Anthropic astăzi și-a împachetat sursa Claude Code și a trimis-o în pachet npm întregii lumi.
Nu este vorba de hackeri, ci de o eroare umană. 59.8MB de hartă sursă, 510.000 de linii TypeScript, în câteva ore a fost fork-uită peste tot, DMCA nu poate ține pasul.
Prima mea reacție când am văzut această știre nu a fost să mă uit la sursă,
ci să deschid pagina $SIGN .
Pentru că această situație scoate în evidență o întrebare foarte clară:
Când faci npm install, de ce ai încredere în acel pachet?
Numele pachetului este corect, numărul versiunii este corect, editorul este corect—dar aceste "corecte" nu au fost niciodată susținute de o dovadă independentă, verificabilă pe lanț care să-ți spună "acest pachet, în acest moment, conținutul este curat".
În aceeași zi, pachetul axios a fost, de asemenea, preluat în mod malițios, cele două evenimente s-au întâmplat simultan, arătând cât de fragilă este structura de încredere a lanțului de aprovizionare software.
@SignOfficial a realizat o atestare, care se potrivește perfect în acest context: editorul face o dovadă pe lanț pentru conținutul versiunii, utilizatorul verifică independent înainte de instalare, dacă conținutul nu este corect, se întrerupe și se dă alarmă.
Nu înseamnă că mâine SIGN va exploda din cauza asta—piața nu reacționează atât de repede.
Este vorba că logica mea a primit un alt punct de ancorare în realitate.
Pe hârtie, încă pierd, poziția nu s-a schimbat, continui să aștept🙃