شركة الذكاء الاصطناعي الأمريكية الكبرى تسرب 510,000 سطر من الشيفرة المصدرية! هل ينسخ المطورون مباشرة "الواجب"؟ المحامون يحذرون من المخاطر

بسبب قيام أحد الموظفين، عن غير قصد، بتسريب كود المصدر الخاص بـ 512 ألف سطر من Claude Code، تمكنت صناعة بأكملها من الاطلاع على البنية الداخلية لمنتجات عملاق الذكاء الاصطناعي (AI) الصاعد Anthropic، كما تم الكشف مسبقًا عن خطة منتجاته المتعلقة بحيواناته الأليفة الإلكترونية والمساعدات الدائمة المدعومة بالذكاء الاصطناعي.

في التوقيت المحلي في 31 مارس، تم تسريب كود مصدر Claude Code نتيجة خطأ أثناء حزم حزمة npm. خلال ساعات قليلة، تشكلت حالة انتشار على GitHub مع تسجيل أكثر من 10 آلاف نجمة وخضع أكثر من 20 ألف نسخة احتياطية للانتشار.

في هذا الصدد، ردّت Anthropic على مراسل صحيفة «اليومية الاقتصادية» (ويشار إليه لاحقًا بـ «مراسل كل يوم») قائلة: إن ذلك ناتج عن مشكلات في التعبئة والنشر بسبب خطأ بشري (human error)، وليس بسبب ثغرة أمنية.

أشار خبراء إلى أن هذا التسريب يوفر للمطورين الصغار والمتوسطين فرصة لـ«النسخ» لتحسين قدرات منتجاتهم، لكن الاستخدام التجاري لهذا الكود يواجه مخاطر قانونية.

** 512 ألف سطر من كود مصدر Claude Code “تم إصداره كمصدر مفتوح”**

في التوقيت المحلي في 31 مارس، كشف أحد المتدربين لدى شركة أمن Web3 FuzzLand، Chaofan Shou، على منصة التواصل الاجتماعية X أن كود مصدر أداة البرمجة بالذكاء الاصطناعي Claude Code التابعة لـ Anthropic تم تسريبه عن طريق الخطأ.

وبحسب وصفه، أثناء فحصه لحزمة npm الخاصة بـ Claude Code، لاحظ أن ملف cli.js.map بحجم 57MB يشير إلى رابط لعلبة تخزين (storage bucket)، يحتوي على 1900 ملف TypeScript، ** بإجمالي أكثر من 512 ألف سطر من كود المصدر الكامل غير المُموّه وغير المُفكّك. وهذا يعني أن بإمكان المطورين الاطلاع بسهولة وحتى إعادة بناء البنية الداخلية لـ Claude Code. **

وليس السبب الجذري للمشكلة معقدًا: ملف source map كان من المفترض استبعاده في البناء الخاص بالإنتاج، لكن بسبب إغفال في إعداد .npmignore أو عدم ملاءمة إعدادات مسار البناء، تم نشره معًا على npm registry، وهي منصة عامة. خلال ساعات قليلة، تم رفع الكود ذي الصلة إلى GitHub وانتشر على نطاق واسع، بل إن بعض المطورين قاموا بإعادة بناء Claude Code بالكامل بناءً على المحتوى المُسرب.

بعد أن اشتدت وتيرة الحدث، ** قامت Anthropic بتحديث حزمة npm بشكل عاجل وإزالة الملفات ذات الصلة، كما حذفت الإصدارات المبكرة. لكن فات الأوان. **

قام مراسل صحيفة «اليومية الاقتصادية» بالتحقق من Anthropic بشأن هذا الأمر، وردت الشركة قائلة: «في وقت سابق اليوم، تضمن إصدار من Claude Code جزءًا من كود مصدر داخلي. لم يتضمن هذا الحادث أو يكشف أي بيانات أو بيانات اعتماد حساسة للعملاء. ** يرجع ذلك إلى مشكلة في التعبئة والتغليف ناتجة عن خطأ بشري، وليس ثغرة أمنية. ** نحن بصدد إطلاق إجراءات لمنع حدوث حالات مماثلة مرة أخرى».

هذا يعد الحادث الثاني الكبير للتسريب الذي وقع خلال أسبوع واحد لدى Anthropic. في 26 مارس، كانت الشركة قد تعرضت لتسريب بسبب خطأ في إعدادات CMS (نظام إدارة المحتوى)، حيث تم تسريب معلومات نموذج باسم Claude Mythos وما يقرب من 3000 أصل غير منشورة. وقبل ذلك أيضًا، واجه Claude Code مشكلة تسريب كود المصدر وتلميحات النظام في فبراير 2025 وديسمبر 2024 على التوالي. إن تكرار «التقصير البشري» مستمر في تقويض الثقة في قدراتها الأمنية لدى السوق.

“تسريب على مستوى الإنتاج”: كشف مسبق للحيوانات الأليفة الإلكترونية والمساعدين الدائمين للذكاء الاصطناعي

مع تعمق المطورين في تحليل الكود المُسرب، أصبحت البنية الداخلية لـ Claude Code أوضح تدريجيًا بما يفوق بكثير توقعات العالم الخارجي. ** وهذا ليس مجرد أداة تغليف API، بل بيئة تطوير كاملة على مستوى الإنتاج. **

وفقًا لتحليل مستودع GitHub، يحتوي مستودع الكود المسرب على أكثر من 40 أداة للتحكم في الصلاحيات، ومحرك استعلام (Query Engine) يضم 46 ألف سطر من التعليمات البرمجية، ونظام تنسيق تعدد الوكلاء (Multi-Agent Coordination)، ووظيفة ربط IDE، وآلية ذاكرة دائمة، وغيرها. كما تم العثور في الكود على 35 علامة/مفتاح وظيفي أثناء الترجمة (compilation-time feature flags) وأكثر من 120 متغير بيئي غير منشور. ووفقًا لمتغير البيئة USER_TYPE=ant، يمكن لموظفي Anthropic فك قفل جميع الوظائف الداخلية.

أشار بعض المبرمجين إلى أن محتوى تسريب Claude يُظهر أنه ليس مساعد برمجة بالذكاء الاصطناعي فحسب، بل يشبه أكثر نظام تشغيل.

والأكثر لفتًا للاهتمام هو وجود عدة ميزات تجريبية لم تُطرح بعد.

** أولًا: نظام الحيوان الأليف الإلكتروني الطرفي المسمى BUDDY. **

يظهر من الكود أن BUDDY هو نظام مرافق بالذكاء الاصطناعي يشبه حيوانًا أليفًا إلكترونيًا يُدعى «تاماچوتشي» (Tamagotchi) كان شائعًا عالميًا في تسعينات القرن الماضي. تجمع آليته الأساسية بين معرف المستخدم وخوارزمية شبه عشوائية لإنشاء شخصية فريدة، تشمل النوع والكُراهيّة/الندرة والمظهر والخصائص وغيرها. كما يدعم النظام إعدادات مثل «سحب البطاقات» (抽卡)، وأنواع متوهجة (闪光变种)، ويقوم النموذج تلقائيًا بإنشاء «وصف للروح». وجدير بالذكر أن ** السمات الرئيسية للحيوان الأليف لا تُخزن، بل يتم توليدها ديناميكيًا بناءً على معرف المستخدم، مما يمنحه ثباتًا وتفردًا لا يمكن العبث به. **

** ثانيًا: المساعد الدائم للذكاء الاصطناعي المسمى KAIROS. **

تم إخفاء KAIROS خلف علامات/مفاتيح الترجمة (compile flags)، ولا يمكن رؤيته في الإصدارات العامة. بمجرد تفعيله، يمكن لهذا النظام مراقبة سلوك المستخدمين بشكل مستمر، وتسجيل المعلومات وتنفيذ المهام بشكل استباقي، مع الحفاظ على سجلات تشغيل تفصيلية. وبالتكامل مع آلية خلفية تُسمى autoDream، ** يمكن للنظام أيضًا في فترات النشاط المنخفض أن يرتب الذاكرة تلقائيًا، ويحول محتوى المحادثات قصيرة الأجل إلى معرفة منظمة طويلة الأجل. ** ويُعتقد أن هذا التصميم قريب جدًا من عملية تثبيت الذاكرة عند البشر أثناء النوم.

قال أحد الباحثين في Byte AI Agent إن أكثر ما يدهش هو وضع KAIROS — GitHub Webhook + Cron + MCP Channel + آلية Dream الخلفية لتنظيم الذاكرة. وبالجوهر، فهذا ينقل الـ Agent من مجرد أداة إلى «موظف رقمي».

بالإضافة إلى ذلك، ** ولمنع تسرب المعلومات الداخلية، صممت Anthropic أيضًا «وضع المتخفّي» (Undercover Mode)،** مما يحد من قيام الموظفين بالإشارة إلى أسماء النماذج الداخلية أو أسماء الأدوات ضمن المساهمات في المصدر المفتوح. كما أن ** واجهته البرمجية (API) تتضمن كذلك آلية «تسميم البيانات» (data poisoning):** من خلال حقن تعريفات أدوات وهمية (fake_tools)، يتم تعطيل عملية جمع البيانات المحتملة وتدريب/تقطير النماذج (model蒸馏)، وبالتالي تقليل أداء نماذج المنافسين.

تظهر هذه التصاميم أن Anthropic استثمرت الكثير من الجهد في الحماية التقنية واستراتيجيات المنافسة، لكن هذا «الخطأ البشري» كشف عن قصور على مستوى تنفيذ العملية.

** وراء احتفال المطورين: “النسخ” قد يواجه مخاطر قانونية **

بوصفه منتجًا يستهدف منافسة OpenAI، يتنافس Claude Code منذ وقت طويل مع أدوات مثل GitHub Copilot. ورغم أن التسريب العرضي هذا ليس إصدارًا رسميًا لمصدر مفتوح، فقد اعتبره كثير من المطورين فرصة تعليمية نادرة.

قال أستاذ جامعي معين لدى كلية شنغهاي للتمويل والاقتصاد، Hu Yanping، لمراسل صحيفة «اليومية الاقتصادية»: ** تتمثل التأثيرات الأولية لهذا التسريب على نظام AI البيئي في أنه يمكن أن يساعد فرق الوكلاء الأخرى على رفع مستوى منتجاتها، ويساعد المطورين على فهم خريطة الطريق التقنية. ** وأشار إلى أن بعض التقنيين قاموا فعلًا بتحليل المحتوى المُسرب بسرعة كبيرة، ثم إعادة بنائه وتعديله واختباره، وحتى محاولة نشره وإعادة إنتاجه، وذلك لإجراء بحث منهجي على الملفات المُسربة. «** بالنسبة للمطورين الذين كانت قدراتهم في AI Agent متوسطة في الأساس، فهذا بلا شك فرصة ‘للنسخ’، ما يؤدي إلى مواءمة مستوى المنتج بسرعة. ** وحتى أثناء عملية النسخ، إن تم تغيير أجزاء منه وتحسينها موضعيًا فقد يصبح أفضل في بعض جوانب إطار Claude Code».

يرى Hu Yanping أن تسريب الكود يفيد بالفعل المطورين الصغار والمتوسطين إلى حد كبير، لكن قد لا يفيد الشركات الكبيرة بنفس الدرجة. «لأن الشركات الكبرى إما أنها تعمل بالفعل على الهندسة العكسية، أو أنها في عملية بناء إطار منتج أكثر شمولًا؛ ولكي ينجح منتج مثل Claude Code، لا يكفي الاعتماد على قوة نقطة واحدة فحسب، بل يعتمد أيضًا على بناء النظام البيئي للتطبيقات بأكمله، بما في ذلك نظام المهارات (Skills) البيئي، ونظام المطورين وشركاء التعاون، وكيفية تقديم خدمات AI على مستوى كامل (full-stack AI) لتجسيد منظومة واسعة تضم مئات الملايين من الأجهزة ومئات الملايين من المستخدمين».

اعتبر Hu Yanping أن سبب إثارة تسريب كود مصدر Claude Code لاهتمام واسع ونقاشات هو أن Anthropic تُعد واحدة من شركتين عالميتين فقط، خصوصًا في مجال To B وقدرات كتابة الكود، تتمتعان بأقوى قدرات full-stack في مجال AI، والشركة الأخرى هي OpenAI. علاوة على ذلك، في هذه النوعية من المنتجات، تمكنت Anthropic من التقدم أبعد من OpenAI، كما أنها تتمتع بقوة منتج أكبر. «** ومن خلال الكود المسرب، نرى أن Claude Code يجسد تطبيقات عملية ودمجًا عضويًا لمناقشات تكنولوجية ساخنة في الصناعة حول Prompt Engineering وContext Engineering وHarness Engineering، خصوصًا أن Harness Engineering، ومع ميزة يمكنها التحكم في الكمبيوتر بعد الترقية، قد أتاح للمجتمع أن يرى الاتجاه التطوري للمرحلة التالية: إن Agent من نوع ‘الاستحواذ/التولي’ كونه نظام تشغيل للتطبيق وكيانًا ذا ذكاء تنفيذي، أصبح يتجه نحو الشمولية، وسيصبح مستقبلًا ذكاءً رقميًا عامًا مختلفًا عن الذكاء العام المتمركز على تجسيد الأجسام (embodied general intelligence). **»

لكن، عند مقابله مع مراسل صحيفة «اليومية الاقتصادية»، نبّه المحامي Wu Junling من مكتب قوانو (GuoHao) بأنه ** من الأنسب تحديد هذا الحادث على أنه كشف خاطئ لملفات source map أدى إلى إمكانية إعادة بناء جزء من كود المصدر، وليس أن صاحب الحق قد قام عمدًا بترخيص إصدار كود المصدر كمصدر مفتوح. ** لذلك، كون كود المصدر يمكن أن يحصل عليه الآخرون لا يعني تلقائيًا أن أي شخص آخر قد حصل على ترخيص قانوني للنسخ أو التعديل أو الدمج أو الاستخدام التجاري.

حللت أن الأمر بالنسبة للشركات والمطورين هو: ** إذا تم تنزيل الكود ذي الصلة واستخدامه لنسخه أو تعديله أو تضمينه داخل منتجاتهم، أو إذا تم بناءً عليه تحسين/تدريب منتجات منافسة مماثلة، فقد يؤدي ذلك عادةً إلى مخاطر مركبة على مستوى حقوق النشر و/أو الأسرار التجارية، وحتى المنافسة غير العادلة. ** وبالرغم من أنه في ظل انتشار الكود المصدر بالفعل على نطاق واسع، ستكون صعوبة قيام صاحب الحق بعد ذلك بالمطالبة بالأسرار التجارية لكامل كود المصدر أعلى بشكل واضح، إلا أن ذلك لا يستبعد بالضرورة استمرار المطالبة بالحقوق بشأن التفاصيل التي لم تُكشف بعد، أو بشأن أفعال الحصول أو النشر أو الاستخدام غير المناسب التي حدثت في وقت مبكر. وبالنسبة لمستخدمي Anthropic الحاليين، فإن شروطه الرسمية تحدد كذلك صراحة قيودًا على استخدام الخدمة لتطوير منافسين أو تدريب منافسين بالذكاء الاصطناعي، وكذلك تحظر فك الترجمة أو الهندسة العكسية أو خدمات النسخ، وبالتالي قد تتراكم مخاطر الإخلال بالعقد أيضًا.

كما قالت: «على النقيض، ** فإن مجرد ‘الاطلاع’ على الكود لأغراض البحث أو التحليل الأمني عادةً تكون المخاطر فيه أقل من إعادة الاستخدام الفعلي؛ لكن بمجرد دخوله في مراحل التطوير أو الاستخدام التجاري، سترتفع المخاطر القانونية بشكل كبير. **»

في الوقت الحالي، تلقت عدة مستودعات GitHub التي تستضيف أكوادًا مُسربة عدة إشعارات حذف بموجب «قانون الألفية الرقمية لحقوق النشر» (DMCA)، وتم سحبها (إزالتها) من المنصة تباعًا. وهذا يُظهر أيضًا أن النزاع القانوني حول هذا الحدث يجري بالفعل.

(المصدر: صحيفة «اليومية الاقتصادية»)