Fuga de código en el kit de herramientas Claude Code debido a la falta de un archivo de mapa en el paquete NPM.

Anthropic publicó inadvertidamente el código fuente completo, sin ofuscar ni refinar, del kit de herramientas TypeScript Claude Code como parte del paquete NPM claude-code 2.1.88. El código se publicó como parte del archivo de mapa cli.js.map, que se utilizaba para la depuración. Para evitar este tipo de filtraciones, se recomienda a los desarrolladores que añadan la máscara "*.map" al archivo ".npmignore".

El archivo de código tiene un tamaño de 59.8 MB, incluye 1884 archivos y contiene más de 500 líneas de código. Algunos entusiastas comenzaron a replicar el código en GitHub, pero Anthropic inició notificaciones de la DMCA para bloquear los repositorios que contenían el código, amparándose en la Ley de Derechos de Autor del Milenio Digital (DMCA) de Estados Unidos. 
Fuga de código en el kit de herramientas Claude Code debido a la falta de un archivo de mapa en el paquete NPM.

Un análisis de la información disponible públicamente reveló ocho nuevas características no anunciadas previamente, 26 comandos ocultos, 32 indicadores de compilación, 22 repositorios privados y más de 120 variables de entorno sensibles. Entre las características ocultas:

  • El modo "encubierto" elimina cualquier rastro de la intervención de la IA al realizar cambios en repositorios públicos (no muestra la información de coautoría ni menciona el nombre del modelo ni el uso de la IA).
  • Un huevo de Pascua que otorga al usuario una mascota virtual, la cual aparece junto a la línea de comandos. La apariencia y el comportamiento de la mascota son únicos y dependen del ID de cuenta del usuario.
  • El indicador CLAUDE_CODE_COORDINATOR_MODE=1 permite que Claude Code opere en modo coordinador, que a su vez divide las tareas en partes, distribuye su ejecución entre agentes de IA individuales y combina los resultados.
  • Una interfaz IPC entre sesiones que permite enviar mensajes a otras sesiones que se ejecutan en el mismo ordenador (similar a un chat entre agentes de IA).
  • El modo proactivo permite programar las 24 horas del día, los 7 días de la semana, sin estar sujeto a sesiones. El asistente KAIROS está siempre activo y recuerda el estado entre sesiones.
  • Modo en segundo plano (Modo demonio), que permite usar el comando "claude --bg" para iniciar sesiones y procesar solicitudes en segundo plano, con la posibilidad de ver el registro de trabajo y poner la sesión en primer plano.
  • El modo ULTRAPLAN crea una instancia independiente en la nube para generar un plan de trabajo que permita resolver problemas complejos.
  • El modo Auto-Sueño (/dream) estructura la información recibida durante las sesiones durante el tiempo de inactividad entre sesiones y genera ideas para resolver problemas y desarrollar un plan de acción.
  • Para eludir el detector de fugas interno, el nombre en clave del modelo interno "capybara" se codifica como String.fromCharCode(99,97,112,121,98,97,114,97).
  • Telemetría, seguimiento y transmisión de Tengu no servidores Antrópicos: más de 1000 tipos de eventos.
  • El indicador ABLATION_BASELINE y la variable de entorno CLAUDE_CODE_ABLATION_BASELINE desactivan todas las medidas de seguridad.
  • Comandos ocultos no mencionados en la ayuda "--help":
    • /ctx-viz - visualizador de contexto
    • Por cierto, preguntas adicionales
    • /good-claude — "Huevo de Pascua"
    • /teletransporte — transferir sesiones
    • /share — compartir sesión
    • /summary — resumen
    • /ultraplan — planificación del trabajo
    • /subscribe-pr — Webhook de relaciones públicas
    • /autofix-pr autofix PR
    • /ant-trace — rastreo
    • /perf-issue — informe de rendimiento
    • /debug-tool-call — llamadas de depuración
    • /bughunter — errores de depuración
    • /break-cache — restablecer caché
    • /onboarding - configuración
    • /oauth-refresh - actualizar token
    • /env — inspección del entorno
    • /reset-limits — restablecer el estado de los límites
    • /versión — número de versión interna
    • /init-verifiers - configura el verificador
    • /corte forzado
    • /límites simulados
    • /patada de puente
    • /sesiones de relleno
    • /plataforma-de-agentes
    • /sueño
  • Opciones de línea de comandos no documentadas:
    • --bare — ejecutar sin ganchos ni complementos
    • --dump-system-prompt — Vuelca el indicador del sistema y sale
    • —trabajador demonio= — establece el número de procesos en segundo plano
    • --computer-use-mcp — activa el servidor MCP
    • --cloud-in-chrome-mcp - Chrome MCP
    • —host nativo de Chrome
    • --bg — iniciar una sesión en segundo plano
    • -desovar
    • -capacidad — limitar el número de procesos de procesamiento paralelo
    • --worktree / -w — Aislamiento del árbol de trabajo de Git

    Banderas de la asamblea:

    • KAIROS
    • PROACTIVO
    • MODO COORDINADOR
    • MODO DE CRESTA
    • DEMONIO
    • SESIONES DE BG
    • ULTRAPLAN
    • COMPAÑERO
    • TORCH
    • SCRIPTS DE FLUJO DE TRABAJO
    • MODO_DE_VOZ
    • TEMPLATES
    • CHICAGO_MCP
    • UDS_INBOX
    • COMPACTO REACTIVO
    • COLAPSO DE CONTEXTO
    • HISTORIA_FRAGMENTO
    • MICROCOMPACT EN CACHÉ
    • PRESUPUESTO_DE_TOKEN
    • EXTRAER_RECUERDOS
    • PRUEBA DE DESBORDAMIENTO
    • Panel de terminales
    • NAVEGADOR WEB
    • SUBAGENTE DE BIFERENCIA
    • DUMP_SYS_PROMPT
    • BASE DE ABLACIÓN
    • BYOC_RUNNER
    • AUTOALOJADO
    • HERRAMIENTA DE MONITOREO
    • CCR_AUTO
    • MEMORIA_FORMA_TEL
    • BÚSQUEDA DE HABILIDADES
  • Más de 120 variables de entorno no documentadas, incluidas DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (deshabilita todos los mecanismos de seguridad), DISABLE_INTERLEAVED_THINKING,
  • Mencione repositorios internos como anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests y anthropics/feldspar-testing.

Fuente: opennet.ru

Compre alojamiento confiable para sitios con protección DDoS, servidores VPS VDS 🔥 Compra alojamiento web fiable con protección DDoS, servidores VPS VDS | ProHoster