Il 31 marzo 2026 Anthropic ha accidentalmente pubblicato il codice sorgente completo della sua CLI Claude Code all’interno di un pacchetto npm pubblico, rendendo accessibili circa 512.000 righe di TypeScript. L’azienda ha confermato l’incidente attribuendolo a un errore umano nel processo di packaging del rilascio: la versione 2.1.88 di Claude Code è stata distribuita con un file source map da 59,8 MB che puntava direttamente a un archivio zip accessibile sul bucket Cloudflare R2 di Anthropic. Nessuno ha dovuto hackerare nulla. Il file era semplicemente lì.
Non si trattava di un attacco, né di una violazione di sicurezza nel senso tecnico del termine. Eppure il caso merita attenzione ben oltre la cronaca tecnologica.
Cosa conteneva il codice e cosa è successo dopo
Il codice trapelato comprende circa 1.900 file TypeScript, tra cui moduli chiave come il Query Engine responsabile della gestione delle chiamate ai modelli. Tra le funzionalità interne emerse figura un sistema di orchestrazione multi-agente che consente a Claude Code di generare sciami di agenti paralleli per gestire task complessi, un IDE Bridge che collega il terminale alle estensioni per editor come VS Code e JetBrains, e funzionalità non documentate come la modalità Undercover — che istruisce il sistema a evitare riferimenti ad Anthropic nei commit pubblici — e un modulo denominato KAIROS, progettato per consentire al tool di operare in background come agente persistente.
Prima che Anthropic potesse intervenire, il materiale era già stato copiato su GitHub, dove il repository ha collezionato più di 50.000 fork nel giro di pochissime ore. Alcuni mirror sono stati usati per distribuire malware come Vidar e GhostSocks. La presenza di logiche di hook e dei permessi ha fornito ai malintenzionati materiale per individuare vulnerabilità note, tra cui il CVE-2025-59536 e il CVE-2026-21852, che possono consentire potenziali attacchi RCE attraverso configurazioni particolari.
Non è la prima volta — ed è il secondo incidente in una settimana
Questa è la seconda volta che si verifica lo stesso errore: una fuga di source map quasi identica si era verificata con una versione precedente di Claude Code nel febbraio 2025. E cinque giorni prima, il 26 marzo, un errore di configurazione del CMS aveva esposto circa 3.000 file interni contenenti dettagli sul modello inedito Claude Mythos, anch’esso attribuito a un errore umano. Due incidenti quasi identici in tredici mesi, e un terzo nello spazio di una settimana. Il pattern conta più del singolo episodio.
I profili giuridici rilevanti
Il caso apre almeno tre questioni distinte. La prima riguarda la proprietà intellettuale. Parte del codice sorgente finito online è protetto da diritto d’autore, e il fatto che sia stato accessibile potrebbe consentire ai concorrenti di Anthropic di osservare più da vicino le potenzialità del software e capire meglio come funziona la sua architettura. Chi ha scaricato e utilizza quel codice per sviluppare prodotti concorrenti si espone a responsabilità per violazione di diritto d’autore, indipendentemente dal fatto che il rilascio sia stato involontario.
La seconda questione riguarda la supply chain software. Un file .npmignore configurato male e un bucket pubblico Cloudflare hanno reso accessibile l’architettura interna di uno dei modelli AI più diffusi al mondo. Per le organizzazioni che integrano Claude Code nei propri workflow di sviluppo, il caso pone un tema di sicurezza della catena di fornitura che non può essere liquidato come problema di Anthropic: chi usa componenti di terze parti nei propri sistemi eredita anche i rischi di una governance insufficiente sui processi di rilascio del fornitore.
La terza questione riguarda la reputazione e le conseguenze regolamentari. Tutto questo accade mentre Anthropic si starebbe preparando alla quotazione in borsa, un’operazione che richiede fiducia, solidità e una reputazione impeccabile. In un contesto in cui l’AI Act europeo impone obblighi di documentazione tecnica e trasparenza sui sistemi ad alto rischio, incidenti ripetuti di questo tipo alimentano dubbi sulla maturità dei processi interni di un’azienda che ha costruito il proprio posizionamento proprio sulla sicurezza dell’intelligenza artificiale.
Conclusioni
La dichiarazione di Anthropic — errore umano, nessun dato compromesso, misure correttive in corso — è tecnicamente corretta. Ma la distinzione tra errore operativo e breach, per quanto legittima sul piano tecnico, non riduce la rilevanza del caso. Un processo di build che per la seconda volta in tredici mesi include in produzione artefatti di debug contenenti codice proprietario non è un problema di singolo individuo. È un problema di governance. E per un’azienda che aspira a definire gli standard di sicurezza dell’intelligenza artificiale, è esattamente il tipo di problema che non dovrebbe verificarsi una volta, figurarsi due.
