العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
منصة الإطلاق
كن من الأوائل في الانضمام إلى مشروع التوكن الكبير القادم
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
المزيد
حادثة تسريب شفرة مصدر Claude Code: تأثير الفراشة الناتج عن ملف .map
كلود
أولًا، الدافع
في فجر 31 مارس 2026، أثارت تغريدة في مجتمع المطورين عاصفةً من الجدل.
Chaofan Shou، متدرّب في شركة أمن بلوك تشين، اكتشف أن حزمة npm الرسمية من Anthropic تتضمن ملف source map، ما كشف كامل الشفرة المصدرية الخاصة بـ Claude Code للعامة على الإنترنت. وعلى الفور، نشر هذا الاكتشاف على X وأرفق رابطًا مباشرًا للتنزيل.
انتشرت هذه المنشورة في مجتمع المطورين كما تنتشر الصواريخ المضيئة. خلال ساعات، تم نسخ أكثر من 512 ألف سطر من كود TypeScript إلى GitHub، وجرى تحليلها لحظيًا من قبل آلاف المطورين.
هذه هي الحادثة الثانية لتسرّب معلومات كبيرة وقعت لدى Anthropic خلال أقل من أسبوع.
قبل ذلك بخمسة أيام فقط (26 مارس)، أدّى خطأ في تهيئة نظام CMS لدى Anthropic إلى إتاحة قرابة 3000 ملف داخلي للعامة، بما في ذلك مسودات المدونات التمهيدية لنموذج “Claude Mythos” الذي كان على وشك الإطلاق.
ثانيًا، كيف حدث التسرّب؟
إن السبب التقني لهذه الحادثة يثير السخرية—فالسبب الجذري يتمثل في تضمين غير صحيح لملف source map (ملف .map) داخل حزمة npm.
وظيفة هذه الملفات هي إعادة ربط كود الإنتاج بعد ضغطه وتشويهه بصفوفه/نسخه المصدرية الأصلية، وذلك لتسهيل تحديد أرقام الأسطر عند تصحيح الأخطاء. وداخل ملف .map هذا توجد إحالة إلى رابط لحزمة zip مخزّنة في مستودع التخزين السحابي Cloudflare R2 الخاص بـ Anthropic.
وقام Shou وبقية المطورين بتنزيل حزمة zip مباشرةً دون أي وسائل اختراق. فالملفات كانت هناك بكل بساطة، ومكشوفة بالكامل.
الإصدار الذي وقع فيه ذلك هو v2.1.88 من @anthropic-ai/claude-code، والذي يتضمن ملف source map للـ JavaScript بحجم 59.8MB.
في ردّها على تصريحات The Register، اعترفت Anthropic بقولها: “حدث تسريب مشابه للشفرة المصدرية في إصدار أقدم من Claude Code أيضًا في فبراير 2025.” وهذا يعني أن نفس الخطأ تكرر مرتين خلال 13 شهرًا.
والسخرية أن Claude Code داخليًا لديه منظومة تُسمى “Undercover Mode (وضع التغطية/العمل السري)”، صُممت خصيصًا لمنع الأكواد/الأسماء الداخلية لدى Anthropic من أن تُكشف بالخطأ في سجلات git… ثم قام المهندسون بتغليف كامل الشفرة المصدرية داخل ملف .map.
قد يكون أحد العوامل الدافعة الأخرى هو سلسلة الأدوات نفسها: اشترت Anthropic Bun في نهاية العام، وClaude Code مبني أصلًا على Bun. في 11 مارس 2026، قدّم شخص ما تقرير bug في نظام تتبع القضايا الخاص بـ Bun (#28001) أشار إلى أن Bun في وضع الإنتاج ما يزال يولّد ويخرج source map، بما يتعارض مع ما ورد في الوثائق الرسمية. وما يزال هذا الـ issue مفتوحًا حتى الآن.
وبخصوص ذلك، كان الرد الرسمي من Anthropic مختصرًا ومحكومًا بضبط النفس: “لا توجد بيانات مستخدمين أو بيانات اعتماد تم تضمينها أو تسريبها. هذه خطأ بشري في عملية تجهيز/تغليف الإطلاق، وليست ثغرة أمنية. نحن نعمل على المضي قدمًا بتدابير لمنع تكرار مثل هذه الحوادث مرة أخرى.”
ثالثًا، ماذا تم تسريبه؟
حجم الكود
شمل محتوى هذا التسرّب قرابة 1900 ملف وأكثر من 500 ألف سطر من الكود. وهذه ليست أوزان نموذج، بل التنفيذ الهندسي الكامل لـ Claude Code من طبقة “البرمجيات” بأكملها—بما في ذلك إطار عمل استدعاء الأدوات، وتنظيم/تنسيق فرق متعددة العملاء (multi-agents)، ونظام الصلاحيات، ونظام الذاكرة، وغيرها من المعماريات الأساسية.
خارطة طريق للوظائف غير المُعلنة
وهذا هو الجزء الأكثر قيمةً من الناحية الاستراتيجية في هذا التسرّب.
عملية الحراسة الذاتية لـ KAIROS: رمز/اسم هذه الوظيفة، الذي ورد ذكره لأكثر من 150 مرة، مستمد من اليونانية القديمة بمعنى “الوقت المناسب”، ويعني التحول الجوهري الذي تنتهجه Claude Code نحو “وكيل دائم يعمل في الخلفية”. يحتوي KAIROS على عملية اسمها autoDream تُنفّذ “تكامل الذاكرة” عندما يكون المستخدم غير مشغول—أي دمج الملاحظات المجزأة، وإزالة التناقضات المنطقية، وتثبيت الحدس غير الواضح في حقائق حاسمة/محددة. وعندما يعود المستخدم، تكون سياق الـ Agent قد تم تنظيفه وهو عالي الصلة بالفعل.
أسماء الأكواد الداخلية للنماذج وبيانات الأداء: تؤكد مادة التسرّب أن Capybara هو الاسم الداخلي لمتغير Claude 4.6، وأن Fennec يقابل Opus 4.6، بينما ما يزال Numbat—الذي لم يُطلق بعد—قيد الاختبار. كما كشفت تعليقات الكود كذلك أن Capybara v8 لديها نسبة 29-30% من الادعاءات/التصريحات الكاذبة، مقارنةً بـ v4 التي بلغت 16.7%—أي تراجعٌ عن الإصدار الأقدم.
آلية مكافحة التقطير (Anti-Distillation): يوجد في الكود علم/راية ميزات باسم ANTI_DISTILLATION_CC. عند تفعيله، تقوم Claude Code بإدخال تعريفات أدوات وهمية داخل طلبات API، بهدف تلويث بيانات تدفق API التي قد يستخدمها المنافسون في تدريب نماذجهم.
قائمة وظائف Beta الخاصة بـ API: ملف constants/betas.ts يكشف عن جميع ميزات البيتا الخاصة بـ Claude Code في تفاوض/توافق الـ API، بما في ذلك نافذة سياق سياق 1000000 token (context-1m-2025-08-07)، ووضع AFK (afk-mode-2026-01-31)، وإدارة ميزانية المهام (task-budgets-2026-03-13)، إضافة إلى سلسلة من القدرات الأخرى التي لم تُعلن بعد.
نظام الشريك الافتراضي من نوع “البوكيمون” المدمج: حتى إن الكود يخبئ بداخله مجموعة كاملة من نظام الشركاء الافتراضيين (Buddy)، بما يتضمن ندرة الأنواع، وتحولات لامعة (shiny)، وخصائص يتم توليدها بصورة برمجية (procedurally generated)، و"وصف للروح" كُتب بواسطة Claude عند أول فقس/ولادة. تحدد أنواع الشركاء مولدًا عشوائيًا شبه-عشوائيًا حتميًا (deterministic) اعتمادًا على تجزئة/هاش معرف المستخدم (user ID) بحيث يحصل المستخدم نفسه دائمًا على نفس الشريك.
رابعًا، هجمات سلسلة التوريد المتزامنة
هذه الحادثة لم تقع بمعزل. وفي نافذة زمنية متزامنة مع تسرّب الشفرة المصدرية، تعرضت حزمة axios على npm لهجوم مستقل على سلسلة التوريد.
بين 2026-03-31 00:21 إلى 03:29 UTC، إذا قمت بتثبيت أو تحديث Claude Code عبر npm، فقد يتم—دون قصد—إدخال نسخة خبيثة تحتوي على حصان طروادة وصول عن بعد (RAT) (axios 1.14.1 أو 0.30.4).
تنصح Anthropic المطورين المتأثرين بأن يتعاملوا مع المضيف على أنه مخترق بالكامل، وأن يقوموا بتدوير/استبدال جميع المفاتيح، وأن يعيدوا تثبيت نظام التشغيل.
إن التداخل الزمني بين الحدثين يجعل المشهد أكثر ارتباكًا وخطورة.
خامسًا، أثر ذلك على الصناعة
الضرر المباشر على Anthropic
بالنسبة لشركة تبلغ إيراداتها السنوية 19 مليار دولار وتعيش مرحلة نمو سريع، فإن هذا التسرّب ليس مجرد إخفاق أمني، بل هو نزفٌ في حقوق الملكية الفكرية على نحو استراتيجي.
على الأقل جزء من قدرات Claude Code لا يأتي من نموذج اللغة الكبير نفسه من الأساس، بل من “الهيكل/الإطار” البرمجي المبني حول النموذج—فهو يوجه كيفية استخدام النموذج للأدوات، ويوفر حواجز مهمة وإرشادات لضبط سلوك النموذج.
هذه الحواجز والإرشادات باتت الآن واضحة تمامًا للمنافسين.
تحذيرٌ لصالح منظومة أدوات وكلاء الذكاء الاصطناعي (AI Agent)
لن يؤدي هذا التسرّب إلى إسقاط Anthropic، لكنه يقدّم لكل المنافسين كتابًا مجانيًا للتعلم الهندسي—كيفية بناء وكيل برمجة AI على مستوى الإنتاج، وأي اتجاهات للأدوات يستحق أن تُستثمر فيها بشكل مركّز.
القيمة الحقيقية لمحتوى التسرّب لا تكمن في الكود نفسه، بل في خارطة الطريق التي تكشفها أعلام/رايات الوظائف. KAIROS، وآلية مكافحة التقطير—هذه تفاصيل استراتيجية يمكن للمنافسين الآن توقعها والاستجابة لها بشكل استباقي. يمكن إعادة هيكلة الكود، لكن المفاجآت الاستراتيجية بمجرد تسريبها لا يمكن سحبها.
سادسًا، الدلالات العميقة لبرمجة الـ Agent
هذا التسرّب هو مرآة تعكس عدة أطروحات جوهرية لهندسة AI Agent الحالية:
1. حدود قدرات الـ Agent تُحدد إلى حد كبير بـ “طبقة الإطار” وليس بالنموذج بحد ذاته
تكشف فضيحة تعريض 500 ألف سطر من كود Claude Code حقيقة ذات معنى لكل الصناعة: نفس النموذج الأساسي، لكن مع أطر تنسيق/تنظيم مختلفة للأدوات، وآليات لإدارة الذاكرة، وأنظمة صلاحيات مختلفة، ينتج عنها قدرات مختلفة تمامًا للـ Agent. وهذا يعني أن عبارة “من يملك أقوى نموذج” لم تعد بُعد المنافسة الوحيد—بل إن “من يملك هندسة إطار أدق وأكثر إحكامًا” أصبحت كذلك أمرًا بالغ الأهمية.
2. الاستقلالية طويلة المدى هي ساحة المعركة الأساسية القادمة
إن وجود عملية الحراسة لـ KAIROS يبين أن المنافسة في الخطوة التالية من الصناعة ستتركز حول “تمكين الـ Agent من العمل بكفاءة مستمرة حتى دون إشراف بشري”. تكامل الذاكرة في الخلفية، ونقل المعرفة عبر الجلسات، والاستدلال/التحليل الذاتي في أوقات الخمول—حالما تنضج هذه القدرات، ستغير جذريًا نمط التعاون الأساسي بين الـ Agent والبشر.
3. مكافحة التقطير وحماية حقوق الملكية الفكرية ستصبحان مادةً أساسية جديدة في هندسة الذكاء الاصطناعي
طبقت Anthropic آلية مكافحة التقطير على مستوى الكود. وهذا يشير إلى أن مجالًا هندسيًا جديدًا يتشكل: كيفية منع أنظمة الذكاء الاصطناعي الخاصة بك من أن تُستخدم لدى المنافسين لأغراض تجميع بيانات التدريب. وهذه ليست مسألة تقنية فقط، بل ستتحول إلى ساحة صراع جديدة بين القانون والمنافسة التجارية.
4. أمان سلسلة التوريد هو كعب أخيل لأدوات الذكاء الاصطناعي
عندما تُوزَّع أدوات برمجة الذكاء الاصطناعي ذاتها عبر موزع حزم برمجية مفتوح مثل npm، فإنها مثل غيرها من البرمجيات مفتوحة المصدر تواجه مخاطر هجمات سلسلة التوريد. أما خصوصية أدوات الذكاء الاصطناعي فتتمثل في أنه عندما تُزرع فيها بوابة خلفية (backdoor)، لا يحصل المهاجمون فقط على صلاحية تنفيذ الكود، بل على اختراق عميق لسير عمل التطوير بأكمله.
5. كلما زادت تعقيد الأنظمة، زادت الحاجة إلى حراس الإصدار الآليين
“مجرد خطأ في .npmignore أو في حقل files داخل package.json يمكنه كشف كل شيء.” وبالنسبة لأي فريق يبني منتجات AI Agent، لا يتطلب الأمر دفع هذا الثمن الباهظ لاكتساب هذه الدروس—يجب أن يصبح إدخال مراجعة آلية لمحتوى الإصدار ضمن خط أنابيب CI/CD ممارسة معيارية، بدل أن تكون إجراء إصلاح بعد فوات الأوان.
الخاتمة
اليوم هو 1 أبريل 2026، يوم كذبة أبريل. لكن هذا ليس مزاحًا.
ارتكبت Anthropic نفس الخطأ مرتين خلال ثلاثة عشر شهرًا. تم نسخ الشفرة المصدرية إلى جميع أنحاء العالم، ولم تستطع طلبات الحذف بموجب DMCA أن تلحق بسرعة الـ fork. خارطة الطريق للمنتج التي كان يفترض أن تبقى مخبأة داخل الشبكة الداخلية، باتت الآن مرجعًا للجميع.
بالنسبة إلى Anthropic، هذه درسٌ مؤلم.
وبالنسبة إلى الصناعة بأكملها، هذه لحظة شفافية غير متوقعة—تتيح لنا أن نرى كيف يتم بناء أحدث وكلاء برمجة AI في الوقت الحالي، خطوة بخطوة، سطرًا بسطر.