Il 31 marzo 2026, Anthropic ha esposto accidentalmente l'intero codice sorgente di Claude Code — il suo strumento CLI per sviluppatori — pubblicando su npm una versione che includeva circa 512.000 righe di TypeScript distribuite su 1.900 file. È il secondo incidente di sicurezza dell'azienda in cinque giorni.
La notizia non riguarda solo un errore di packaging. Riguarda la credibilità operativa dell'azienda che ha costruito la propria identità pubblica sull'essere “l'azienda AI responsabile” — e che si sta preparando a un'IPO.
Come è successo
La versione 2.1.88 del pacchetto @anthropic-ai/claude-code è stata pubblicata su npm con una source map da 59,8 MB: un file di debug che mappa il codice compilato al sorgente originale. Quel file puntava direttamente a un archivio ZIP sul bucket Cloudflare R2 di Anthropic, contenente l'intera codebase leggibile. Nessuna violazione esterna: il codice era semplicemente lì, accessibile a chiunque avesse installato il pacchetto tra le 00:21 e le 03:29 UTC.
Il ricercatore di sicurezza Chaofan Shou ha individuato l'esposizione quasi immediatamente e l'ha segnalata pubblicamente su X. Nel giro di poche ore, il codice era stato archiviato su GitHub e replicato migliaia di volte prima che Anthropic avviasse le richieste di rimozione DMCA.
Claude Code non è un prodotto secondario. È lo strumento che ha spinto OpenAI a cancellare Sora sei mesi dopo il lancio per riorientare le risorse verso sviluppatori ed enterprise — secondo il Wall Street Journal, in risposta diretta alla crescita di Claude Code. Esporre la sua architettura interna significa esporre un vantaggio competitivo costruito in anni di sviluppo.
“This was a release packaging issue caused by human error, not a security breach.” — Portavoce di Anthropic
Cosa c'era dentro
Il leak non ha esposto i pesi del modello Claude, ma tutto il software che gli sta attorno: l'architettura agente, il sistema di permessi, l'orchestrazione multi-agente e i prompt di sistema. Per gli analisti, il contenuto più significativo sono i 44 feature flag interni, di cui almeno 20 corrispondono a funzionalità già sviluppate ma non ancora rilasciate.
Tra queste, la più discussa è KAIROS: un sistema che trasformerebbe Claude Code in un agente autonomo sempre attivo, capace di operare in background e consolidare la memoria del progetto mentre lo sviluppatore è inattivo — un cambio di paradigma rispetto all'interazione on-demand attuale. Il codice ha anche confermato l'esistenza di Capybara, nome interno di un nuovo modello già in fase di test, già menzionato nei file interni trapelati cinque giorni prima: una configurazione errata del CMS aveva reso pubblici circa 3.000 documenti riservati, inclusa una bozza di post che descriveva funzionalità non ancora annunciate.
Due incidenti distinti, la stessa settimana, entrambi causati da errore umano nei processi di rilascio interni.
Cosa cambia per chi usa Claude Code
Per sviluppatori e aziende che integrano Claude Code nei propri flussi di lavoro, ci sono tre implicazioni immediate.
La prima è tecnica: chi ha installato o aggiornato Claude Code via npm il 31 marzo nella finestra oraria indicata potrebbe aver scaricato una versione esposta a un attacco supply-chain separato ma contemporaneo su una dipendenza di axios. Anthropic raccomanda di verificare i lockfile e di preferire l'installer nativo al pacchetto npm.
La seconda è competitiva: il codice esposto offre ai concorrenti — da OpenAI a Cursor — un blueprint dettagliato dell'architettura agente più adottata nel settore enterprise. I dettagli su orchestrazione, gestione dei permessi e strategie anti-distillazione sono informazioni che normalmente richiedono mesi di reverse engineering. Quella finestra di vantaggio si è ristretta.
La terza è di fiducia: due esposizioni accidentali in cinque giorni, per un'azienda che vende sicurezza e responsabilità come valori fondanti e che sta negoziando valutazioni miliardarie con investitori istituzionali, pongono una domanda che va oltre il singolo incidente tecnico. Se costruite strumenti AI per scrivere e rilasciare codice in produzione, la qualità dei vostri stessi processi di rilascio è il primo test di credibilità sul mercato enterprise. Anthropic ha risposto in modo corretto sul piano della comunicazione — ha riconosciuto l'errore senza minimizzare. Il problema è che lo ha dovuto fare due volte nella stessa settimana.
Per approfondire i concetti di agente AI e orchestrazione multi-agente citati in questo articolo, trovate le definizioni nel nostro Glossario AI.
Fonte primaria: TechCrunch, 31 marzo 2026