Errore su npm espone oltre 500mila linee di codice: architettura, modelli interni e rischi di sicurezza ora nelle mani di sviluppatori e concorrenti. Cosa sappiamo.
Anthropic ha rivelato accidentalmente il funzionamento interno di uno dei suoi prodotti AI più popolari e redditizi, Claude Code. Alla base dell’incidente c’è la pubblicazione involontaria di un file source map JavaScript da 59,8 MB, destinato al debugging interno, incluso per errore nella versione 2.1.88 del pacchetto @anthropic-ai/claude-code sul registro pubblico npm.
La diffusione virale del codice
Il file è stato individuato e reso pubblico nelle prime ore del mattino da Chaofan Shou, stagista presso Solayer Labs, che ha condiviso il link su X. In poche ore, l’intero codice TypeScript – circa 512.000 linee – è stato replicato su GitHub e analizzato da migliaia di sviluppatori. Un’esposizione massiva che, pur non derivando da un attacco, ha avuto effetti paragonabili a una fuga di dati strategici.
Claude code source code has been leaked via a map file in their npm registry!
— Chaofan Shou (@Fried_rice) March 31, 2026
Code: https://t.co/jBiMoOzt8G pic.twitter.com/rYo5hbvEj8
Per Anthropic, azienda in forte crescita con un fatturato annualizzato stimato in 19 miliardi di dollari a marzo 2026, l’incidente rappresenta molto più di un errore tecnico: è una perdita significativa di proprietà intellettuale. Il timing è particolarmente delicato, considerando che Claude Code da solo genera circa 2,5 miliardi di dollari di ricavi ricorrenti annuali, raddoppiati dall’inizio dell’anno, con l’80% proveniente da clienti enterprise.
Anthropic conferma: si è trattato di un errore umano
Anthropic ha confermato l’accaduto, precisando che si è trattato di un errore umano nel processo di rilascio e non di una violazione di sicurezza. L’azienda ha inoltre escluso l’esposizione di dati sensibili o credenziali e ha annunciato l’introduzione di misure per prevenire episodi simili.
Il punto più rilevante emerso dal codice riguarda la gestione della memoria, uno dei problemi chiave degli agenti AI avanzati. Anthropic ha sviluppato un’architettura a tre livelli denominata “Self-Healing Memory”, progettata per contrastare la “context entropy”, ovvero la perdita di coerenza nei contesti complessi e prolungati.
Il sistema si basa su un file centrale, MEMORY.md, che funge da indice leggero di puntatori, mantenuto costantemente nel contesto. I dati reali sono distribuiti in file tematici richiamati su richiesta, mentre le trascrizioni complete non vengono ricaricate ma interrogate selettivamente. Questo approccio, definito “Strict Write Discipline”, impone all’agente di aggiornare la memoria solo dopo operazioni riuscite, riducendo errori e incoerenze.
KAIROS e l’agente sempre attivo
Il codice rivela anche “KAIROS”, una modalità autonoma che trasforma l’agente in un processo sempre attivo. In questa configurazione, Claude Code opera in background e utilizza un sistema chiamato autoDream per consolidare la memoria durante i periodi di inattività dell’utente.
L’agente integra informazioni, elimina contraddizioni e trasforma intuizioni in dati verificati. L’uso di sotto-agenti separati per queste operazioni indica un’architettura matura, progettata per evitare che i processi di manutenzione interferiscano con il flusso principale.
Modelli interni e limiti prestazionali
La fuga di codice offre anche uno sguardo raro sulla roadmap interna di Anthropic. Emergono nomi in codice come Capybara (Claude 4.6), Fennec (Opus 4.6) e Numbat, ancora in fase di test. Non mancano indicazioni sui limiti attuali: la versione Capybara v8 presenta un tasso di affermazioni errate tra il 29% e il 30%, in peggioramento rispetto al 16,7% della versione precedente.
Sono presenti anche meccanismi di controllo, come un “assertiveness counterweight”, pensato per evitare che il modello diventi troppo aggressivo nelle modifiche al codice. Informazioni di questo tipo rappresentano benchmark preziosi per i competitor.
La controversia dell’“Undercover Mode”
Tra gli elementi più discussi figura l’“Undercover Mode”, una modalità che consente all’AI di contribuire a repository open source senza dichiarare la propria natura. Le istruzioni interne impongono esplicitamente di non rivelare l’origine AI nei commit, sollevando questioni rilevanti in termini di trasparenza e integrità dei processi collaborativi.
Sicurezza: nuovi rischi per utenti e aziende
La pubblicazione del codice espone non solo Anthropic ma anche i suoi utenti a nuovi rischi. Gli attaccanti possono ora analizzare le logiche interne del sistema, individuare vulnerabilità e progettare attacchi mirati, ad esempio sfruttando i meccanismi di orchestrazione tra agenti, hook e server MCP.
Particolarmente critica è la concomitanza con un attacco alla supply chain del pacchetto axios su npm. Chi ha installato o aggiornato Claude Code il 31 marzo 2026 in una specifica finestra temporale potrebbe aver scaricato versioni compromesse contenenti un trojan di accesso remoto. In questi casi è necessario verificare le dipendenze e, se compromesse, considerare il sistema come violato, procedendo alla rotazione delle credenziali e alla reinstallazione completa.
Le contromisure raccomandate
Per ridurre i rischi, Anthropic suggerisce di abbandonare l’installazione via npm in favore di un installer nativo, meno esposto alla volatilità della supply chain. È inoltre consigliato adottare un approccio “zero trust”, evitando di eseguire l’agente in ambienti non verificati e controllando manualmente configurazioni e hook.
La rotazione delle API key e il monitoraggio delle attività restano misure essenziali, soprattutto ora che i meccanismi interni del sistema sono di dominio pubblico.
