بشري، وليس بسبب خرق أمني. نحن نطبق إجراءات لمنع حدوث ذلك مرة أخرى.”
لقد كان هذان أسبوعان مكثفان بالنسبة إلى الأنثروبيك. أثارت الشركة عددًا لا بأس به من الدهشة من السرعة التي تم بها شحن التحديثات والميزات الجديدة، حتى أنها أثارت مناقشات كبيرة على Reddit، حيث جادل المستخدمون بأن الشركة كانت تستخدم منتجها الخاص.
وقال أحد الأشخاص: “إنهم يرتفعون في إمداداتهم الخاصة”.
في حين أن إطلاق ميزات جديدة بسرعة أمر يستحق الثناء، يبدو أن الأمن السيبراني هو الوجه الآخر لتلك العملة. في الأيام العشرة الأخيرة وحدها، كانت لدينا قصص متعددة حول تعرض كلود للحقن الفوري وهجمات مماثلة. في 27 مارس 2026، اكتشف الباحثون الأمنيون Koi Security ثغرة كبيرة في ملحق Google Chrome الخاص بـ Claude Code والذي مكّن من شن هجمات بدون نقرة.
السرعة على حساب الأمن؟
من الممكن أن تكون الثغرة الأمنية، التي يطلق عليها اسم ShadowPrompt، قد سمحت للجهات الفاعلة الضارة بسرقة البيانات الحساسة.
قبل بضعة أيام، في 19 مارس، أبلغ الباحثون الأمنيون في شركة Oasis عن العثور على ثلاث نقاط ضعف في Claude والتي، عند استخدامها معًا، تشكل سلسلة هجوم كاملة – بدءًا من تسليم الضحية المستهدفة إلى تسرب البيانات الحساسة. أطلق الباحثون عليه اسم “اليوم الغائم”. وكشفها بمسؤولية إلى الأنثروبيك التي عالجتها بسرعة.
لا يبدو أن المستخدمين يمانعون ذلك كثيرًا، على الرغم من أنه في نفس اليوم الذي تم فيه اكتشاف ShadowPrompt، اضطرت Anthropic إلى خنق أدواتها خلال ساعات الذروة للتعامل مع الطلب المتزايد.
قال طارق شيهيبار، المهندس الذي يعمل على Claude Code، في منشور على X: “لإدارة الطلب المتزايد على Claude، نقوم بتعديل حدود الجلسة التي تبلغ 5 ساعات للاشتراكات المجانية/Pro/Max خلال ساعات الذروة. تظل حدودك الأسبوعية دون تغيير”.
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات