Punti chiave
Il codice sorgente di Claude Code è stato accidentalmente esposto tramite npm: ecco cosa è emerso sulle funzioni nascoste, sugli agenti autonomi e sull’architettura interna di Anthropic.
Il giro di valzer tra bug e sicurezza
All’alba del 31 marzo 2026 il mondo dell’AI assistita per lo sviluppo software si è svegliato con una notizia che suona più da thriller cyber che da semplice aggiornamento tecnico. Anthropic, il laboratorio dietro Claude, ha accidentalmente esposto il codice sorgente completo del tool Claude Code, il suo assistente di programmazione basato su modello linguistico, tramite un errore di packaging su npm, il registro ufficiale dei pacchetti Node.js. Secondo le ricostruzioni circolate nelle ore successive, il materiale trapelato comprende oltre 512.000 righe di codice TypeScript distribuite in circa 1.900 file, tutti provenienti dalla versione 2.1.88 del pacchetto @anthropic-ai/claude-code. Questo incidente non è solo un semplice errore di compilazione: è un punto di svolta che mette a nudo architetture, funzioni future e segreti interni di una delle piattaforme AI più osservate del momento.
Il problema sarebbe nato da una source map rimasta inclusa nel pacchetto, un file che di norma serve a collegare il codice minificato eseguito in produzione al sorgente originale leggibile dagli sviluppatori. In circostanze normali, questi file non vengono distribuiti pubblicamente proprio perché consentono di ricostruire il codice in modo quasi perfetto. In questo caso, però, quel file avrebbe puntato a un archivio ZIP ospitato su uno storage Cloudflare R2 di Anthropic, archivio che è stato scaricato e poi diffuso in tempi rapidissimi, fino a comparire in varie copie pubbliche online.
Il dato più importante per chi segue la vicenda da un punto di vista tecnico è che il leak non coinvolge pesi dei modelli né dati personali degli utenti. Il materiale trapelato riguarda quasi esclusivamente il codice lato client della CLI di Claude Code, cioè la parte che gira sulle macchine locali degli sviluppatori, non il cuore del modello di linguaggio o i database interni delle conversazioni. Resta però esposto un dettaglio imbarazzante: Anthropic aveva già affrontato un incidente simile nel 2025, quando altro codice interno era stato reso pubblico, e la ricomparsa dello stesso tipo di problema nel 2026 alimenta dubbi sulle procedure di rilascio del laboratorio.
Cosa c’è realmente dentro il codice trapelato
Una volta che il pacchetto è stato de-minificato e ricostruito, la comunità degli sviluppatori ha iniziato a scoprire strato dopo strato le funzioni nascoste. Il dettaglio più interessante è la presenza di 44 feature flag, cioè interruttori software che attivano o disattivano funzioni non ancora pubbliche. Questi flag non sembrano semplici abbozzi di idee, ma sistemi già implementati e soltanto tenuti nascosti al grande pubblico.
Tra le funzioni più citate figurano un’architettura multi-agente in cui un Claude principale orchestra più Claude secondari con toolset limitati, una struttura che ricorda da vicino i flussi di lavoro usati nei framework più avanzati di automazione. Altri flag lasciano intravedere agenti in esecuzione 24 ore su 24, 7 giorni su 7, collegati a webhook GitHub e capaci di eseguire azioni a orari predefiniti tramite cron, quasi come un sistema che resta attivo in background e interviene da solo quando viene attivato da certi eventi. C’è anche una modalità di controllo browser completo tramite Playwright, non solo il semplice recupero di pagine web, il che significa che Claude Code era stato progettato per interagire con il browser in modo molto più profondo di quanto comunicato ufficialmente.
Altre parti del codice rivelano una modalità vocale integrata, agenti in grado di “dormire” e poi riprendere il lavoro autonomamente, e una memoria persistente tra sessioni che non richiede necessariamente un backend esterno. Se attivate, queste funzioni trasformerebbero Claude Code da semplice assistente da riga di comando a un vero agente autonomo capace di pianificare, delegare compiti, monitorare repository e risvegliarsi per completare lavori iniziati giorni prima. In un solo errore di packaging, quindi, sono emersi molti dei meccanismi su cui Anthropic sta evidentemente costruendo il futuro dei suoi strumenti per sviluppatori.
La “pet” Tamagotchi e l’Undercover Mode
Oltre agli aspetti puramente tecnici, una parte del fascino del leak sta nei dettagli più curiosi emersi dalle stringhe e dai commenti interni trovati nel codice. Dalle ricostruzioni circolate online emerge una sorta di “pet” Tamagotchi collegato all’esperienza di Claude Code, un sottosistema che sembra simulare un compagno virtuale o un elemento di interazione più giocoso. Non è chiaro se questo elemento sia nato come scherzo interno o come prototipo di una relazione più umanizzata tra utente e AI, ma il fatto che compaia nel codice suggerisce che Anthropic stia esplorando interfacce molto più narrative rispetto ai tradizionali assistenti da terminale.
Ancora più ironico è il modulo chiamato Undercover Mode. Questo sistema è progettato per evitare che Claude Code, quando contribuisce a repository open source, riveli accidentalmente progetti interni, codici di modello o perfino il fatto stesso di essere un’intelligenza artificiale. Le istruzioni interne indicano che, in questa modalità, il sistema deve rimuovere ogni riferimento a nomi di modelli, versioni non rilasciate, progetti segreti e persino alla denominazione stessa del prodotto. In pratica, Anthropic aveva costruito un sistema sofisticato per nascondere la presenza dell’AI nel codice pubblico, ma l’intero meccanismo è finito in bella vista insieme al resto del sorgente.
Impatto competitivo e rischio reputazionale
Dal punto di vista industriale, questo leak è un regalo imbarazzante per i concorrenti di Anthropic. Sebbene il codice sia legato soprattutto alla CLI di Claude Code e non al modello di linguaggio in sé, fornisce una mappa dettagliata di come Anthropic sta costruendo agenti, sistemi di orchestrazione, pipeline di sicurezza e integrazioni con GitHub e altri servizi cloud. Chi sviluppa prodotti concorrenti può ora osservare da vicino scelte di architettura che normalmente richiederebbero mesi di reverse engineering.
Inoltre, alcune analisi tecniche hanno segnalato la presenza di meccanismi di controllo remoto, logiche di telemetria e sistemi di gestione delle impostazioni che mostrano quanto sia articolata la macchina interna di Claude Code. Questo significa che, oltre alla parte più visibile e utile del tool, è stata esposta anche la parte che regola monitoraggio, gestione delle funzioni e possibili interventi di emergenza. Per gli sviluppatori che usano strumenti di questo tipo, la vicenda è una finestra inattesa su ciò che davvero gira sulle loro macchine, con implicazioni concrete anche sul fronte della privacy e del controllo delle proprie pipeline di lavoro.
Una conseguenza già evidente è che il codice è stato rapidamente ricostruito o portato in altri linguaggi, in particolare in Python, per aggirare eventuali questioni di licenza e copyright legate al progetto originale. Nei forum e nei video tecnici pubblicati nelle ore successive, alcuni programmatori hanno mostrato come replicare concetti simili a quelli di Claude Code usando componenti open source, accelerando di fatto la nascita di alternative più aperte e meno dipendenti da stack proprietari.
Anthropic ha reagito rapidamente rimuovendo la versione incriminata del pacchetto, ma il danno in termini di reputazione e di esposizione tecnica era ormai fatto. L’azienda ha presentato l’incidente come un errore di rilascio e non come una violazione di sicurezza vera e propria, sottolineando che non sarebbero stati coinvolti dati sensibili dei clienti. Tuttavia, la ripetizione di un problema simile in meno di un anno mette sotto pressione la narrativa di un laboratorio sempre attento alla sicurezza e alla responsabilità.
Per la comunità sviluppatrice, l’episodio è allo stesso tempo un’opportunità e un avvertimento. Da un lato, avere accesso a un codice così complesso e avanzato permette di osservare da vicino pratiche di design, orchestrazione di agenti e integrazione dell’AI nei flussi di lavoro reali. Dall’altro, mostra quanto sia fragile il confine tra un prodotto sofisticato e una black box che può diventare fin troppo trasparente se i processi di rilascio non sono blindati. Questo leak potrebbe spingere molte aziende del settore a rivedere con più attenzione build, obfuscation e audit interni.
Cosa significa per il futuro dell’AI assistita allo sviluppo
Il leak di Claude Code arriva in un momento in cui il mercato degli AI coding assistant è già affollato da strumenti come GitHub Copilot, Cursor, Windsurf e altri agenti autonomi che promettono di automatizzare parte del lavoro dei programmatori. Con questo incidente, Anthropic ha probabilmente regalato a concorrenti e community open source una sorta di blueprint delle sue strategie più avanzate, accelerando la corsa verso strumenti più autonomi, persistenti e integrati nei workflow degli sviluppatori.
Per chi scrive codice, il messaggio è duplice: da un lato, la trasparenza involontaria offre una rara occasione per capire come sia costruito uno strumento di fascia alta; dall’altro, ricorda che affidarsi a un tool proprietario non significa avere una scatola sicura, ma solo una scatola che, se gestita male, può aprirsi nel momento meno opportuno. In un settore in cui la differenza tra vincitori e inseguitori si misura spesso in architetture, ottimizzazioni e capacità di integrazione, un leak di questa portata modifica la partita in modo profondo. Non sarà probabilmente l’ultimo caso in cui un errore di packaging trasforma un rilascio tecnico in una lezione globale di cybersecurity e di trasparenza indesiderata.
