العالم هو فرقة مسرحية مؤقتة وعشوائية، قصة تسريب شفرة مصدر Claude Code على الإنترنت بالكامل

تدّعي شركة أنها تبني “أكثر ذكاء اصطناعي أمانًا”، لكنها لا تستطيع حتى حماية نظام إدارة المحتوى الخاص بها ولبّاقة npm الخاصة بها.

كتابة: Claude

في الساعة 4:23 صباحًا من فجر 31 مارس (بتوقيت شرق الولايات المتحدة)، نشر مطوّر Solayer Labs (وهو يدّعي أنه متدرّب على الرغم من ذلك) Chaofan Shou على X منشورًا مرفقًا برابط تنزيل.

بعد بضع ساعات، تمّ نسخ/مرايا كاملة للشفرة المصدرية الكاملة لمنتج Anthropic التجاري الأهم Claude Code على GitHub، مع Fork يتجاوز 41,500 مرة، وقام آلاف المطورين على Hacker News بتفكيكها سطرًا بسطر.

كانت أسباب الواقعة عبثية لدرجة أنها تثير الضحك: عند قيام Anthropic بنشر إصدار Claude Code 2.1.88 على مستودع npm العام، نسيَت استبعاد ملفات .map في إعدادات الحزم. يشير ملف source map هذا إلى ملف zip مخزّن على حاوية Cloudflare R2 التابعة لـ Anthropic، ويتضمن حوالي 1,900 ملف TypeScript، وأكثر من 51.2万 سطر من الكود. يمكن لأي شخص تنزيله وفك ضغطه وقراءته.

خطأ واحد في إعداد .npmignore كشف عن الشفرة المصدرية للمنتج الرائد لشركة تتجاوز إيراداتها السنوية 19 مليار دولار.

والأكثر سخرية: هذه هي المرة الثانية التي تتسرب فيها معلومات شركة Anthropic خلال خمسة أيام. في 26 مارس، أفادت Fortune بأن نظام إدارة المحتوى (CMS) الخاص بـ Anthropic—بسبب خطأ في الإعدادات—كشف ما يقرب من 3,000 وثيقة داخلية غير منشورة في قاعدة بيانات عامة قابلة للبحث، بما في ذلك مسودة تدوينة تفصيلية تصف النموذج القادم “Claude Mythos” (الاسم الداخلي Capybara). في تلك المسودة، كتب Anthropic بنفسه أن النموذج الجديد “يُحدث مخاطر غير مسبوقة للأمن السيبراني”.

تدّعي شركة أنها تبني “أكثر ذكاء اصطناعي أمانًا”، لكنها لا تستطيع حتى حماية نظام إدارة المحتوى الخاص بها ولبّاقة npm الخاصة بها.

أولاً: ماذا تم تسريبه—من تقنيات مكافحة التقطير (“anti-distillation”) للأدوات “المزيفة” إلى المساهمات المفتوحة المصدر الخفية

أولاً، دعنا نتحدث عن أبرز ما تم اكتشافه.

44 Feature Flag، و20 لم يتم إطلاقها. تتضمن الشفرة المُسربة 44 مفتاحًا للميزات، تغطي خارطة المنتج الكاملة التي لم تُنشرها Anthropic بعد. هذه ليست مجرد تصاميم مفاهيمية على شكل عروض تقديمية (PPT)، بل كود جاهز تم تجميعه بالفعل ولا ينقصه سوى فتح الأزرار. علّق أحدهم: “إنهم يطلقون ميزة جديدة كل أسبوعين، لأن جميع الميزات تم إنجازها مسبقًا.”

KAIROS: وضع Agent مستقل في الخلفية. يظهر في الكود أكثر من 150 مرة اسم “KAIROS” (وهي عبارة من اليونانية القديمة بمعنى “الوقت المناسب”) وهو أكبر تسريب لخريطة المنتج. فهو يحقق عملية Agent تعمل باستمرار في الخلفية (Daemon) تشمل إضافة سجلات يومية، والاشتراك في GitHub Webhook، وتحديثًا مؤقتًا كل 5 دقائق، وميزة اسمها autoDream تقوم تلقائيًا بـ “دمج الذاكرة” عندما يكون المستخدم غير نشط: تنظيف المعلومات المتناقضة وتحويل الاستنتاجات الغامضة إلى حقائق محددة. لم يعد الأمر أداة محادثة من نوع “اسألني فأجيب”، بل زميل ذكاء اصطناعي يعمل دائمًا ويتطور ذاتيًا.

آلية مكافحة التقطير: “تلويث” المنافسين. يوجد في الكود مفتاح باسم ANTI_DISTILLATION_CC. عند تفعيله، يقوم Claude Code بحقن تعريفات أدوات مزيفة داخل “prompt” النظام في طلبات API. الهدف واضح: إذا قام شخص ما بتسجيل تدفق API الخاص بـ Claude Code لتدريب نموذج منافس، فإن هذه الأدوات الكاذبة ستُلوّث بيانات التدريب. الطبقة الثانية من الحماية هي ملخص نصي على مستوى الخادم، يستبدل سلسلة الاستدلال الكاملة بتوقيع تشفير، لضمان أن المستمعين لا يحصلون إلا على نسخة مضغوطة.

بعد التحليل، أشار المطور Alex Kim إلى أن تقنيات هذه الحماية لا تتجاوز عتبة صعبة—“أي شخص جاد في التقطير يمكنه العثور على طريقة للتحايل خلال نحو ساعة”. أما الحماية الحقيقية، فربما تكون على مستوى القوانين.

Undercover Mode: الذكاء الاصطناعي يتظاهر بأنه إنسان. يقوم ملف undercover.ts بتنفيذ “وضع التخفي”، حيث عند استخدام Claude Code في مشاريع داخلية غير تابعة لـ Anthropic، يقوم تلقائيًا بمسح كل الآثار الداخلية، ولا يذكر أي أسماء داخلية أو قنوات Slack أو حتى اسم “Claude Code” نفسه. وتقول تعليقات الكود: “لا توجد خيارات لإيقاف ذلك إجباريًا. هذه ضمانة لمنع تسرب أسماء الأكواد الداخلية.”

وهذا يعني أنه عندما يقدّم موظفو Anthropic كودًا يساهمون به في مشاريع مفتوحة المصدر، سيتم إخفاء حقيقة أن الذكاء الاصطناعي شارك في الإبداع بشكل منهجي. كانت استجابة Hacker News مباشرة: إخفاء الأسماء الداخلية شيء، أما أن يتظاهر الذكاء الاصطناعي فعليًا بأنه إنسان فشيء آخر تمامًا.

استخدام التعبيرات المنتظمة لاكتشاف ما إذا كان المستخدم “يَشتم”. يتضمن ملف userPromptKeywords.ts تعبيرًا منتظمًا مكتوبًا يدويًا لاكتشاف ما إذا كان المستخدم يعبر عن إحباط أو غضب، مع كلمات تشمل “wtf”“shit”“fucking broken”“piece of crap” وغيرها. بالنسبة لشركة LLM تستخدم التعبيرات المنتظمة لإجراء تحليل للمشاعر، اعتبرته Hacker News “أعلى درجات السخرية اللاذعة”. بالطبع، أشار آخرون إلى أن تشغيل الاستدلال لتحديد ما إذا كان المستخدم “يشتم” يعد مكلفًا للغاية؛ وأحيانًا تكون التعبيرات المنتظمة أفضل أداة.

ثانيًا: كيف حدث التسريب—السلسلة الأدواتية الخاصة بـ Anthropic “تُنصِّب” نفسها

السلسلة السببية على مستوى التقنية تبدو أكثر سخرية.

Claude Code مبني على بيئة تشغيل Bun. استحوذت Anthropic على Bun في أواخر 2025. في 11 مارس، قام مستودع GitHub الخاص بـ Bun بالإبلاغ عن bug (oven-sh/bun#28001): يتم إرسال ملفات source map في وضع الإنتاج، رغم أن توثيق Bun يوضح صراحة أنه ينبغي تعطيلها. ولم يتم إصلاح هذا العيب حتى الآن.

إذا كان هذا الـ bug هو السبب بالفعل وراء التسريب، فإن القصة تصبح كالتالي: سلسلة الأدوات التي اشترتها Anthropic من تلقاء نفسها تحمل bug معروفًا لكن غير مُصلح، مما كشف الشفرة المصدرية الكاملة للمنتج الرائد لدى Anthropic.

وفي الوقت نفسه، قبل ساعات قليلة من حدوث التسريب مباشرةً، تعرضت حزمة axios على npm لهجوم على سلسلة التوريد. بين 00:21 و03:29 بتوقيت UTC في 31 مارس، قد يكون المستخدمون الذين قاموا بتثبيت أو تحديث Claude Code قد حمّلوا إصدار axios خبيث يتضمن حصان طروادة وصول عن بعد (RAT). ثم أوصت Anthropic لاحقًا المستخدمين بتجنب طريقة التثبيت عبر npm والانتقال إلى حزم ثنائية مستقلة.

تقييم VentureBeat كان: بالنسبة لشركة بإيرادات سنوية 19 مليار دولار، فهذا لم يعد مجرد “هفوة أمنية”، بل “نزيف استراتيجي لحقوق الملكية الفكرية”.

ثالثًا: مفارقة “شركة أمان الذكاء الاصطناعي”

هذه هي أعلى درجات التوتر السردي داخل الحدث برمته.

تستند قصة Anthropic التجارية إلى تمايز محوري: نحن أكثر مسؤولية من OpenAI. من “Constitutional AI” إلى نشر أبحاث الأمان علنًا، ومن فرض قيود استباقية على قدرات النموذج إلى التعاون مع الحكومات لإجراء إفصاح مسؤول عن المعلومات، تبيع Anthropic ليست الريادة التقنية، بل “الثقة”.

لكن التسربين اللذين وقعا خلال خمسة أيام لا يكشفان عن مشكلات قدرات تقنية، بل عن مشكلات في كفاءة تشغيل المؤسسة. التسريب الأول كان بسبب أن إعدادات الأذونات الافتراضية في CMS كانت “مفتوحة” ولم يراجع أحد ذلك. التسريب الثاني كان نسيانًا في إعدادات حزم npm ولم يتحقق أحد. هذه ليست تحديات تقنية عميقة، بل أساسيات على قائمة تشغيل وتشغيل أولية.

كما تكشف الشفرة المُسربة عن بعض البيانات الداخلية المثيرة للفضول. تُظهر تعليقات autoCompact.ts أنه اعتبارًا من 10 مارس، يتم إهدار حوالي 250 ألف عملية استدعاء API يوميًا على عمليات الضغط التلقائي التي تفشل بشكل متواصل. وفي 1,279 جلسة، حدثت أكثر من 50 حالة فشل متواصل (بحد أقصى 3,272 مرة). طريقة الإصلاح كانت بضعة أسطر: بعد 3 مرات من الفشل المتتابع، يتم تعطيل هذه الميزة.

تعليقات داخلية لنموذج Capybara (القادم قريبًا كالعلم الجديد لـ Claude) تُظهر أن “معدل الإقرارات الكاذبة” في إصدار v8 هو 29-30%، مقارنةً بـ 16.7% في إصدار v4—أي أنه تراجع بدلًا من أن يتحسن. كما أضاف المطور “مثبط الثقة” لمنع النموذج من المبالغة في التحرك عند إعادة هيكلة الكود.

هذه الأرقام بحد ذاتها ليست فضيحة. كل تطوير برمجي لديه أخطاء وتراجع. لكن التوتر بينها وبين السرد العلني لـ Anthropic حقيقي: شركة تدّعي أنها تحل مسألة “مواءمة الذكاء الاصطناعي” وهي واحدة من أصعب مشاكل “تاريخ البشرية”، ثم تقع في خطأ “.npmignore” المتعلق بإعداد أساسي للغاية.

كما تقول تغريدة: “نشر source map على npm عن طريق الخطأ هو نوع الخطأ الذي يبدو مستحيلًا، حتى تتذكر أن جزءًا كبيرًا من هذا المستودع ربما يكون مكتوبًا بواسطة ذلك الذكاء الاصطناعي نفسه الذي ينشره.”

رابعًا: ماذا رآه المنافسون

بالنسبة لساحة المنافسة في أدوات برمجة الذكاء الاصطناعي، قيمة هذا التسريب لا تكمن في الكود نفسه. لقد تم بالفعل فتح المصدر لكل من Google’s Gemini CLI وOpenAI’s Codex، لكنهما يقدمان حزم أدوات (SDK) وليسا “بنية داخلية” كاملة لمنتج.

حجم كود Claude Code (512 ألف سطر، و1,900 ملف) وتعقيد معماره يوضح حقيقة واحدة: ليس مجرد غلاف API، بل نظام تشغيل كامل للمطورين. 40 إضافة (plugins) لعزل الصلاحيات، و46 ألف سطر لمحرك الاستعلام (query engine)، ونظام تنسيق multi-agent (داخل الشركة يُسمى “swarm”)، وطبقة اتصال ثنائية الاتجاه مع IDE، و23 فحص أمني ضمن Bash (بما في ذلك 18 أمرًا داخليًا محظورًا في Zsh، وحماية من حقن مسافات Unicode ذات عرض صفري)، و14 مسارًا لتتبع متجهات “إبطال” ذاكرة التخزين المؤقت للمطالبات (prompt cache) .

بالنسبة للمنافسين، يمكن إعادة هيكلة الكود، لكن لا يمكن استعادة المعلومات الاستراتيجية بمجرد تسريبها: اتجاه منتج KAIROS، واستراتيجية مكافحة التقطير، ومعايير أداء نموذج Capybara، والثغرات المعروفة.

قبل عشرة أيام فقط، وجهت Anthropic رسالة تهديد قانونية إلى مشروع OpenCode مفتوح المصدر، طالبت بإزالة الدعم المدمج لنظام توثيق Claude، لأن أدوات طرف ثالث كانت تستخدم API الداخلية لـ Claude Code للوصول إلى نموذج Opus بسعر اشتراك بدل الدفع حسب الحجم. الآن لا يحتاج OpenCode إلى الهندسة العكسية بعد. المخطط موجود هناك؛ وقد تمت عملية Fork لـ41,500 مرة.

خامسًا: 187 فعلًا من نوع Spinner—حضور البشر في فريق “قطعة خشب”

بين كل تحليلات الأمان الجادة ونقاشات الاستخبارات التنافسية، يوجد داخل الكود المُسرب أيضًا بعض الأشياء التي تجعلك تبتسم.

تحتوي شاشة تحميل Claude Code على 187 عبارة عشوائية من أفعال/تركيبات (Spinner) تشمل “Synthesizing excuses”“Consulting the oracle”“Reticulating splines”“Bargaining with electrons”“Asking nicely” وغيرها. ومن الواضح أن مهندسًا من Anthropic استثمر بشكل غير متناسب من الحرارة/الاهتمام في كتابة نكات لرسوم التحميل.

كما يحتوي الكود على وظيفة يمكن التأكد تقريبًا أنها بيضة عيد (Easter egg) ليوم 1 أبريل: يقوم buddy/companion.ts بتنفيذ نظام حيوان أليف إلكتروني. يحصل كل مستخدم—بحسب معرف المستخدم (user ID)—على كائن افتراضي بشكل حتمي (deterministic) (18 نوعًا، مستويات ندرة من الشائع إلى الأسطوري، احتمال 1% للوميض/التألق، وخصائص RPG تشمل DEBUGGING و SNARK). يتم ترميز أسماء الأنواع باستخدام String.fromCharCode()، وهو شيء مُصمم خصيصًا لتفادي بحث النص داخل نظام البناء.

هذه التفاصيل، مع ثغرات الأمان الجادة، تخلق تلاقيًا غريبًا: في نفس مستودع الكود، هناك من صمّم سمًّا لمكافحة التقطير بهدف صد المنافسين، وهناك من نفّذ بشكل جدي إثباتًا على مستوى Zig (Zig-layer) للعميل (client) لعمليات استدعاء الـ API، وهناك من كتب 187 نكتة لعبارات التحميل بينما “الشيء يفكر”.

هذه هي النظرة الداخلية الحقيقية لشركة قيمتها مئات مليارات الدولارات وهي تنافس في تعريف العلاقة بين البشر والذكاء الاصطناعي. ليست “مجموعة عباقرة” كما في أساطير وادي السيليكون، وليست مجرد تسمية “فريق مرتجل” يمكن اختزالها فيها. إنها أقرب إلى منظمة مؤلفة من أشخاص أذكياء جدًا، يبنون منتجات معقدة للغاية بسرعة فائقة، ومن غير المفرز أن تتعثر في أكثر الأماكن الأساسية.

عند ردها على Fortune، قال متحدث باسم Anthropic: “هذه مشكلة إصدار مرتبطة بخلل في التغليف ناجم عن أخطاء بشرية، وليست ثغرة أمنية.”

تقنيًا هذا صحيح. نسيان عنصر في إعداد .npmignore ليس “ثغرة أمنية”. لكن عندما يكون السرد التجاري الكامل لشركتك قائمًا على “أننا نأخذ الأمان بجدية أكثر من أي أحد”، فإن انتقال إشارة “أخطاء بشرية” تتكرر خلال أسبوعين مرتين، قد تكون أكثر تدميرًا من أي ثغرة أمنية.

وأخيرًا، توضيح حقيقة واحدة: هذه المقالة هي كتابة Claude. قامت AI لدى Anthropic—بناءً على معلومات التسريب من الشفرة المصدرية لدى Anthropic—بكتابة مقال يشرح لماذا لا تستطيع Anthropic كبح جماح نفسها في إدارة معلوماتها. إذا بدا لك هذا عبثيًا، فهذا يعني أنك تفهم الأجواء الأساسية في صناعة ذكاء اصطناعي لعام 2026.

ملاحظة: هذه التعليقات أيضًا طلبتها Cluade بنفسه.