ملاحظة من المؤلف: تحليل معمق لحادثة تسريب 512 ألف سطر من الكود المصدري لـ Claude Code في 31 مارس 2026 عبر خرائط المصدر (source map) في npm: ماذا تم تسريبه، نموذج Capybara الخفي ووضع التخفي (Undercover Mode)، وتأثير ذلك على الشركات الناشئة في مجال وكلاء الذكاء الاصطناعي (AI Agent).
في 31 مارس 2026، أدى خطأ في إعدادات البناء إلى واحدة من أكبر عمليات "الفتح المصدري غير المقصود" في صناعة الذكاء الاصطناعي، حيث تم تسريب 512 ألف سطر من الكود المصدري لـ Claude Code الخاص بشركة Anthropic بالكامل عبر ملفات خرائط المصدر (source map) في npm، مما أدى إلى كشف 1900 ملف بالكامل. كان الباحث الأمني Chaofan Shou أول من اكتشف الأمر ونشره، وفي غضون ساعات، أنشأ المجتمع عدة نسخ (mirrors) على GitHub، تجاوزت الآن 1100 نجمة. ومن المفارقات أن الكود يحتوي على نظام فرعي يسمى "وضع التخفي" (Undercover Mode) – مصمم خصيصاً لمنع تسريب المعلومات الداخلية – لينتهي الأمر بالنظام بأكمله مسرباً.
سيتناول هذا المقال محتويات هذا التسريب، وتأثيره على الشركات الناشئة في مجال وكلاء الذكاء الاصطناعي، ولماذا قد يؤدي هذا "الفتح المصدري غير المقصود" إلى دفع عجلة تطوير الصناعة بدلاً من إعاقتها.
القيمة الجوهرية: فهم التصميم المعماري الداخلي لـ Claude Code، والوظائف المخفية، والممارسات الهندسية، وتقييم تأثير هذا التسريب على صناعة وكلاء الذكاء الاصطناعي.
حقائق الحدث الجوهرية
| البند | التفاصيل |
|---|---|
| تاريخ التسريب | 31 مارس 2026 |
| المكتشف | الباحث الأمني Chaofan Shou |
| طريقة التسريب | حزمة npm الإصدار v2.1.88 احتوت على ملفات .map بحجم 57 ميجابايت |
| حجم التسريب | 1,906 ملف، وأكثر من 512,000 سطر من كود TypeScript |
| سبب التسريب | عدم استبعاد ملفات .map في .npmignore + قيام Bun بتوليد خرائط المصدر (source map) افتراضياً |
| هل هي المرة الأولى؟ | لا، حدث أمر مشابه في فبراير 2025 (هذه هي المرة الثانية) |
| رد فعل Anthropic | إطلاق إصدار جديد فوراً لحذف ملفات .map، وإزالة الإصدار القديم من npm |
| رد فعل المجتمع | إنشاء أكثر من 3 مستودعات مرآة (Mirror) على GitHub، مع أكثر من 1,100 نجمة |
ماذا تم تسريبه: 3 اكتشافات مثيرة
الاكتشاف الأول: عائلة نماذج Capybara الغامضة
ظهر في الكود اسم رمزي لنموذج لم يُعلن عنه من قبل وهو Capybara، وينقسم إلى ثلاث فئات:
| الاسم الرمزي للنموذج | التموضع المتوقع |
|---|---|
capybara |
الإصدار القياسي (ربما يكون الجيل القادم من Claude) |
capybara-fast |
الإصدار السريع (مشابه لتموضع Flash/Haiku) |
capybara-fast[1m] |
إصدار سريع + نافذة سياق بحجم 1 مليون رمز |
يتكهن المجتمع بأن Capybara قد يكون الاسم الرمزي الداخلي لسلسلة Claude 5، لكن شركة Anthropic لم تعلق على ذلك.
الاكتشاف الثاني: وضع التخفي (Undercover Mode)
هذا هو الاكتشاف الأكثر إثارة للجدل. يحتوي الكود على نظام فرعي متكامل يسمى "Undercover Mode"، حيث ينص الموجه الخاص به بوضوح على:
"أنت تعمل في وضع التخفي (UNDERCOVER)… يجب ألا تحتوي رسائل الالتزام (commit messages) الخاصة بك… على أي معلومات داخلية خاصة بـ Anthropic. لا تكشف عن هويتك."
الترجمة: تقوم Anthropic باستخدام Claude Code للمساهمة في مشاريع مفتوحة المصدر بشكل مجهول، وقد صممت وضعاً خاصاً لإخفاء هويتها كشركة Anthropic.
وقد أثار هذا نقاشاً حاداً في مجتمع المصادر المفتوحة: هل يُعد قيام شركات الذكاء الاصطناعي بتقديم كود مولد بواسطة الذكاء الاصطناعي للمشاريع المفتوحة المصدر بشكل مجهول نوعاً من "الخداع" للمجتمع؟
الاكتشاف الثالث: الحيوان الأليف الافتراضي /buddy
يحتوي الكود على نظام متكامل لحيوان أليف افتراضي (Tamagotchi)؛ حيث يمكن لأمر /buddy استدعاء حيوان أليف يعمل بالذكاء الاصطناعي، يمتلك أنواعاً، ودرجات ندرة، وخصائص، وقبعات وإكسسوارات، وتأثيرات حركية. وهذا يشير إلى أن الثقافة الهندسية داخل Anthropic ممتعة للغاية، حيث قاموا بإخفاء لعبة تربية حيوانات أليفة داخل أداة برمجية جادة.
البنية الهندسية المسربة: كيف يتم بناء وكلاء الذكاء الاصطناعي على مستوى الصناعة
بعيداً عن الإشاعات، الجزء الأكثر قيمة في هذا التسريب هو البنية الهندسية لـ Claude Code، وهي أول قاعدة برمجية لوكيل ذكاء اصطناعي (AI Agent) بمستوى إنتاجي يتم الكشف عنها بالكامل على مستوى العالم.
أبرز ملامح البنية الأساسية
| مكون البنية | تفاصيل التنفيذ المسربة | القيمة الصناعية |
|---|---|---|
| نظام تنفيذ الأدوات | التنفيذ الكامل لـ Bash/ملفات IO/استخدام الحاسوب | كيف ينفذ وكيل الذكاء الاصطناعي أوامر النظام بأمان |
| الأذونات وسير الموافقة | آليات تجاوز الأذونات متعددة الطبقات وعمليات الموافقة | تصميم الحدود الأمنية للوكلاء على مستوى الإنتاج |
| القياس عن بُعد والمراقبة | خط أنابيب كامل لجمع البيانات وتحليلها | كيفية مراقبة سلوك وأداء الوكيل |
| ضغط السياق | منطق تنفيذ ضغط السياق (Context Compaction) | استراتيجيات إدارة السياق للمحادثات الطويلة جداً |
| الموجهات النظامية | جميع موجهات النظام المتعلقة بالأمان | كيفية تقييد سلوك الوكيل باستخدام الموجهات |
| اتصال IPC | بروتوكول الاتصال بين العمليات | الممارسات الهندسية لتنسيق الوكلاء المتعددين |
| أعلام الميزات (Feature Flag) | قائمة كاملة بـ 44 مفتاحاً للميزات | خارطة طريق منتجات Anthropic |
| آلية الحماية (Sandbox) | تنفيذ العزل لتشغيل الكود | أفضل الممارسات للتنفيذ الآمن للوكلاء |
لماذا قد يدفع هذا "الانفتاح غير المقصود" عجلة تطور الصناعة
دروس في الممارسات الهندسية من واقع التسريب
قبل هذا التسريب، لم تكن هناك إجابة علنية حول "كيف ينبغي بناء وكيل ذكاء اصطناعي (AI Agent) بمستوى إنتاجي". يُعد Claude Code الوكيل البرمجي الأول في تصنيف Arena Code، وتُعتبر سطوره البرمجية البالغ عددها 512 ألف سطر كتاباً مدرسياً متكاملاً لأفضل الممارسات في الصناعة.
| الممارسة الهندسية | نهج Claude Code | الإلهام للصناعة |
|---|---|---|
| التنفيذ الآمن للأدوات | بيئة معزولة (Sandbox) متعددة الطبقات + موافقة على الأذونات + قائمة بيضاء للأوامر | يجب أن يكون لوكيل الذكاء الاصطناعي حدود أمان عند تنفيذ الأوامر |
| إدارة السياق | ضغط تلقائي للسياق (Context Compaction) | الجلسات الطويلة تتطلب استراتيجيات استباقية لإدارة السياق |
| مفاتيح الميزات (Feature Flag) | 44 مفتاحاً وظيفياً، مع طرح تدريجي | وكلاء الذكاء الاصطناعي الكبار يحتاجون إلى تحكم دقيق في الإصدارات |
| تصميم القياس عن بُعد | خط أنابيب كامل لجمع وتحليل السلوك | قابلية مراقبة سلوك الوكيل أمر بالغ الأهمية |
| تنسيق الوكلاء المتعددين | اتصال بين العمليات (IPC) + رسائل مهيكلة | معايير اتصال لأنظمة الوكلاء المتعددين |
| هندسة الموجهات النظامية | موجهات أمان هرمية + قيود الأدوار | أنماط تصميم للموجهات (Prompts) بمستوى إنتاجي |
التأثير الملموس على الشركات الناشئة في مجال وكلاء الذكاء الاصطناعي
التأثير الأول: خفض العوائق التقنية
سابقاً، كان بناء وكيل ذكاء اصطناعي بمستوى إنتاجي يتطلب استكشافاً ذاتياً من الصفر لمسائل جوهرية مثل حدود الأمان، وأنظمة الأذونات، وإدارة السياق. الآن، بوجود المرجع الكامل لـ Claude Code، يمكن للفرق الناشئة التعلم مباشرة (أو حتى الاسترشاد بأنماط التصميم المعماري)، مما يقلص الوقت اللازم للانتقال من الصفر إلى الواحد بشكل كبير.
التأثير الثاني: تحول تركيز المنافسة
عندما لا تعود البنية التحتية سراً، سينتقل التمايز بين وكلاء الذكاء الاصطناعي من "كيفية البناء" إلى "أي نموذج نستخدم" و"مدى جودة التجربة". ستصبح قدرات النماذج (مثل المقارنة بين Claude Opus 4.6 و GPT-5.4) وتجربة المستخدم هي القوة التنافسية الأساسية—وهذا هو السبب في زيادة قيمة منصات وسيط النماذج مثل APIYI (apiyi.com).
التأثير الثالث: تسريع منظومة الوكلاء مفتوحة المصدر
تم استخدام الكود المُسرب من قبل المجتمع في عدة اتجاهات:
- مشروع
claw-codeالذي يعيد كتابة المنطق الأساسي لـ Claude Code باستخدام لغة Rust. - العديد من مستودعات GitHub التي تعمل على تحليل البنية التحتية وإنشاء وثائق تعليمية.
- باحثو الأمن الذين يحللون طرق تجاوز الأذونات والثغرات المحتملة.
التأثير الرابع: وضع معايير الأمان
قد تصبح أنظمة الأذونات، وآليات البيئة المعزولة، وتصميم الموجهات الأمنية في Claude Code معياراً واقعياً لممارسات أمان وكلاء الذكاء الاصطناعي—لأنها التنفيذ الإنتاجي الوحيد الذي تم كشفه بالكامل حتى الآن.
دروس للمطورين
دروس في أمان التكوين (Configuration)
السبب التقني وراء هذا التسريب بسيط للغاية، وهو نسيان استبعاد ملفات .map في ملف .npmignore. هذا تذكير لكل فريق يقوم بنشر حزم npm:
# يجب تضمين هذه الملفات في .npmignore
*.map
*.js.map
*.d.ts.map
أو يمكنك التصريح صراحةً عن الملفات المطلوبة فقط في حقل files داخل ملف package.json، وهي طريقة أكثر أماناً من أسلوب الاستبعاد.
إذا كنت رائد أعمال في مجال وكلاء الذكاء الاصطناعي (AI Agent)
| ما يجب عليك فعله | السبب |
|---|---|
| دراسة نظام صلاحيات Claude Code | هو التطبيق الأكثر نضجاً في الصناعة لأمان الوكلاء |
| تعلم ضغط السياق (Context Compaction) | حلول إنتاجية لإدارة سياق المحادثات الطويلة |
| الاستفادة من تصميم مفاتيح الميزات (Feature Flag) | نظام إصدار تدريجي يضم 44 مفتاحاً |
| لا تنسخ الكود مباشرة | الكود المسرب محمي بحقوق الطبع والنشر، لكن يمكنك تعلم أنماط التصميم المعماري |
| متابعة نموذج Capybara | قد يشير إلى التوجه القادم لنموذج Claude |
إذا كنت مستخدماً لـ Claude Code
هذا التسريب لا يؤثر على تجربة استخدامك؛ فقدرات Claude Code الأساسية تأتي من نموذج Claude Opus 4.6 في الخلفية، وليس من كود العميل (Client Code). ولكن يجب عليك الانتباه لما يلي:
- التحديث إلى أحدث إصدار—لقد قامت Anthropic بدفع التحديثات الأمنية اللازمة.
- نموذج Capybara—قد يكون هو النموذج الجديد القادم.
- 44 مفتاح ميزات (Feature Flag)—مما يشير إلى أن العديد من الميزات الجديدة ستطلق قريباً.
🎯 رؤية صناعية: هذا التسريب سلبي على المدى القصير لشركة Anthropic (كشف أسرار تجارية، تضرر الثقة)، لكنه إيجابي على المدى الطويل لصناعة وكلاء الذكاء الاصطناعي؛ تماماً كما دفع نظام Android مفتوح المصدر عجلة النظام البيئي للهواتف المحمولة، قد يصبح تسريب كود Claude Code "معياراً صناعياً" لممارسات هندسة وكلاء الذكاء الاصطناعي.
سواء كنت تستخدم Claude Code أو أدوات وكلاء ذكاء اصطناعي أخرى، يمكنك إدارة استدعاءات النماذج مركزياً عبر APIYI (apiyi.com) بخصم 20%.
الأسئلة الشائعة
س1: هل يؤثر هذا التسريب على أمان Claude Code؟
تسريب كود العميل لا يعني اختراق الخادم. الأمان الأساسي لـ Claude Code (استنتاج النموذج، مصادقة API، تشفير نقل البيانات) يقع في خوادم Anthropic، وهذا الجزء لم يتسرب. ومع ذلك، بعد كشف منطق تجاوز الصلاحيات والموجهات الأمنية (Security Prompts) في العميل، قد يتم استغلالها نظرياً لتقليل الحماية المحلية. يُنصح بالتحديث إلى أحدث إصدار فوراً.
س2: هل Capybara هو Claude 5؟
هذه تكهنات مجتمعية لم تؤكدها Anthropic. ظهرت في الكود ثلاثة أسماء رمزية للنماذج: capybara، وcapybara-fast، وcapybara-fast[1m]، مما يوحي بأنها عائلة نماذج متكاملة (نسخة قياسية + نسخة سريعة + نسخة ذات سياق كبير). بناءً على نمط التسمية، قد تستخدم Anthropic أسماء حيوانات داخلياً لتسمية سلاسل النماذج الجديدة. المعلومات الدقيقة تتطلب انتظار إعلان رسمي من Anthropic.
س3: ماذا يعني وضع التخفي (Undercover Mode)؟
يشير وضع التخفي إلى أن Anthropic تستخدم Claude Code للمساهمة في مشاريع مفتوحة المصدر دون الكشف عن هويتها. الموجهات النظامية تطلب من Claude "عدم الكشف عن كونه تابعاً لـ Anthropic". أثار هذا نقاشاً أخلاقياً: هل يُعد استخدام شركات الذكاء الاصطناعي لأدواتها للمساهمة في مشاريع مفتوحة المصدر خرقاً لالتزامات الشفافية تجاه مجتمع المصادر المفتوحة؟ لا يوجد إجماع صناعي حول هذا حتى الآن.
س4: هل يمكنني بناء منتج بناءً على الكود المسرب؟
قانونياً، لا يُنصح بذلك. الكود المسرب لا يزال محمياً بحقوق الطبع والنشر لشركة Anthropic؛ فـ "الكشف غير المقصود" لا يعني "ترخيصاً مفتوح المصدر". يمكنك تعلم أنماط التصميم المعماري والممارسات الهندسية (وهذا يقع في نطاق "الأفكار")، ولكن لا يمكنك نسخ الكود مباشرة إلى منتجك. هناك بالفعل من يقوم بإعادة كتابة المشروع باستخدام لغة Rust (مثل مشروع claw-code)، وهذا النوع من "إعادة التنفيذ في بيئة نظيفة" (clean-room re-implementation) أكثر أماناً من الناحية القانونية.
ملخص
النقاط الجوهرية لحادثة تسريب الكود المصدري لـ Claude Code:
- الحدث ذاته: في 31 مارس 2026، تم تسريب 512 ألف سطر من كود TypeScript المصدري عن طريق الخطأ عبر خرائط المصدر (source maps) في npm. السبب هو نسيان استبعاد ملفات .map في ملف .npmignore، وهي المرة الثانية التي يقع فيها حادث مشابه.
- ثلاثة اكتشافات مثيرة: عائلة نماذج Capybara الجديدة والغامضة، ووضع "Undercover Mode" للمساهمة الخفية في المشاريع مفتوحة المصدر، ونظام الحيوانات الأليفة الافتراضية /buddy.
- التأثير على الصناعة: تأثير سلبي قصير المدى على Anthropic (كشف أسرار تجارية)، وتأثير إيجابي طويل المدى على الصناعة؛ حيث يُعد أول مرجع كامل لهيكلية وكيل ذكاء اصطناعي (AI Agent) بمستوى إنتاجي، وقد يدفع عجلة تطوير النظام البيئي تماماً كما فعل نظام أندرويد عند فتحه للمصدر.
نوصي باستخدام خدمة APIYI عبر apiyi.com للحصول على خصم 20% عند استدعاء نموذج Claude Opus 4.6 وغيره من نماذج الذكاء الاصطناعي؛ فمهما تغيرت ظروف الصناعة، تظل قدرات النماذج الأساسية هي جوهر التنافسية.
📚 المراجع
-
VentureBeat: تقرير حول تسريب الكود المصدري لـ Claude Code: التقرير الموثوق للحادثة.
- الرابط:
venturebeat.com/technology/claude-codes-source-code-appears-to-have-leaked-heres-what-we-know - ملاحظة: يحتوي على تفاصيل التسريب ورد فعل Anthropic.
- الرابط:
-
مستودع GitHub المرآة: نسخة احتياطية وتحليلات مجتمعية للكود المسرب.
- الرابط:
github.com/Kuberwastaken/claude-code - ملاحظة: يحتوي على الكود المصدري الكامل ووثائق تحليل الهيكلية.
- الرابط:
-
تحليل تقني من مجتمع DEV: قراءة تقنية للكود المسرب.
- الرابط:
dev.to/gabrielanhaia/claude-codes-entire-source-code-was-just-leaked-via-npm-source-maps-heres-whats-inside-cjo - ملاحظة: يتضمن الاكتشافات الرئيسية وتحليلاً للممارسات الهندسية.
- الرابط:
-
مركز توثيق APIYI: الوصول إلى API لنموذج Claude Opus 4.6 بخصم 20%.
- الرابط:
docs.apiyi.com - ملاحظة: قدرات النموذج الأساسية هي جوهر وكيل الذكاء الاصطناعي، احصل عليها بأفضل سعر عبر APIYI.
- الرابط:
الكاتب: فريق APIYI التقني
تبادل تقني: نرحب بمناقشاتكم في قسم التعليقات، ولمزيد من المعلومات يمكنكم زيارة مركز توثيق APIYI عبر docs.apiyi.com.
