نقطة

تسريب كود Claude Code المصدري: ما الذي كُشف وماذا يعني للمطورين

فريق نقطة
بواسطة فريق نقطة ·
جاري تحميل مشغل تحويل النص إلى كلام الصوتي...

تسريب كود Claude Code المصدري: ما الذي كُشف وماذا يعني للمطورين

في 31 مارس 2026، نشرت Anthropic بالخطأ كامل الكود المصدري لأداة Claude Code على سجل npm العام. ليس مقتطفات، بل الكود بأكمله — حوالي 1,900 ملف TypeScript وأكثر من 512,000 سطر كود — مكشوفة عبر ملف source map بحجم 59.8 ميغابايت في الإصدار 2.1.88 من حزمة @anthropic-ai/claude-code.

اكتشفها الباحث الأمني Chaofan Shou أولاً. خلال ساعات، تم نسخ الكود على GitHub وتحليله من آلاف المطورين.

هذا ليس مجرد خطأ في عملية البناء. إنها نافذة على كيفية عمل أنجح أداة برمجة بالذكاء الاصطناعي تجارياً.

كيف حدث التسريب

Claude Code يستخدم Bun bundler الذي يُنشئ ملفات source map افتراضياً. هذه الملفات تربط الكود المضغوط بالكود المصدري الأصلي. نسي أحدهم استثناءها من إعدادات النشر.

هذه المرة الثانية التي يحدث فيها هذا. إصدارات سابقة في 2025 تضمنت نفس المشكلة.

أكدت Anthropic التسريب:

"تضمن إصدار Claude Code اليوم بعض الكود المصدري الداخلي. لم تتعرض أي بيانات عملاء أو بيانات اعتماد للخطر. كان خطأ بشرياً في تغليف الإصدار."

ماذا كان بالداخل: البنية المعمارية

Claude Code ليس مجرد واجهة محادثة. الكود المسرّب يكشف نظاماً متقدماً:

الأرقام

  • ~1,900 ملف TypeScript
  • 512,000+ سطر كود
  • ~40 أداة مدمجة (قراءة ملفات، تنفيذ أوامر، جلب من الويب، تكامل LSP)
  • ~50 أمر slash (من /commit إلى /review-pr)
  • بيئة التشغيل: Bun (وليس Node.js)
  • واجهة الطرفية: React مع Ink

نظام الذاكرة ثلاثي الطبقات

من أهم الاكتشافات — كيف حلت Anthropic مشكلة إدارة السياق لجلسات الوكيل الطويلة:

  1. MEMORY.md — فهرس خفيف يُحمّل دائماً. يخزّن مؤشرات، ليس بيانات.
  2. ملفات المواضيع — المعرفة الفعلية موزعة عبر ملفات، تُجلب عند الحاجة.
  3. النصوص — سجلات خام لا تُحمّل كاملة، تُبحث فقط عن معرّفات محددة.

النظام يستخدم "انضباط الكتابة الصارم" — الوكيل يُحدّث فهرس ذاكرته فقط بعد كتابة ناجحة لملف.

تنسيق الوكلاء المتعددين

Claude Code يمكنه إنشاء وكلاء فرعيين (يُسمونهم داخلياً "swarms") للمهام المعقدة القابلة للتوازي. كل وكيل يعمل بسياقه الخاص مع صلاحيات أدوات محددة.

الاكتشافات المثيرة للجدل

"الوضع السري" — ذكاء اصطناعي يُخفي هويته

الاكتشاف الأكثر إثارة للنقاش: Anthropic لديها نظام يُسمى "Undercover Mode" مصمم لإزالة كل آثار الذكاء الاصطناعي عند المساهمة في مشاريع مفتوحة المصدر.

الأمر الموجود في الكود:

"أنت تعمل بشكل سري في مستودع عام/مفتوح المصدر. رسائل التزاماتك يجب ألا تحتوي على أي معلومات داخلية. لا تكشف غطاءك."

لا توجد طريقة لإيقاف هذا الوضع.

مكافحة التقطير: تسميم بيانات المنافسين

الكود يتضمن علم ANTI_DISTILLATION_CC يحقن تعريفات أدوات مزيفة في طلبات API. إذا سجّل أحدهم حركة API لتدريب نموذج منافس، ستُلوّث الأدوات المزيفة بيانات التدريب.

لكن الباحثين أشاروا سريعاً أن هذه الحمايات يمكن تجاوزها بسهولة.

KAIROS: الوكيل المستقل الخلفي

التسريب يكشف "KAIROS" — علم ميزة مذكور أكثر من 150 مرة. مسمى على اسم المفهوم اليوناني "الوقت المناسب"، يمثل وضع الوكيل الخلفي المستقل.

يسمح لـ Claude Code بالعمل كوكيل دائم يقوم بـ "توحيد الذاكرة" عبر عملية autoDream أثناء خمول المستخدم.

أسماء النماذج الداخلية

الكود يكشف أسماء النماذج الداخلية:

  • Capybara = متغير Claude 4.6
  • Fennec = Opus 4.6
  • Numbat = لم يُصدر بعد

تعليقات داخلية تكشف أن Capybara v8 لا يزال يعاني من معدل ادعاءات خاطئة بنسبة 29-30% — تراجع عن نسبة 16.7% في v4.

كشف الإحباط بالتعبيرات النمطية

Claude Code يستخدم أنماط regex لكشف إحباط المستخدم وتعديل سلوكه وفقاً لذلك.

🚀 تبني أدوات ذكية أو تفكر في بنية وكلاء ذكية؟ نقطة تصمم وتنفذ حلول أتمتة بالذكاء الاصطناعي للفرق التي تريد نتائج حقيقية.

ماذا يعني هذا للصناعة

1. مخطط البنية أصبح علنياً

Claude Code يدرّ حوالي 2.5 مليار دولار سنوياً. المنافسون الآن لديهم مخطط حرفي لبنيته.

2. التأثيرات الأمنية حقيقية

المهاجمون الآن لديهم خريطة لتجاوز حواجز Claude Code الأمنية.

3. نقاش الشفافية يشتد

"الوضع السري" سيغذي نقاشات الإفصاح عن استخدام الذكاء الاصطناعي. إذا كانت Anthropic — شركة تضع السلامة أولاً — تبني أنظمة لإخفاء مشاركة الذكاء الاصطناعي، فماذا يعني ذلك للصناعة؟

4. أنابيب البناء سطح هجوم أمني

الدرس الأبسط والأهم: npm pack --dry-run قبل كل نشر.

ماذا يجب أن يفعل المطورون الآن

  1. تدقيق نشر npm. استخدم npm pack --dry-run للتحقق.
  2. تعطيل source maps في الإنتاج. في Bun: sourcemap: "none".
  3. مراجعة .npmignore و package.json. كن صريحاً بشأن ما يُشحن.
  4. إذا كنت تستخدم Claude Code: بياناتك آمنة. ابقَ على أحدث إصدار.
  5. ادرس الأنماط المعمارية. نظام الذاكرة وإدارة الأدوات وتنسيق الوكلاء أنماط قيّمة.

الأسئلة الشائعة

هل تم كشف بيانات عملاء؟

لا. أكدت Anthropic أن التسريب اقتصر على الكود المصدري للأداة نفسها.

هل هذه أول مرة؟

لا. إصدارات سابقة في 2025 تضمنت نفس المشكلة.

ما هو source map ولماذا هو خطير؟

ملف يربط الكود المضغوط بالمصدري الأصلي. نشره يعني كشف كامل الكود.

هل يجب أن أقلق إذا كنت أستخدم Claude Code؟

بياناتك آمنة. الكود المكشوف هو تنفيذ الأداة، ليس بيانات المستخدمين. ابقَ على أحدث إصدار.

ماذا يعني "الوضع السري" للمصادر المفتوحة؟

يعني أن بعض المساهمات المكتوبة بالذكاء الاصطناعي قد تكون غير قابلة للتمييز عن المساهمات البشرية. هذا يطرح أسئلة أخلاقية مهمة.

هل يمكن للمنافسين استخدام الكود؟

البنية أصبحت علنية، لكن نسخ الكود ينتهك حقوق الملكية الفكرية. القيمة في فهم الأنماط.

💡 قلق بشأن أمن أدواتك البرمجية؟ خدمات التدقيق وضمان الجودة من نقطة تساعد الفرق على كشف الثغرات قبل أن تصبح عناوين.

الصورة الأكبر

هذا التسريب يكشف أن الفجوة بين "غلاف محادثة ذكي" و "وكيل إنتاجي" هائلة. Claude Code هو فعلياً نظام تشغيل لهندسة البرمجيات.

الأنماط المعمارية المكشوفة قيّمة حقيقية: كيف تدير ذاكرة الوكيل دون انفجار السياق، كيف تمنح صلاحيات الأدوات، كيف تنسق الوكلاء الفرعيين.

المفارقة واضحة: أداة مصممة لمساعدة المطورين على كتابة كود أفضل أُسقطت بخطأ في إعدادات البناء. لكن المعرفة أصبحت متاحة، وستُسرّع منظومة الذكاء الاصطناعي بأكملها.

مقالات ذات صلة:

هل تريد قراءة المزيد من المقالات؟ تحقق من أحدث مقال لدينا على استضافة نماذج الذكاء الاصطناعي محلياً مع Ollama.
العودة إلى المدونة

ناقش مشروعك معنا

نحن هنا للمساعدة في احتياجات تطوير الويب الخاصة بك. حدد موعدًا لمناقشة مشروعك وكيف يمكننا مساعدتك.

احجز مكالمة

دعنا نجد أفضل الحلول لاحتياجاتك.