Anthropic พลาดปล่อยซอร์สโค้ด Claude Code เผยความลับที่ทำให้เก่งเหนือค่ายอื่น

ทำเอาโลก AI และวงการนักพัฒนาตื่นตัวไปทั่ว เมื่อนักพัฒนาของ Anthropic ผู้สร้าง Claude เผลอปล่อยซอร์สโค้ดของเครื่องมือช่วยเขียนโค้ดยอดฮิตอย่าง Claude Code หลุดมาทั้งหมดผ่าน npm package กว่า 5 แสนบรรทัด ซึ่งโค้ดเหล่านี้มีทั้งความลับที่ทำให้ Claude Code เก่งเหนือกว่าค่ายอื่น และแผนการพัฒนาในอนาคต

โค้ดชุดนี้ถูกพบเมื่อวันที่ 31 มีนาคม 2569 โดย Chaofan Shou นักวิจัยด้านความปลอดภัยทางไซเบอร์ ซึ่งหลังจากที่เขาเผยแพร่เรื่องนี้ออกไป ซอร์สโค้ดของ Claude Code ก็ถูกอัปขึ้น GitHub อย่างรวดเร็ว และถูกนำไป Fork ต่อมากกว่า 41,500 ครั้ง สร้างความเสียหายต่อ Anthropic ครั้งใหญ่ แต่ก็กลายเป็นขุมทรัพย์ความรู้ของเหล่านักพัฒนาและชุมชนความปลอดภัยทางไซเบอร์ไปโดยปริยาย

ต้นตอการหลุด

อ้างอิงจากข้อมูลบน GitHub การหลุดครั้งนี้เกิดจากการที่ npm package ของ Claude Code มีการแนบไฟล์ Map หรือไฟล์ที่ใช้เชื่อมโยงโค้ดที่ถูกรวมหรือ Bundle แล้ว กลับไปยังซอร์สโค้ดต้นฉบับเพื่อการดีบัก ติดมาด้วย ซึ่งภายในไฟล์ Map นั้นมีลิงก์อ้างอิงไปยังซอร์สโค้ด TypeScript ที่ไม่ได้ถูกเข้ารหัส (Unobfuscated)

ลิงก์ดังกล่าวชี้ไปยังไฟล์ Zip ที่ฝากไว้บน Cloudflare R2 Storage Bucket ของ Anthropic ทำให้ Shou และนักพัฒนาคนอื่นๆ สามารถดาวน์โหลดและแตกไฟล์ออกมาดูได้อย่างอิสระ

ภายในไฟล์ Zip ที่หลุดออกมานั้นเต็มไปด้วยข้อมูลสำคัญมากมาย เช่น:

• ไฟล์ TypeScript ประมาณ 1,900 ไฟล์
• โค้ดความยาวมากกว่า 512,000 บรรทัด
• ไลบรารีของ Slash commands และ Built-in tools แบบครบชุด

แม้ก่อนหน้านี้ Claude Code จะเคยถูกทำ Reverse Engineer จนมีเว็บไซต์ที่รวบรวมข้อมูลลับของตัวแอป (CCLeaks) มาบ้างแล้ว แต่การหลุดครั้งนี้ถือเป็นการเปิดเผยโค้ดของจริงจากหลังบ้านโดยตรง ซึ่งก็ทำให้นักพัฒนาได้เข้าใจความลับของ Claude Code ว่าทำไมถึงเขียนโค้ดได้เก่งกว่าค่ายอื่น ๆ และอาจได้ขุดพบความลับใหม่ๆ ที่ซ่อนอยู่

เคสนี้เป็นอุทาหรณ์นักพัฒนา

Gabriel Anhaia วิศวกรซอฟต์แวร์ที่เข้าไปเจาะลึกโค้ดที่หลุดออกมา ระบุว่าเหตุการณ์นี้เป็นอุทาหรณ์สำหรับนักพัฒนาทุกคนให้กลับไปตรวจสอบ Build Pipeline ของตัวเองให้รัดกุม

แค่คุณตั้งค่าไฟล์ .npmignore หรือฟิลด์ files ใน package.json พลาดนิดเดียว มันก็สามารถเปิดเผยข้อมูลทุกอย่างของคุณได้แล้ว

โดยปกติแล้ว การพับบลิชไฟล์ Map ไปพร้อมกับโปรดักชันเป็นสิ่งที่ไม่ควรทำอย่างยิ่ง เพราะไฟล์เหล่านี้ถูกออกแบบมาเพื่อการดีบักและไม่มีความจำเป็นต่อการใช้งานจริง ที่สำคัญ มันสามารถกลายเป็นลายแทงชั้นดีที่นำไปสู่ซอร์สโค้ดต้นฉบับได้ดังที่เห็นในกรณีนี้

Anthropic ยอมรับเป็นความผิดพลาดของมนุษย์

ตัวแทนของ Anthropic ได้ออกมาชี้แจงผ่านอีเมลว่า เหตุการณ์ที่เกิดขึ้นเป็นความผิดพลาดของมนุษย์ ในขั้นตอนการรีลีสแพ็กเกจ ไม่ใช่การถูกเจาะระบบรักษาความปลอดภัยแต่อย่างใด

เราขอยืนยันว่าไม่มีข้อมูลหรือรหัสผ่านของลูกค้าหลุดออกไปในเหตุการณ์นี้ เรากำลังเร่งออกมาตรการป้องกันไม่ให้เกิดเหตุการณ์ลักษณะนี้ขึ้นอีก

ล่าสุด ผู้ที่อัปโหลดซอร์สโค้ดต้นฉบับลงบน GitHub เป็นคนแรก ได้ทำการดัดแปลง Repository ดังกล่าวให้กลายเป็นโปรเจกต์พอร์ตฟีเจอร์ของ Claude Code ด้วยภาษา Python แทน เพื่อหลีกเลี่ยงปัญหาด้านลิขสิทธิ์และข้อกฎหมายกับทาง Anthropic อย่างไรก็ตาม โค้ดต้นฉบับก็ยังคงถูกกระจายผ่าน Fork และ Mirror ต่างๆ อยู่ทั่วอินเทอร์เน็ตสำหรับผู้ที่ต้องการเข้าไปศึกษา

ทาง Anthropic ยังปฏิเสธที่จะให้ความเห็นเพิ่มเติมว่า จะมีการดำเนินการร้องขอให้ลบซอร์สโค้ดที่ถูกทำซ้ำบนแพลตฟอร์มอื่นๆ ออกหรือไม่

ที่มา: The Register

เอกพล ชูเชิด

บรรณาธิการ CEEi ดูแลเนื้อหาด้านเทคโนโลยี Gadget ทุกประเภท