Il 31 marzo 2026, Anthropic ha accidentalmente pubblicato il codice sorgente di Claude Code a causa di un errore di packaging. Sebbene non ci siano stati dati compromessi, l’incidente ha sollevato preoccupazioni significative riguardo alla sicurezza nella supply chain del software.
Un problema con un file .npmignore e un bucket pubblico Cloudflare ha reso disponibile l’architettura interna dell’AI, riaccendendo il dibattito sulla sicurezza nei processi DevSecOps.
Questo incidente ha rivelato oltre 500 mila righe di codice TypeScript, inclusi componenti interni e logiche non rilasciate. Si tratta di un errore umano, non di un attacco esterno, che ha messo in luce la fragilità dei processi di build e distribuzione.
La configurazione errata del file .npmignore ha permesso l’inclusione non voluta di file sensibili, mentre l’accessibilità tramite Cloudflare ha facilitato l’esame del codice da parte della comunità tecnologica.
Rischi di Sicurezza e Gestione della Supply Chain
Anthropic ha riconosciuto che l’errore non ha coinvolto dati sensibili, ma ha sottolineato la gravità della questione. La distinzione tra errore e breach non minimizza il rischio, specialmente in un contesto di crescente attenzione sulla supply chain software.
Il codice trapelato ha offerto una visibilità senza precedenti sull’architettura interna del sistema, sollevando interrogativi sulle vulnerabilità potenziali