แอนโทรปิกได้เผยแพร่โดยไม่ตั้งใจซอร์สโค้ดฉบับเต็มของ Claude Code CLI ไว้ในแพ็กเกจ npm สาธารณะ ทำให้มีการเปิดเผยซอร์สโค้ด TypeScript ประมาณ 512,000 บรรทัดแก่ทุกคนที่ให้ความสนใจกับเรื่องนี้
การรั่วไหลของ npm ของ Claude Code เผยคุณสมบัติที่ยังไม่ปล่อย รวมถึง KAIROS, BUDDY และฝูงเอเจนต์ (Agent Swarms)
บริษัทได้ยืนยันเหตุการณ์ดังกล่าวเมื่อวันที่ 31 มีนาคม 2026 โดยให้สัมภาษณ์กับ Venture Beat อ้างว่าเกิดจากความผิดพลาดของมนุษย์ในกระบวนการจัดแพ็กเกจระหว่างการปล่อย เวอร์ชัน 2.1.88 ของ @anthropic-ai/claude-code เผยแพร่พร้อมไฟล์ source map ฝั่ง Javascript ขนาด 59.8 MB โดยพื้นฐานแล้วเป็นสิ่งประดิษฐ์สำหรับการดีบักที่แมปโค้ดฝั่งโปรดักชันที่ถูกย่อกลับไปเป็น TypeScript ต้นฉบับ ซึ่งชี้ตรงไปยังไฟล์ zip ที่เข้าถึงได้สาธารณะซึ่งวางอยู่บนบักเก็ตพื้นที่จัดเก็บ Cloudflare R2 ของแอนโทรปิกเอง
ไม่มีใครต้องแฮ็กอะไรเลย ไฟล์ก็แค่อยู่ตรงนั้น
นักวิจัยด้านความปลอดภัย Chaofan Shou ซึ่งเป็นนักฝึกงานที่บริษัทความปลอดภัยบล็อกเชน Fuzzland พบปัญหานี้ และโพสต์ลิงก์ไปยังบักเก็ตโดยตรงบน X ภายในไม่กี่ชั่วโมง มีการทำสำเนาที่คล้ายกันบน Github โดยบางแห่งมีจำนวนดาวสะสมหลายหมื่นดวงก่อนที่การร้องขอให้ลบ (DMCA) ของแอนโทรปิกจะเข้ามา สมาชิกในชุมชนได้เริ่มลอก telemetry แล้ว สลับตัวตั้งค่าสถานะคุณสมบัติที่ซ่อนไว้ และร่างการเขียนใหม่ในห้องสะอาด (clean-room) ด้วย Python และ Rust เพื่อหลีกเลี่ยงข้อกังวลด้านลิขสิทธิ์
สาเหตุหลักนั้นตรงไปตรงมา: ตัว bundler ของ Bun สร้าง source maps โดยค่าเริ่มต้น และไม่มีขั้นตอนบิลด์ที่ตัดออกหรือปิดใช้งานสิ่งประดิษฐ์สำหรับดีบักก่อนเผยแพร่ การไม่มีรายการใน .npmignore หรือฟิลด์ files ใน package.json ควรจะป้องกันเรื่องทั้งหมดได้
สิ่งที่นักพัฒนาพบข้างในนั้นมีรายละเอียดชัดเจน ไฟล์ TypeScript ประมาณ 1,900 ไฟล์ ครอบคลุมตรรกะการทำงานของการรันเครื่องมือ (tool execution logic) สคีมสิทธิ์ ระบบหน่วยความจำ telemetry system prompts และ feature flags — มุมมองเชิงวิศวกรรมแบบเต็มรูปแบบเกี่ยวกับวิธีที่แอนโทรปิกสร้างเครื่องมือโค้ดดิ้งสำหรับเอเจนต์แบบระดับโปรดักชัน Telemetry จะสแกนพรอมต์เพื่อหาคำหยาบเป็นสัญญาณของความหงุดหงิด แต่ไม่ได้บันทึกบทสนทนาของผู้ใช้แบบเต็มหรือโค้ด “โหมดสายลับ (undercover mode)” สั่งให้ AI ลบการอ้างอิงถึงชื่อรหัสภายในและรายละเอียดโปรเจกต์ออกจาก commit ของ git และ pull requests
มีฟีเจอร์ที่ยังไม่ปล่อยหลายรายการที่ซ่อนอยู่หลังแฟลก KAIROS ถูกอธิบายว่าเป็นดีมอนพื้นหลังที่เปิดทำงานตลอดเวลา (always-on) ที่เฝ้าดูไฟล์ บันทึกเหตุการณ์ และรันกระบวนการรวมหน่วยความจำแบบ “การฝัน (dreaming)” ระหว่างเวลาที่ระบบไม่ได้ใช้งาน BUDDY เป็นสัตว์เลี้ยงบนเทอร์มินัลที่มี 18 สายพันธุ์ — รวมถึง capybara — พร้อมตัวเลขสเตตอย่าง DEBUGGING, PATIENCE และ CHAOS COORDINATOR MODE ช่วยให้เอเจนต์ตัวเดียวสามารถสร้างและจัดการเอเจนต์ผู้ปฏิบัติงานคู่ขนานได้ ULTRAPLAN จัดตารางเซสชันวางแผนหลายเอเจนต์แบบรีโมต (remote multi-agent planning sessions) ที่กินเวลาตั้งแต่ 10 ถึง 30 นาที
แอนโทรปิกบอกกับ Venture Beat ว่าเหตุการณ์นี้ไม่เกี่ยวข้องกับข้อมูลลูกค้าที่ละเอียดอ่อน ไม่มีข้อมูลรับรอง (credentials) และไม่มีการประนีประนอมของน้ำหนักโมเดลหรือโครงสร้างพื้นฐานสำหรับการอนุมาน “นี่เป็นปัญหาในการจัดแพ็กเกจสำหรับการปล่อยที่เกิดจากความผิดพลาดของมนุษย์” บริษัทกล่าว พร้อมเสริมว่ากำลังทยอยใช้มาตรการเพื่อป้องกันไม่ให้เกิดซ้ำ
มาตรการเหล่านั้นอาจต้องดำเนินอย่างรวดเร็ว นี่เป็นครั้งที่สองแล้วที่ความผิดพลาดเดียวกันนี้เกิดขึ้น มีการรั่วไหลของ source-map ที่เกือบเหมือนกันเกิดขึ้นกับเวอร์ชันก่อนหน้าของ Claude Code ในเดือนกุมภาพันธ์ 2025
เหตุการณ์ในวันที่ 31 มีนาคม ยังเกิดขึ้นพร้อมกับการโจมตีแบบสายโซ่อุปทาน (supply-chain attack) อีกครั้งที่แพ็กเกจ axios ซึ่งใช้งานอยู่ระหว่าง 00:21 ถึง 03:29 UTC นักพัฒนาที่ติดตั้งหรืออัปเดต Claude Code ผ่าน npm ในช่วงเวลาดังกล่าวได้รับคำแนะนำให้ตรวจสอบทรัพยากรที่พึ่งพา (dependencies) ของตน และหมุนเวียนข้อมูลรับรอง (rotate credentials) แอนโทรปิกรแนะนำให้ใช้ตัวติดตั้งดั้งเดิม (native installer) แทน npm ต่อไป
บริบทมีความสำคัญ ที่นี่ 5 วันก่อนหน้า เมื่อวันที่ 26 มีนาคม มีการตั้งค่าผิดพลาดของ CMS ที่แอนโทรปิกซึ่งทำให้ไฟล์ภายในประมาณ 3,000 ไฟล์เปิดเผยออกมา ครอบคลุมรายละเอียดเกี่ยวกับโมเดล “Claude Mythos” ที่ยังไม่เปิดเผย ซึ่งก็ถูกระบุว่าเกิดจากความผิดพลาดของมนุษย์เช่นกัน การเปิดเผยโดยไม่ตั้งใจที่มีนัยสำคัญ 2 ครั้งในเวลาไม่ถึงหนึ่งสัปดาห์ทำให้เกิดคำถามเกี่ยวกับความเรียบร้อยในการปล่อย (release hygiene) ของบริษัทที่เครื่องมือของมันถูกใช้งานอย่างแข็งขันเพื่อเขียนและส่งมอบโค้ดในระดับขนาดใหญ่
ซอร์สโค้ดที่รั่วไหลยังคงพร้อมใช้งานในรูปแบบที่ถูกเก็บถาวรและมีการมิเรอร์ (mirrored) แม้ว่าจะมีการบังคับใช้การร้องขอให้ลบอย่างต่อเนื่อง แอนโทรปิกยังไม่ได้เผยแพร่ post-mortem ที่กว้างขึ้นหรือคำชี้แจงต่อสาธารณะ นอกเหนือจากคำชี้แจงของบริษัทในบทความของ Venture Beat
ไม่มีการเปิดเผยข้อมูลผู้ใช้ โมเดลหลักของ Claude ไม่ได้รับผลกระทบ อย่างไรก็ตาม แผนผัง (blueprint) สำหรับการสร้างคู่แข่งของ Claude Code ตอนนี้ประกอบได้ง่ายขึ้นมากแล้ว
FAQ 🔎
- Q: Was the Claude Code source code leak a hack? No — Anthropic confirmed the exposure was a packaging error, not a security breach or unauthorized access.
- Q: What was actually exposed in the Anthropic npm leak? Approximately 512,000 lines of TypeScript covering the Claude Code CLI, including telemetry, feature flags, hidden features, and agent architecture — not model weights or customer data.
- Q: Is my data at risk from the Claude Code npm incident? Anthropic says no user data or credentials were exposed; developers who installed via npm during the concurrent axios supply-chain attack window should audit dependencies and rotate credentials.
- Q: Has Anthropic leaked source code before? Yes — a nearly identical source-map leak involving an earlier Claude Code version occurred in February 2025, making this the second such incident in roughly 13 months.
