ProHoster > blog > berita internet > Kebocoran kode pada toolkit Claude Code disebabkan oleh hilangnya file peta dalam paket NPM.

Kebocoran kode pada toolkit Claude Code disebabkan oleh hilangnya file peta dalam paket NPM.

Anthropic secara tidak sengaja menerbitkan kode sumber lengkap, tanpa pengaburan dan tanpa penyempurnaan untuk toolkit TypeScript Claude Code sebagai bagian dari paket NPM claude-code 2.1.88. Kode tersebut dirilis sebagai bagian dari file peta cli.js.map, yang digunakan untuk debugging. Untuk mencegah kebocoran semacam itu, pengembang disarankan untuk mengingat untuk menambahkan mask "*.map" ke file ".npmignore".

Arsip kode tersebut berukuran 59.8 MB, mencakup 1884 file, dan berisi lebih dari 500 baris kode. Para penggemar mulai mereplikasi kode tersebut di GitHub, tetapi Anthropic memulai pemberitahuan DMCA untuk memblokir repositori yang berisi kode tersebut berdasarkan Undang-Undang Hak Cipta Milenium Digital AS (DMCA). Kebocoran kode pada toolkit Claude Code disebabkan oleh hilangnya file peta dalam paket NPM.

Analisis terhadap informasi yang tersedia untuk umum mengungkapkan delapan fitur baru yang sebelumnya tidak diumumkan, 26 perintah tersembunyi, 32 flag build, 22 repositori pribadi, dan lebih dari 120 variabel lingkungan sensitif. Di antara fitur-fitur tersembunyi tersebut:

  • Mode "penyamaran", yang menghilangkan jejak keterlibatan AI saat melakukan perubahan pada repositori publik (tidak menampilkan "Ditulis Bersama" dan tidak menyebutkan nama model atau penggunaan AI).
  • Sebuah easter egg yang memberikan pengguna hewan peliharaan virtual, yang muncul di sebelah baris perintah. Penampilan dan perilaku hewan peliharaan tersebut unik dan didasarkan pada ID akun pengguna.
  • Flag CLAUDE_CODE_COORDINATOR_MODE=1 memungkinkan Claude Code beroperasi dalam mode koordinator, yang memecah tugas menjadi beberapa bagian, mendistribusikan eksekusinya di antara agen AI individual, dan menggabungkan hasilnya.
  • Antarmuka IPC antar sesi yang memungkinkan pesan dikirim ke sesi lain yang berjalan di komputer yang sama (mirip dengan obrolan antar agen AI).
  • Mode proaktif, yang memungkinkan pengkodean 24/7 tanpa terikat pada sesi. Asisten KAIROS selalu aktif dan mengingat status antar sesi.
  • Mode latar belakang (Mode Daemon), yang memungkinkan Anda menggunakan perintah "claude --bg" untuk memulai sesi dan memproses perintah di latar belakang, dengan kemampuan untuk melihat log kerja dan membawa sesi ke latar depan.
  • Mode ULTRAPLAN, yang membuat instance terpisah di cloud untuk menghasilkan rencana kerja dalam memecahkan masalah kompleks.
  • Mode Auto-Dream (/dream) menyusun informasi yang diterima selama sesi pada waktu tidak aktif di antara sesi dan menghasilkan ide untuk memecahkan masalah dan mengembangkan rencana tindakan.
  • Untuk melewati detektor kebocoran internal, nama kode model internal "capybara" dikodekan sebagai String.fromCharCode(99,97,112,121,98,97,114,97).
  • Telemetri Tengu, pelacakan dan transmisi tidak server Antropik mencakup lebih dari 1000 jenis acara.
  • Flag ABLATION_BASELINE dan variabel lingkungan CLAUDE_CODE_ABLATION_BASELINE menonaktifkan semua tindakan keamanan.
  • Perintah tersembunyi yang tidak disebutkan dalam bantuan "--help":
    • /ctx-viz - visualisasi konteks
    • /btw — pertanyaan tambahan
    • /good-claude — "Easter egg"
    • /teleport — transfer sesi
    • /share — berbagi sesi
    • /ringkasan — ringkasan
    • /ultraplan — perencanaan kerja
    • /subscribe-pr — webhook PR
    • /autofix-pr autofix PR
    • /ant-trace — penelusuran
    • /perf-issue — laporan kinerja
    • /debug-tool-call — panggilan debug
    • /bughunter — mendebug kesalahan
    • /break-cache — mengatur ulang cache
    • /onboarding - pengaturan
    • /oauth-refresh - token penyegaran
    • /env — inspeksi lingkungan
    • /reset-limits — mengatur ulang status batasan
    • /version — nomor versi internal
    • /init-verifiers - mengkonfigurasi verifier
    • /paksa potong
    • /mock-limits
    • /tendangan jembatan
    • /sesi-pengisian-kembali
    • /agen-platform
    • /mimpi
  • Opsi baris perintah yang tidak terdokumentasi:
    • --bare — dijalankan tanpa hook dan plugin
    • --dump-system-prompt — menampilkan prompt sistem dan keluar
    • —daemon-worker= — mengatur jumlah proses latar belakang
    • --computer-use-mcp — mengaktifkan server MCP
    • --cloud-in-chrome-mcp - Chrome MCP
    • —chrome-native-host
    • --bg — memulai sesi latar belakang
    • -menelurkan
    • -kapasitas — membatasi jumlah proses pemrosesan paralel
    • --worktree / -w — Isolasi worktree Git

    Bendera Majelis:

    • KAIRO
    • PROAKTIF
    • MODE_KOORDINATOR
    • MODE_PUNGGUNG
    • DAEMON
    • SESI_LATAR_BELAKANG
    • ULTRAPLAN
    • TEMAN
    • TORCH
    • SKRIP ALUR KERJA
    • MODE SUARA
    • TEMPLATES
    • CHICAGO_MCP
    • UDS_INBOX
    • KOMPAK_REAKTIF
    • KONTEKS_RUNTUH
    • POTONGAN_SEJARAH
    • MIKROKOMPAK YANG DISIMPAN DALAM CACHE
    • ANGGARAN_TOKEN
    • EKSTRAK_KENANGAN
    • UJI_LUAP
    • Panel Terminal
    • PERAMBAH WEB
    • GARPU_SUBAGEN
    • DUMP_SYS_PROMPT
    • BASIS_ABLIASI
    • BYOC_RUNNER
    • DIHOSTING SENDIRI
    • ALAT_MONITOR
    • CCR_AUTO
    • MEM_SHAPE_TEL
    • PENCARIAN KETERAMPILAN
  • Lebih dari 120 variabel lingkungan yang tidak terdokumentasi, termasuk DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (menonaktifkan semua mekanisme keamanan), DISABLE_INTERLEAVED_THINKING,
  • Sebutkan repositori internal seperti anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests, dan anthropics/feldspar-testing.

Sumber: opennet.ru

Tambah komentar