في ضربة أمنية قاسية، تسرب الكود المصدري الكامل لأداة البرمجة ‘كلود كود’ التابعة لشركة Anthropic. آلاف المطورين سارعوا لتحميل المحتوى وتحليله في ساعات قليلة بعد اكتشافه. الكود كان متاحاً في مستودع عام.
الباحث الأمني شوفان شو، من شركة Solayer Labs، كشف الكارثة. ملف تصحيح أخطاء، أُرفق سهوًا في حزمة ‘كلود كود’ الرسمية على منصة npm الشهيرة للمطورين، حمل بداخله الكنز الرقمي: 1900 ملف، أكثر من نصف مليون سطر برمجي.
التحليلات الأولية فجرت مفاجأة. ‘كلود كود’ ليست مجرد واجهة دردشة بسيطة. هي محرك مركزي ضخم، يفوق 46 ألف سطر، يدير كل التفاعلات مع النموذج الأساسي. الأداة قادرة على تنفيذ 40 نوعًا من الإجراءات: قراءة ملفات، تشغيل أوامر، تعديل كود. تتضمن 85 أمرًا داخليًا، تغطي مراجعة الكود وإدارة مستودعات Git. هذا يكشف استراتيجيات تطوير معقدة تتجاوز التصورات الأولية.
المفاجآت لم تتوقف عند البنية الداخلية. الكود المسرب كشف عن ميزات لم تعلن عنها Anthropic بعد.
‘BUDDY’ أولها. حيوان أليف افتراضي، يشبه لعبة ‘تاماجوتشي’، يظهر كفقاعة بجانب مربع نص المستخدم. يتوفر بـ18 نوعًا: بطة، تنين، أكسولوتل، كابيبارا، شبح وغيرها. هذه الكائنات الافتراضية تتمتع بمستويات ندرة مختلفة، ويمنحها ‘كلود’ اسمًا عند تفعيلها. خطة الشركة كانت إطلاقها بين 1 و7 أبريل، ثم طرح عالمي في مايو.
‘KAIROS’ كشف آخر. مساعد يعمل دائمًا، لا ينتظر المستخدم للكتابة. يعمل في الخلفية، يسجل الملاحظات طوال اليوم، ثم ينفذ عملية ليلية لتنظيم ما تعلمه، إزالة التناقضات، وتجهيز السياق للجلسة التالية. تخطيط مستقبلي يتجاوز التفاعل اللحظي.
‘ULTRAPLAN’ أيضًا ظهر. يتيح جلسات تخطيط سحابية تصل مدتها إلى 30 دقيقة. وهناك ‘وضع المنسق’ الذي يسمح لنسخة واحدة من ‘كلود’ بإدارة عدة وكلاء يعملون بالتوازي.
التسريب لم يقتصر على الميزات. كشف أيضًا عن نماذج Anthropic القادمة. ‘Capybara’ هو الاسم التطويري لنسخة ‘كلود 4.6’. ‘Fennec’ يقابل ‘أوبوس 4.6’. أما ‘Numbat’، فهو نموذج لا يزال قيد الاختبار. أسماء داخلية تكشف خرائط طريق المنتج قبل إطلاقها.
الأزمة تعمقت. التقرير يشير إلى أن تحديث ‘كلود كود’ عبر npm بين 0:21 و3:29 بالتوقيت العالمي المنسق صباحًا قد يكون قد أدى إلى تثبيت حصان طروادة للوصول عن بُعد (RAT). Anthropic دعت المستخدمين المتأثرين لفحص ملفات مشاريعهم بحثًا عن إصدارات محددة من تبعيات برمجية تشمل البرامج الضارة.
المخاطر الأمنية لا حصر لها. الكود المصدري الآن بين أيدي قراصنة يدرسون آلياته. هدفهم: اختراق آليات الأمان. النصيحة الأهم: التخلي عن التثبيت القائم على npm والتحول للمثبت الأصلي الذي يوفر تحديثات تلقائية. هذا ليس مجرد تسريب معلومات، بل بوابة مفتوحة لمخاطر سيبرانية وشيكة.
-
-
-
-
-
-
-
-
