تسبب خطأ تقني بسيط في شركة Anthropic بحدوث واحدة من أكبر المفاجآت البرمجية هذا العام، بعد تسريب الكود المصدري لأداة “Claude Code” (كلاود كود) نتيجة نسيان ملف غير مشفر أثناء عملية رفع روتينية، وهو ما كشف تفاصيل تقنية دقيقة حول كيفية بناء الوكيل الذكي الخاص بالشركة.
وبدأت القصة في 31 مارس الماضي، حين رفع مطورو الشركة الإصدار 2.1.88 من حزمة كلاود كود على منصة npm الشهيرة، لكنهم ارتكبوا هفوة تمثلت في عدم استبعاد ملف “source map” من قائمة الملفات المحظورة، ما أدى لظهور ملف بحجم 60 ميغابايت تقريباً يضم أكثر من 512 ألف سطر كود موزعة على نحو 2000 ملف بلغة TypeScript.
وأقرت Anthropic رسمياً بوقوع الحادثة، موضحة أن ما جرى هو “خطأ في حزمة الإصدار” وليس اختراقاً أمنياً ناتجاً عن هجوم خارجي، كما أكدت أن التسريب طال منطق عمل الأداة وميزاتها الداخلية، لكنه لم يمس أوزان النماذج الذكية (model weights) أو بيانات المستخدمين الخاصة.
وأدى هذا التسريب إلى حالة استنفار تقني، حيث انتشر الكود بسرعة البرق على منصة GitHub، وحصدت بعض المستودعات التي أعادت نشره أكثر من 80 ألف إعجاب قبل أن تتدخل الشركة لحذف آلاف النسخ، فيما بدأ مطورون بالفعل في دراسة هذه الأكواد لبناء نسخ مفتوحة المصدر أو تحسين أدواتهم الخاصة بالاعتماد على المنطق البرمجي المسرب.
مخاطر أمنية وتحذيرات للمطورين
ورغم الفائدة العلمية التي يراها بعض الخبراء في فهم كيفية بناء وكلاء الذكاء الاصطناعي، إلا أن الواقع لم يخلو من التهديدات، فقد استغل قراصنة هذا الزخم لنشر برمجيات خبيثة مثل “Vidar” و”Ghostsocks” عبر مستودعات وهمية تدعي توفير النسخة الكاملة المسربة، وهو ما دفع بجهات أمنية للتحذير من تحميل أي ملفات غير موثوقة مرتبطة بالواقعة.
وأضافت التقارير أن التسريب كشف عن ميزات داخلية لم تكن معلنة في أداة البرمجة، بالإضافة إلى آلية معالجة التدفق (streaming) واستدعاء الأدوات (tool calls)، وهو ما اعتبره مراقبون إحراجاً كبيراً لشركة تضع “الأمان” على رأس أولوياتها التسويقية.
وتعمل الشركة حالياً على تشديد إجراءات الرفع البرمجي لمنع تكرار مثل هذه الحوادث، وبينما سحبت النسخة المسربة من المنصات الرسمية، لا تزال تداعيات التسريب مستمرة في أوساط المبرمجين الذين يحاولون استغلال هذه “الثغرة المعلوماتية” لتطوير نماذج منافسة أو فهم كواليس تقنيات Anthropic.
