Komunitas keamanan siber global digemparkan oleh insiden kebocoran internal yang melibatkan Claude Code, platform agentic coding milik Anthropic, setelah source code dan sejumlah komponen sensitif dilaporkan terekspos ke publik akibat kesalahan packaging npm.

Insiden tersebut pertama kali ramai dibahas setelah peneliti keamanan menemukan bahwa package @anthropic-ai/claude-code versi tertentu secara tidak sengaja menyertakan source map file berukuran besar yang memungkinkan publik mengakses source code internal Claude Code secara penuh.

Laporan awal menyebut lebih dari 500 ribu baris kode TypeScript berhasil terekspos selama beberapa jam sebelum akhirnya package tersebut ditarik dari registry npm. Kebocoran tersebut segera menjadi viral di komunitas keamanan dan AI engineering karena memperlihatkan struktur internal sistem Claude Code secara sangat detail.

Peneliti keamanan mengungkap bahwa file yang terekspos memuat berbagai komponen penting, termasuk:

• sistem orchestration internal
• mekanisme permission agent
• workflow multi-agent
• pipeline context management
• sistem validasi command
• hingga fitur eksperimental yang belum diumumkan publik

Beberapa analis menyebut insiden ini sebagai salah satu kebocoran arsitektur AI agent terbesar yang pernah terjadi pada platform AI modern.

Dugaan Risiko Keamanan

Selain membuka detail arsitektur internal Claude Code, insiden ini juga memicu kekhawatiran serius terkait potensi:

• reverse engineering
• bypass guardrail
• exploit terhadap workflow agent
• penyalahgunaan sistem permission
• serta pencurian API credential

Peneliti dari Check Point sebelumnya juga pernah mengungkap kerentanan pada Claude Code yang memungkinkan remote code execution dan pencurian API key melalui konfigurasi repository berbahaya.

Tak lama setelah kebocoran source code ramai dibahas, sejumlah pihak mulai menemukan repository palsu dan package typosquatting yang mencoba memanfaatkan situasi tersebut untuk menyebarkan malware dan stealer kepada developer yang mencoba mengompilasi source code bocor tersebut.

Fitur Internal yang Terungkap

Analisis komunitas terhadap source code yang bocor mengungkap sejumlah fitur internal menarik, termasuk:

• sistem auto permission classifier
• multi-agent orchestration
• anti-distillation mechanism
• persistent autonomous mode
• hingga experimental background agent system

Beberapa fitur bahkan menunjukkan bahwa Claude Code memiliki kemampuan menjalankan task semi-otonom dengan pengawasan minimal.

Dokumen internal juga memperlihatkan bagaimana sistem melakukan validasi command shell dan klasifikasi tindakan berisiko sebelum agent mengeksekusi command tertentu.

Respons Anthropic

Anthropic dilaporkan segera menarik package bermasalah setelah insiden mulai viral di media sosial dan forum keamanan siber. Perusahaan juga melakukan pembaruan package untuk menghapus source map yang menyebabkan kebocoran tersebut.

Namun demikian, banyak peneliti menilai insiden ini memperlihatkan tantangan besar dalam pengamanan platform AI agent modern yang kini semakin kompleks dan memiliki akses luas terhadap environment development pengguna.

Analisis Seraphim News

Kasus Claude Code menunjukkan bahwa ancaman keamanan pada era AI modern tidak lagi terbatas pada model AI itu sendiri, tetapi juga mencakup:

• supply chain software
• package distribution
• orchestration system
• serta integrasi agent terhadap environment developer

Kebocoran seperti ini dapat memberikan insight mendalam bagi peneliti keamanan — maupun aktor berbahaya — untuk memahami cara kerja internal sistem AI agent generasi terbaru.

Insiden ini juga mempertegas bahwa platform AI agent kini telah menjadi target bernilai tinggi dalam ekosistem keamanan siber global.

Kebocoran source code AI agent modern bukan sekadar insiden software biasa — melainkan potensi eksposur terhadap blueprint operasi AI generasi berikutnya.

Sumber referensi:

• The Hacker News
• Zscaler ThreatLabz
• Check Point Research
• Anthropic Engineering Blog