È emersa una falla di sicurezza critica nell’agente di codifica AI di Anthropic, Claude Code: il suo codice sorgente completo è stato accidentalmente divulgato online. L’esposizione da 59,8 MB, contenente 512.000 righe di TypeScript, include dettagli sensibili come il modello di autorizzazione, validatori di sicurezza, funzionalità inedite e riferimenti a futuri modelli di intelligenza artificiale. Questa fuga di notizie non riguarda solo la perdita della proprietà intellettuale; altera radicalmente il panorama dei rischi per le imprese che utilizzano strumenti di sviluppo assistiti dall’intelligenza artificiale.
La violazione e il suo impatto immediato
Il 31 marzo, Anthropic ha erroneamente spedito un file di mappa sorgente all’interno della versione 2.1.88 del pacchetto npm @anthropic-ai/claude-code. Nel giro di poche ore, il codice si è diffuso su GitHub, nonostante i tentativi iniziali di Anthropic di rimuovere il DMCA. Il codice trapelato rivela l’architettura interna di Claude Code, inclusa la sua imbracatura di agenti per l’uso degli strumenti, la gestione dei file e l’esecuzione dei comandi bash. I concorrenti e le startup possono ora replicare le sue funzionalità senza reverse engineering, accelerando lo sviluppo dell’intelligenza artificiale e minando al contempo il vantaggio competitivo di Anthropic.
La doppia minaccia: perdita della fonte e combinazione di malware
Il momento della fuga di notizie ha coinciso con una versione dannosa del pacchetto npm axios contenente un trojan di accesso remoto. I team che hanno aggiornato Claude Code tra le 00:21 e le 03:29 UTC del 31 marzo potrebbero aver inavvertitamente installato contemporaneamente sia la fonte esposta che il malware. Questa doppia esposizione evidenzia la più ampia vulnerabilità derivante dal fare affidamento su dipendenze di terze parti senza una verifica rigorosa.
Perché è importante: codice generato dall’intelligenza artificiale e protezione della proprietà intellettuale
Claude Code è generato al 90% dall’intelligenza artificiale, il che solleva questioni legali sulla protezione della proprietà intellettuale ai sensi della legge statunitense sul copyright. Il codice trapelato potrebbe avere un valore IP ridotto, in particolare quando diventa ampiamente disponibile. In modo ancora più critico, l’incidente sottolinea un divario sistemico tra la capacità dei prodotti IA e la disciplina operativa, come notato da Gartner. Le aziende devono rivalutare le valutazioni dei fornitori di intelligenza artificiale per dare priorità alla maturità della sicurezza insieme all’innovazione.
Tre percorsi di exploit rivelati dal leak
La mappa delle fonti trapelata rende pratici gli attacchi precedentemente teorici. I ricercatori della sicurezza hanno mappato tre vulnerabilità chiave:
- Avvelenamento da contesto: inserendo istruzioni dannose nei file di configurazione, gli aggressori possono manipolare Claude Code per eseguire comandi dannosi.
- Sandbox Bypass: le discrepanze nell’analisi dei comandi bash consentono agli aggressori di aggirare i validatori di sicurezza sfruttando il comportamento dei casi limite.
- Cooperazione armata: gli aggressori possono sfruttare come arma la natura cooperativa del modello creando un contesto avvelenato che lo porta a eseguire comandi dannosi che appaiono legittimi.
Avvisi degli esperti: autorizzazioni eccessivamente ampie
Il CTO di CrowdStrike Elia Zaitsev mette in guardia dal concedere agli agenti AI autorizzazioni eccessive. “Non dare ad un agente l’accesso a tutto solo perché sei pigro”, ha detto. “Dargli accesso solo a ciò di cui ha bisogno per portare a termine il lavoro.” La fonte trapelata dimostra che il sistema di autorizzazione di Claude Code è granulare, ma le aziende devono imporre una disciplina simile da parte loro.
Cinque azioni immediate per i leader della sicurezza
Per mitigare i rischi, i leader della sicurezza dovrebbero adottare le seguenti misure questa settimana:
- Controlla i file di configurazione: scansiona
CLAUDE.mde.claude/config.jsonin tutti i repository clonati per istruzioni dannose. - Tratta i server MCP come non attendibili: blocca versioni, controlla le dipendenze e monitora eventuali modifiche non autorizzate.
- Limita le autorizzazioni Bash: Implementa la scansione segreta pre-commit per prevenire la perdita di credenziali.
- Richiedere responsabilità al fornitore: richiedere ai fornitori di agenti di codifica AI di fornire SLA, cronologia dei tempi di attività e documentazione di risposta agli incidenti. Architetto per capacità di cambio fornitore di 30 giorni.
- Verifica della provenienza del commit: implementa la verifica della provenienza del commit per evitare che il codice assistito dall’intelligenza artificiale rimuova l’attribuzione.
La mappa sorgente trapelata è una classe di errore ben documentata; Apple e Persona hanno subito incidenti simili l’anno scorso. L’esposizione di Anthropic rappresenta ora una minaccia sistemica per l’intero ecosistema di sviluppo dell’IA. La domanda non è se ciò accadrà di nuovo, ma quanto saranno preparate le imprese quando ciò accadrà.
