Kode sumber Claude Code bocor melalui file map di registri NPM

 (twitter.com/Fried_rice)
28 poin oleh GN⁺ 19 hari lalu | 4 komentar | Bagikan ke WhatsApp
  • Seluruh kode sumber Claude Code terekspos ke publik melalui file source map (map) di registri npm, sehingga struktur dan fungsi internalnya ikut terbuka
  • File yang bocor mencakup komponen inti seperti system prompt, telemetry, mode bypass, dan Undercover Mode
  • Penyebabnya ditunjuk pada tidak adanya konfigurasi .npmignore dan fitur pembuatan source map bawaan dari alat build bun
  • Dalam kode tersebut, hampir tidak ada aturan pencegahan bias atau aturan perlindungan, dan hanya ditemukan perlindungan nada yang minimal
  • Komunitas menyindir insiden ini sebagai “open-source mandiri oleh AI” dan menyorotnya sebagai kasus kebocoran besar akibat kelalaian pengelolaan keamanan

Insiden kebocoran kode sumber Claude Code

  • Seluruh kode sumber Claude Code dipastikan terekspos ke luar melalui file source map (map) di registri npm
    • Tautan yang dipublikasikan berupa file terkompresi dalam bentuk src.zip, yang memuat struktur kode dan fungsi internal
    • Akibatnya, komponen internal seperti system prompt, telemetry, mode bypass, dan Undercover Mode ikut terungkap
  • Ini disebut sebagai insiden kebocoran tidak disengaja kedua yang dialami Anthropic dalam satu tahun terakhir
    • Di komunitas, penyebabnya ditunjuk sebagai kesalahan konfigurasi build: “seseorang tidak menambahkan file *.map ke .npmignore”
    • Karena alat build bun secara bawaan membuat source map, kegagalan menonaktifkan fitur itu dianggap sebagai akar masalah
  • Sebagian pengguna sempat salah mengira file yang bocor sebagai model Claude atau kode akses backend,
    • padahal source map hanya menunjukkan struktur aplikasi, fungsi, dan alur kode, bukan bobot model atau hak akses ke sistem
    • Karena itu, file tersebut bukan model yang dapat dijalankan, melainkan hanya berguna untuk reverse engineering, pencarian bug, dan analisis arsitektur
  • Kode yang bocor juga memuat subsistem bernama ‘Undercover Mode’,
    • yaitu fitur yang dirancang agar Claude tidak secara tidak sengaja membocorkan informasi internal
    • Namun, akibat kesalahan konfigurasi dari pengembang manusia, fitur itu sendiri justru terbuka ke publik
  • Para analis kode menyoroti bahwa tidak ada aturan untuk pencegahan bias maupun penanganan kelas yang dilindungi
    • Tidak ditemukan guardrail, filter kata kunci, atau classifier terkait atribut sensitif seperti ras, gender, dan agama
    • Yang ada hanya “Minimal tone protection”, dan tidak ditemukan kebijakan mitigasi bias

Reaksi dan diskusi komunitas

  • Di komunitas, insiden ini digambarkan sebagai ‘ironi open source’ sambil melontarkan lelucon seperti “repositori ingin bebas
    • Banyak respons satir seperti “Claude membebaskan dirinya sendiri” dan “AI secara langsung menjadikan dirinya open source”
    • Humor bernada kritik seperti “membuat alat coding AI kelas dunia tapi lupa mengecualikan *.map” juga ikut menyebar
  • Sebagian pengguna memperingatkan soal risiko keamanan
    • Mereka mengkritik kebiasaan mengunduh tautan r2.dev yang tidak jelas asalnya tanpa pikir panjang,
    • disertai komentar sinis seperti “komunitas yang membahas keamanan AI malah mengklik file zip yang belum terverifikasi”
  • Muncul pula pertanyaan seperti “apakah ini awal dari akhir Claude?” dan “ini kebocoran sengaja atau sekadar kesalahan?”
    • Ada juga komentar bahwa “seseorang di internal Anthropic mungkin sedang mengalami hari Senin terburuknya”
  • Komunitas juga membahas kemungkinan pemanfaatan kode yang bocor
    • Muncul pertanyaan seperti “sekarang apa yang bisa dilakukan?” dan “apakah Claude Code bisa dibangun ulang dari sini?”
    • Julukan “openclaude” mulai muncul, dan kemungkinan berubah menjadi proyek open source tidak resmi pun ikut disebut

Informasi tambahan

  • Lima file terbesar di antara kode yang dipublikasikan adalah sebagai berikut
    1. cli/print.ts – 5.594 baris
    2. utils/messages.ts – 5.512 baris
    3. utils/sessionStorage.ts – 5.105 baris
    4. utils/hooks.ts – 5.022 baris
    5. screens/REPL.tsx – 5.005 baris
  • Sebagian pengguna membagikan materi analisis tingkat kode melalui tautan DeepWiki
  • Secara keseluruhan, insiden ini dinilai sebagai contoh bahwa kesalahan sederhana dalam konfigurasi distribusi npm dapat berujung pada kebocoran kode AI dalam skala besar

Bacaan terkait

4 komentar

 
colus001 19 hari lalu

OpenCode sudah cukup bagus, jadi saya agak bertanya-tanya memang masih perlu apa lagi hehe
 
bighead 19 hari lalu

/buddy kalau benar-benar terlihat berfungsi.. jadi terasa seperti memang nyata juga..
terasa seperti event April Mop juga..
 
gggnews 19 hari lalu

https://github.com/kk-r/skillify-skill Ternyata ada juga yang merilisnya sebagai open source agar bisa bekerja serupa, setelah internal command yang ternyata lebih berguna dari dugaan bocor wkwk
 
GN⁺ 19 hari lalu
Komentar Hacker News

  • Kerugian terbesar bagi Anthropic adalah roadmap produk mereka terekspos melalui feature flag
    Secara khusus, “assistant mode” (codename kairos) yang belum diumumkan ikut terungkap
    Jika codebase-nya dianalisis dengan Claude, banyak fitur tersembunyi yang muncul
    Contohnya Buddy System (karakter ASCII bergaya tamagotchi) dan Undercover mode (fitur untuk menghapus informasi internal dari commit karyawan)

    • Di dalam “Undercover prompt” juga ada penyebutan Claude Capybara
      Tautan kode terkait
    • Pengaturan Claude Code pribadi yang dulu pernah aku open-source jadi terasa sepenuhnya usang gara-gara ini
      Lihat clappie.ai
      Ada tumpang tindih fitur seperti integrasi Telegram (CC Dispatch), Crons (CC Tasks), dan anjing ASCII animasi (CC Buddy)
    • Kalau langsung menanyai binary-nya ke Claude, semua feature flag seperti ini bisa ditemukan
    • Sebenarnya Buddy System adalah event April Mop tahun ini
      Bentuknya pengguna bisa mendapatkan dan memelihara pet ala gacha, bahkan ada pet legendaris
      Rencananya akan dirilis bertahap sambil mengincar viral di Twitter

  • Menarik bahwa Anthropic tidak benar-benar menghapus paketnya, melainkan hanya menandainya sebagai deprecated dengan pesan “Unpublished”
    npm unpublish menghapus paket sepenuhnya, sedangkan npm deprecate membiarkannya tetap ada sambil hanya menampilkan peringatan
    Sepertinya tujuannya agar source map lebih sulit diunduh
    Tautan paket npm

    • Pesan commit-nya tertinggal dengan gaya bercanda seperti “undo / undo / unpublish / ctrl-z / ctrl-c / No, stop…”
    • npm tidak mengizinkan unpublish jika sudah diunduh lebih dari 100 kali
    • Terasa bahwa Anthropic sedang aktif menguji produknya sendiri sambil dogfooding
    • Mereka tampaknya tahu ini tidak mungkin benar-benar hilang dari internet, jadi hanya diberi tanda semacam “ini tidak dimaksudkan untuk dipublikasikan”

  • Kebocoran seperti ini bukan yang pertama
    Pada Februari 2025 juga pernah terjadi hal serupa
    Blog terkait / thread HN

  • Semua spinner verbs ikut terungkap
    Tautan kode terkait

    • Saat ini 404, tetapi tautan ini masih berfungsi
    • Senang melihat “reticulating” ikut masuk, sekarang tinggal ada “splines” agar sempurna
    • String seperti ini ada sebagai plain text di dalam binary, jadi mudah ditemukan dengan grep
      Bahkan bisa langsung diganti juga
    • Penasaran apa yang sedang terjadi di halaman issue
    • Jadi teringat game tahun 2015 yang dulu sempat disalahpahami sebagai hasil buatan AI karena fitur serupa
      Sekarang bahkan humor kecil pun mudah dicurigai sebagai AI

  • src/cli/print.ts adalah fungsi paling kompleks di codebase
    Panjangnya 3.167 baris, nesting 12 level, 486 titik percabangan, 21 fungsi internal, dan seterusnya
    Rasanya sudah layak dipecah menjadi setidaknya 8~10 modul

    • Penanganan async di src/ink/termio/osc.ts juga membingungkan
      wl-copy, xclip, dan xsel dijalankan berurutan, tetapi tidak jelas apakah ini benar-benar async atau tidak
    • Namun struktur kode yang kompleks tidak selalu buruk
      Code smell menurut standar manusia bisa bekerja berbeda pada kode buatan LLM
      LLM menulis kode dengan cara yang berbeda dari manusia, jadi dibutuhkan paradigma analisis baru
      Jika aturan coding ala manusia dipaksakan, justru bug yang sama bisa terus terulang
      Diperlukan pendekatan evolusioner baru bernama vibe coding
    • Siapa pun yang sudah lama memakai CC tahu bahwa bagian ini adalah sumber bug
      Lagi pula, Anthropic menutup bug secara otomatis jika tidak ada aktivitas selama 60 hari
    • Mungkin performa lambatnya justru berfungsi sebagai semacam pembatas kecepatan
    • Kodenya sampai serumit itu hingga muncul lelucon “itu urusannya Larry”

  • Ada regex untuk mendeteksi emosi negatif dalam prompt pengguna
    Kode terkait
    Kata-kata tertentu dijadikan target logging

    • Perusahaan LLM melakukan analisis emosi dengan regex terasa seperti perusahaan truk yang memakai kuda
    • Pada 2011, startup-ku juga pernah menjual analisis sentimen Twitter dengan pendekatan serupa
      Apple dan Bentley juga termasuk pelanggan
    • Sebenarnya ini lebih seperti metrik “WTF per minute”
      Kalau Claude memberi jawaban aneh, semoga engineer melihatnya lalu memperbaikinya
    • Ini bukan optimisasi, melainkan hasil LLM yang mengimplementasikan secara harfiah instruksi sederhana seperti “catat keluhan pengguna”
    • Kalau melihat kode nyatanya, selain logger tidak ada bagian yang memanggilnya

  • Menurutku kode JS/TS yang diobfuscate bukan hal besar karena tetap bukan machine code
    Malah akan lebih baik jika CLI-nya dibuka sebagai open source

    • Mungkin mereka enggan membukanya karena kualitas kode internalnya rendah
      Baru-baru ini juga ada bug pada alur login OAuth yang menghasilkan URL yang salah
    • Banyak yang bilang “CLI itu bukan apa-apa”, tetapi kalau melihat pembuatan context atau arsitektur subagent, sebenarnya cukup menarik
      Saat ini sedang dicek langsung
    • Bahkan dari aturan penamaan saja sudah bisa terlihat cara berpikir tim dan roadmap mereka
      Obfuscation tidak bisa menyembunyikan itu

  • Ada yang bercanda bagaimana kalau ini dijalankan lewat Malus atau Claude Code untuk membuat versi open source
    Tentu bukan ajakan untuk benar-benar melakukannya

    • Malus bukan proyek nyata, melainkan satir
      Tautan presentasi FOSDEM
      Idenya adalah menerjemahkan kode menjadi teks, lalu kembali menjadi kode agar tampak seperti implementasi clean room
      Ironisnya, jawaban LLM sendiri pada dasarnya juga sudah diturunkan dari kode open source
    • Ada juga yang berpendapat bahwa karena Claude Code ditulis oleh Claude, maka tidak ada hak cipta yang bisa diklaim
    • Masalahnya, autentikasi OAuth tidak bisa dilewati
      Anthropic bisa mendeteksi lalu memblokir akun
    • Ada juga ironi karena kontribusi open source-nya nol
    • Mungkin claw-code adalah proyek yang terkait

  • ANTI_DISTILLATION_CC adalah fitur pencegah pencurian model yang tertanam di Claude Code
    Pada setiap request API, ia menyisipkan anti_distillation: ['fake_tools'], sehingga server menambahkan definisi tool palsu ke system prompt
    Ini dirancang agar jika model pesaing mengikis traffic untuk training, datanya jadi terkontaminasi

    • Sepertinya ini memang sempat efektif
      Model Qwen 27B didistilasi dari Opus 4.6 dan mengalami kesalahan penggunaan tool
      Tweet terkait
    • Sulit menganggap Anthropic melakukan riset seperti ini dengan niat yang murni
    • Namun belakangan rate limit-nya terlalu parah sampai kurang berguna sebagai layanan
    • Jika strukturnya server menyuntikkan definisi tool palsu ke klien, jadi penasaran apakah modelnya dilatih untuk mengabaikannya
      Apakah Sonnet atau Opus juga sudah mengandung racun data seperti ini?
    • Tapi tetap aneh kenapa fitur seperti ini ada di kode klien

  • Terungkap bahwa Claude Code menggunakan Axios
    Tweet terkait / thread HN

    • Versi saat ini memakai Axios 1.14.0, yaitu versi tepat sebelum 1.14.1 yang berisi kode berbahaya
      Untuk mematikan auto-update, tambahkan export DISABLE_AUTOUPDATER=1 ke environment variable
      Lalu cek status Auto-updates: disabled dengan claude doctor