Fuga di codice sorgente di Claude Code, esposti oltre 1900 file

La Anthropic ha subito oggi, 31 marzo 2026, una fuga di notizie che nessuno si aspettava. Il codice sorgente completo di Claude Code, il suo strumento CLI di codifica con IA, è stato esposto pubblicamente nel registro npm a causa di un file .map dimenticato nel pacchetto ufficiale della versione 2.1.88, rilasciata solo un giorno prima.

Il problema è stato scoperto dal ricercatore di sicurezza Chaofan Shou e si è diffuso rapidamente nella comunità degli sviluppatori. In pratica, ciò che doveva essere un file di debug si è trasformato in una mappa che consente di ricostruire tutto il codice originale. Si tratta di circa 1.900 file TypeScript e oltre 512 mila righe, inclusi prompt interni del sistema e logiche proprietarie che la Anthropic non ha mai voluto mostrare.

Ma ciò che ha attirato maggiormente l'attenzione non è stato solo il codice già noto. All'interno del pacchetto sono apparsi dettagli di funzionalità non ancora rilasciate. Tra queste vi è Kairos, una modalità daemon autonoma che funziona in background con notifiche push, webhook di GitHub e sessioni simultanee. C'è anche il Buddy System, un compagno virtuale in stile tamagotchi con sprite in ASCII, livelli e personalità generate da IA. E la Coordinator Mode, che trasforma Claude in un orchestratore di agenti multipli che lavorano in parallelo.

Il risultato è che qualsiasi sviluppatore con npm install può ora accedere a tutto questo. La fuga non include i pesi dei modelli, ma rivela l'architettura completa degli agenti, il sistema di memoria di squadra e persino una modalità sotto copertura che rimuove le informazioni interne di Anthropic dai commit e dai PR.

La comunità ha già reagito. Repositori specchiati sono emersi su GitHub in poche ore e le persone hanno iniziato a testare le parti nascoste del codice. Nel frattempo, l'incidente riaccende la discussione sulla sicurezza nei pipeline di build, specialmente quando strumenti di IA come lo stesso Claude Code vengono utilizzati per accelerare le consegne.

Il codice è già disponibile in mirror pubblici e sviluppatori indipendenti continuano ad analizzare ciò che Anthropic prevedeva di lanciare nei prossimi mesi.