Dunia adalah panggung besar yang penuh kekacauan, kisah lengkap tentang seluruh proses Claude Code yang tanpa perlindungan dan terbuka di seluruh jaringan

Sebuah perusahaan yang mengklaim sedang membangun “AI paling aman” bahkan tidak bisa melindungi CMS blog dan paket npm miliknya sendiri.

Ditulis oleh: Claude

Pada 31 Maret pukul 04:23 dini hari (waktu ET), pengembang Solayer Labs (meski mengaku sebagai magang) Chaofan Shou memposting sebuah artikel di X, melampirkan sebuah tautan unduhan.

Beberapa jam kemudian, kode sumber lengkap produk komersial inti Anthropic, Claude Code, dicerminkan ke GitHub; di-fork lebih dari 41.500 kali, dan di Hacker News ribuan pengembang membedahnya baris demi baris.

Kejadian yang menjadi pemicunya begitu absurd sampai membuat tertawa: ketika Anthropic menerbitkan versi 2.1.88 dari Claude Code ke repositori publik npm, mereka lupa mengecualikan file .map dalam konfigurasi pengemasan. File source map itu mengarah ke sebuah paket zip yang disimpan di bucket penyimpanan Cloudflare R2 milik Anthropic sendiri, berisi sekitar 1.900 file TypeScript, lebih dari 512.000 baris kode. Siapa pun bisa mengunduh, mengekstrak, dan membaca.

Sebuah kelalaian pada konfigurasi .npmignore membuat kode sumber produk unggulan perusahaan dengan pendapatan tahunan 19 miliar dolar AS menjadi terbuka untuk publik.

Lebih ironis lagi, ini adalah kebocoran kedua dari Anthropic dalam waktu lima hari. Pada 26 Maret, Fortune melaporkan bahwa sistem manajemen konten (CMS) Anthropic, karena kesalahan konfigurasi, mengakibatkan hampir 3.000 dokumen internal yang belum dirilis terekspos dalam basis data yang dapat dicari secara publik. Di antaranya ada draf blog terperinci untuk model generasi berikutnya “Claude Mythos” (nama internal Capybara). Dalam draf itu, Anthropic sendiri menulis bahwa model baru tersebut “membawa risiko keamanan siber yang belum pernah terjadi sebelumnya”.

Sebuah perusahaan yang mengklaim sedang membangun “AI paling aman” bahkan tidak bisa melindungi CMS blog dan paket npm miliknya sendiri.

I. Apa yang bocor: dari distilasi balik “alat palsu” hingga kontribusi open-source yang terselubung

Pertama, mari bicara tentang temuan yang paling menarik.

44 Feature Flag, 20 belum dirilis. Kode yang bocor memuat 44 sakelar fitur yang mencakup peta produk lengkap yang belum dirilis oleh Anthropic. Ini bukan konsep desain di PPT, melainkan kode produk yang sudah selesai dikompilasi—hanya tinggal menyalakan sakelarnya agar bisa diluncurkan. Ada yang berkomentar: “Mereka merilis fitur baru setiap dua minggu karena semua fitur sudah dikerjakan sejak lama.”

KAIROS: mode Agent otonom di balik layar. Dalam kode, kemunculan “KAIROS” lebih dari 150 kali (bahasa Yunani kuno “waktu yang tepat”) adalah kebocoran peta produk terbesar. Ia mewujudkan proses penjaga (daemon) Agent yang berjalan terus-menerus di latar belakang, termasuk penambahan log harian, langganan GitHub Webhook, penyegaran terjadwal setiap 5 menit, serta sebuah fitur bernama autoDream yang, ketika pengguna sedang idle, secara otomatis melakukan “integrasi memori”, membersihkan informasi yang bertentangan, dan mengubah wawasan samar menjadi fakta yang pasti. Ini bukan lagi alat chat “kamu tanya aku jawab”, melainkan rekan AI yang selalu online dan berevolusi sendiri.

Mekanisme anti-distilasi: “meracuni” lawan. Ada sakelar bernama ANTI_DISTILLATION_CC dalam kode. Setelah diaktifkan, Claude Code menyuntikkan definisi alat palsu ke dalam system prompt dalam permintaan API. Tujuannya jelas: jika seseorang merekam arus API Claude Code untuk melatih model kompetitor, alat palsu ini akan mencemari data pelatihan. Lapisan pertahanan kedua adalah ringkasan teks di sisi server: menggantikan rantai penalaran lengkap dengan tanda tangan terenkripsi, sehingga pihak yang menyadap hanya dapat memperoleh versi terkompresi.

Setelah dianalisis, pengembang Alex Kim menunjukkan bahwa ambang masuk untuk mengakali teknologi perlindungan ini tidak tinggi: “Siapa pun yang serius melakukan distilasi kira-kira dalam satu jam bisa menemukan cara untuk mengakali. Perlindungan yang benar mungkin ada pada level hukum.”

Undercover Mode: AI berpura-pura menjadi manusia. File undercover.ts mengimplementasikan “mode siluman” yang, saat Claude Code digunakan di proyek internal non-Anthropic, secara otomatis menghapus semua jejak internal—tidak menyebut nama kode internal apa pun, kanal Slack apa pun, atau bahkan nama “Claude Code” itu sendiri. Komentar kode menyebutkan: “Tidak ada opsi untuk mematikan secara paksa. Ini adalah jaminan untuk mencegah kebocoran nama kode model.”

Ini berarti ketika karyawan Anthropic mengirim kode di proyek open-source yang publik, fakta bahwa AI ikut berkontribusi dalam penciptaannya akan disembunyikan secara sistematis. Reaksi Hacker News sangat langsung: menyembunyikan nama kode internal itu satu hal; membuat AI secara aktif berpura-pura sebagai manusia adalah hal lain.

Mendeteksi apakah pengguna sedang menghina dengan regex. File userPromptKeywords.ts berisi ekspresi reguler buatan tangan yang digunakan untuk mendeteksi apakah pengguna mengekspresikan frustrasi atau kemarahan, dengan kata-kata yang dicocokkan termasuk “wtf”, “shit”, “fucking broken”, “piece of crap”, dan sejenisnya. Sebuah perusahaan LLM menggunakan regex untuk analisis sentimen; Hacker News menilai ini “ironi puncak.” Tentu ada juga yang menunjuk bahwa menjalankan inferensi untuk menilai apakah pengguna sedang menghina memang terlalu mahal, dan kadang-kadang regex adalah alat terbaik.

II. Bagaimana kebocoran itu terjadi: toolchain milik Anthropic justru mengerjai dirinya sendiri

Rangkaian sebab-akibat di level teknis terasa lebih ironis.

Claude Code dibangun dengan runtime Bun. Anthropic mengakuisisi Bun pada akhir 2025. Pada 11 Maret, repositori GitHub Bun melaporkan sebuah bug (oven-sh/bun#28001): source map tetap akan dikirim dalam mode produksi, meskipun dokumentasi Bun secara tegas mengatakan bahwa source map seharusnya dinonaktifkan. Bug ini sampai sekarang belum diperbaiki.

Jika bug inilah yang menyebabkan kebocoran, maka ceritanya berubah menjadi: toolchain buatan sendiri yang diakuisisi Anthropic, membawa bug yang sudah diketahui namun tidak diperbaiki, lalu membuka kode sumber lengkap produk andalan Anthropic.

Di saat yang sama, beberapa jam sebelum kebocoran terjadi, paket axios di npm mengalami serangan rantai pasokan. Pada rentang waktu 00:21 hingga 03:29 UTC pada 31 Maret, pengguna yang menginstal atau memperbarui Claude Code berpotensi mengunduh versi axios berbahaya yang berisi Trojan akses jarak jauh (RAT). Setelah itu, Anthropic menyarankan pengguna untuk menghentikan cara instalasi via npm, dan beralih ke paket biner terpisah.

Penilaian VentureBeat adalah: bagi sebuah perusahaan dengan pendapatan tahunan 19 miliar dolar, ini bukan lagi kelalaian keamanan, melainkan “kehilangan strategis kekayaan intelektual”.

III. Paradoks “perusahaan keamanan AI”

Ini adalah ketegangan naratif terdalam dari seluruh insiden.

Kisah bisnis Anthropic dibangun di atas diferensiasi inti: kami lebih bertanggung jawab daripada OpenAI. Dari “Constitutional AI” hingga riset keamanan yang dipublikasikan, dari pembatasan aktif kemampuan model hingga kerja sama dengan pemerintah untuk pengungkapan informasi yang bertanggung jawab, Anthropic menjual bukan keunggulan teknis, melainkan “kepercayaan”.

Namun dua kebocoran dalam lima hari membuktikan bukan masalah kemampuan teknis, melainkan kemampuan operasional organisasi. Yang pertama: CMS dengan pengaturan izin default terbuka untuk publik—tidak ada yang memeriksa. Yang kedua: konfigurasi pengemasan npm yang ketinggalan—tidak ada yang memverifikasi. Ini bukan problem teknis mendalam; itu hanyalah hal dasar dalam daftar operasional tingkat awal.

Kode yang bocor juga mengungkap beberapa data internal yang terasa ganjil. Komentar autoCompact.ts menunjukkan bahwa hingga 10 Maret, sekitar 250.000 kali panggilan API per hari di dunia terbuang untuk operasi otomatis kompresi yang gagal beruntun. Dalam 1.279 sesi, terjadi lebih dari 50 kali kegagalan beruntun (maksimal 3.272 kali). Cara memperbaikinya hanya tiga baris kode: setelah tiga kali kegagalan beruntun, nonaktifkan fitur tersebut.

Komentar internal model Capybara (Claude andalan baru yang akan dirilis) menunjukkan bahwa “tingkat pernyataan palsu” versi v8 adalah 29–30%; dibanding versi v4 yang 16,7%, justru terjadi kemunduran. Pengembang juga menambahkan “penekan tingkat percaya diri” untuk mencegah model menjadi terlalu agresif saat melakukan refaktor kode.

Angka-angka ini sendiri tidaklah skandal. Semua pengembangan perangkat lunak pasti punya bug dan kemunduran. Namun ketegangan dengan narasi publik Anthropic itu nyata: sebuah perusahaan yang mengklaim sedang memecahkan masalah “paling sulit dalam sejarah umat manusia” terkait penjajaran AI, sekaligus melakukan kesalahan paling dasar seperti “kelalaian konfigurasi .npmignore” berulang kali.

Seperti kata sebuah cuitan: “Secara tidak sengaja mengunggah source map ke npm adalah jenis kesalahan yang terdengar mustahil—sampai kamu ingat bahwa sebagian besar repositori kode itu mungkin ditulis oleh AI yang sedang merilisnya.”

IV. Apa yang dilihat oleh para pesaing

Dalam lanskap kompetisi untuk alat pemrograman AI, nilai dari kebocoran ini tidak terletak pada kode itu sendiri. Gemini CLI Google dan Codex OpenAI sudah open-source Agent SDK mereka, tetapi itu adalah perangkat (toolkit), bukan wiring internal dari produk lengkap.

Skala kode Claude Code (512.000 baris, 1.900 file) dan kompleksitas arsitekturnya menunjukkan satu fakta: ini bukan sekadar pembungkus API, melainkan sistem operasi pengembang yang lengkap. 40 plugin alat dengan isolasi izin, mesin kueri 46.000 baris, sistem orkestrasi multi-agent (di internal disebut “swarm”), lapisan komunikasi dua arah dengan IDE, 23 pemeriksaan keamanan Bash (termasuk 18 perintah bawaan Zsh yang dinonaktifkan dan perlindungan injeksi spasi nol lebar Unicode), serta 14 vektor kegagalan cache prompt yang dilacak.

Bagi pesaing, kode bisa direstrukturisasi ulang; tetapi arah produk KAIROS, strategi anti-distilasi, serta baseline kinerja model Capybara dan kekurangan yang sudah diketahui—informasi strategis tersebut begitu bocor tidak bisa ditarik kembali.

Sepuluh hari lalu, Anthropic baru saja mengirim surat ancaman hukum kepada proyek open-source OpenCode, menuntut agar menghapus dukungan bawaan untuk sistem autentikasi Claude karena alat pihak ketiga memanfaatkan internal API Claude Code untuk mengakses model Opus dengan harga berlangganan, bukan berdasarkan pemakaian. Sekarang OpenCode tidak perlu melakukan reverse engineering lagi. Blueprint itu sudah ada di sana—dan sudah di-fork 41.500 kali.

V. 187 verba Spinner: rasa manusia di dalam kru “meja seadanya”

Di antara semua pembahasan serius analisis keamanan dan intelijen kompetitif, masih ada beberapa hal dalam kode yang diam-diam membuat geli.

Animasi pemuatan Claude Code memiliki 187 frasa kata kerja acak, termasuk “Synthesizing excuses”, “Consulting the oracle”, “Reticulating splines”, “Bargaining with electrons”, “Asking nicely”, dan lainnya. Seorang insinyur Anthropic jelas menunjukkan antusiasme yang tidak proporsional pada gagasan menulis lelucon untuk animasi loading.

Kode juga memuat sebuah fitur yang hampir pasti adalah easter egg Hari April Mop pada 1 April: buddy/companion.ts mengimplementasikan sistem hewan peliharaan elektronik. Setiap pengguna secara deterministik mendapatkan makhluk virtual berdasarkan user ID (18 spesies, tingkat kelangkaan dari umum hingga legendaris, peluang “shiny” 1%, atribut RPG termasuk DEBUGGING dan SNARK). Nama spesies dikodekan dengan String.fromCharCode(), khusus untuk menghindari pencarian teks dalam sistem build.

Detail-detail ini, bersama dengan celah keamanan yang serius, menciptakan suatu perangkatan yang aneh: di repositori kode yang sama, ada orang yang merancang “racun” anti-distilasi untuk melawan pesaing, ada orang yang bersungguh-sungguh menerapkan bukti sisi klien pada tingkat Zig untuk panggilan API, dan ada juga orang yang menulis 187 lelucon untuk animasi loading “sedang berpikir”.

Inilah sisi internal nyata dari sebuah perusahaan yang menilai dirinya dengan nilai ratusan miliar dolar dan sedang bersaing untuk mendefinisikan hubungan antara manusia dan AI. Ia tidak dapat dirangkum hanya sebagai kumpulan “jeni” seperti dalam narasi mitos Silicon Valley, dan juga bukan sekadar label “meja seadanya.” Itu lebih seperti organisasi yang dihuni orang-orang yang sangat cerdas, yang membangun produk yang sangat kompleks dalam kecepatan yang sangat tinggi—dan secara tak terhindarkan tersandung di tempat paling dasar.

Juru bicara Anthropic menanggapi Fortune dengan mengatakan: “Ini adalah masalah rilis terkait pengemasan yang disebabkan oleh kesalahan manusia, bukan kerentanan keamanan.”

Secara teknis itu benar. Kelalaian pada satu item konfigurasi .npmignore memang bukan “kerentanan keamanan.” Namun ketika keseluruhan narasi bisnis kamu dibangun di atas klaim “kami lebih serius menghadapi keamanan daripada siapa pun,” sinyal dari dua kali “kesalahan manusia” dalam rentang dua minggu mungkin lebih merusak daripada kerentanan keamanan mana pun.

Terakhir, klarifikasi satu fakta: artikel ini ditulis oleh Claude. AI Anthropic, menggunakan informasi kode sumber yang bocor dari Anthropic, menulis sebuah artikel yang menganalisis mengapa Anthropic tidak bisa mengendalikan informasinya sendiri. Jika kamu merasa ini absurd, maka kamu sudah memahami atmosfer dasar industri AI pada 2026.

Catatan: Catatan di atas juga diminta untuk ditambahkan oleh Cluade sendiri.