Exposição acidental do código fonte do Claude

A Anthropic divulgou que um erro de embalagem por parte de um funcionário resultou na exposição não intencional do código fonte do Claude por meio de um arquivo de mapa incluído no pacote npm da ferramenta. O arquivo de mapa fazia referência a um arquivo de fonte TypeScript não ofuscado armazenado no bucket Cloudflare R2 da Anthropic. Esse arquivo continha aproximadamente 1.900 arquivos TypeScript e mais de 500.000 linhas de código, fornecendo uma visão abrangente das bibliotecas internas e ferramentas integradas do assistente de codificação de IA.

Resposta e impacto

A Anthropic emitiu uma declaração confirmando que o vazamento não envolveu nenhum dado ou credencial de cliente sensível. A empresa caracterizou o evento como um problema de embalagem devido a um erro humano, e não como uma violação maliciosa. Para mitigar riscos futuros, a Anthropic afirmou que está implementando medidas adicionais para prevenir erros de embalagem semelhantes.

Após a descoberta, os arquivos vazados foram rapidamente espelhados no GitHub, onde acumularam milhares de forks. A replicação rápida destacou o alto interesse no Claude e a velocidade com que a comunidade de desenvolvedores responde a tais exposições.

Contexto de preocupações de segurança recentes

O vazamento ocorreu em meio a uma série de discussões de segurança recentes em torno do Claude. Nas semanas precedentes, pesquisadores relataram múltiplas vulnerabilidades, incluindo uma falha na extensão do Chrome que permitia ataques de zero cliques e um conjunto de três problemas apelidados de "Cloudy Day" que formavam uma cadeia de ataques completa para exfiltração de dados. Outra vulnerabilidade, referida como "ShadowPrompt", também foi destacada por seu potencial de expor informações sensíveis.

Esses incidentes de segurança coincidiram com a crescente demanda pelo Claude, levando a Anthropic a ajustar os limites de uso durante períodos de pico. A empresa anunciou a limitação temporária dos limites de sessão para assinaturas gratuitas, Pro e Max para gerenciar a carga, enquanto os limites semanais permaneceram inalterados.

Reação da indústria

A comunidade de desenvolvedores e segurança reagiu prontamente, discutindo o vazamento e as implicações mais amplas para a segurança de ferramentas de IA em plataformas como Reddit e X. Comentadores notaram a tensão entre a rápida implantação de recursos e a necessidade de práticas de segurança robustas. Enquanto alguns usuários expressaram preocupação com a exposição, outros se concentraram na conversa mais ampla sobre desenvolvimento de IA responsável e a importância de proteger ativos de código.

O reconhecimento da Anthropic do incidente e seu compromisso com ações corretivas destacam os desafios enfrentados por empresas focadas em IA ao equilibrar a velocidade de inovação com a diligência de segurança.

Usado: News Factory APP - descoberta e automação de notícias - ChatGPT para Empresas