Kebocoran lebih dari setengah juta baris kode Claude Code memicu perdebatan baru tentang batas antara perlindungan hak cipta dan dugaan upaya menutup jejak digital. Isu ini mengemuka setelah Anthropic mengajukan klaim DMCA ke GitHub dan platform lain untuk menghapus salinan kode yang bocor.
Langkah itu memang menurunkan sekitar 100 repositori yang memuat kode bocor. Namun, laporan referensi juga menyebut lebih dari 8.100 repositori sah yang memakai basis kode resmi Anthropic ikut terhapus, sebelum perusahaan kemudian menarik sebagian tindakannya dan meminta maaf kepada para pengembang terdampak.
Mengapa respons Anthropic dipersoalkan
Secara formal, perusahaan teknologi berhak melindungi kekayaan intelektualnya saat terjadi kebocoran kode. Akan tetapi, kritik muncul karena skala penghapusan dinilai terlalu luas dan terjadi saat publik mulai menelaah isi teknis dari kode yang bocor.
Artikel referensi menilai pola ini membuat respons awal Anthropic terlihat bukan sekadar perlindungan hak cipta. Sebaliknya, tindakan agresif itu dipandang oleh sebagian pengamat sebagai upaya menghentikan analisis independen sebelum temuan sensitif menyebar lebih jauh.
Temuan yang paling kontroversial
Sejumlah analisis atas kode yang bocor mengarah pada empat isu utama. Temuan-temuan ini belum sama dengan putusan regulator atau pengadilan, tetapi cukup untuk memicu kekhawatiran soal transparansi dan tata kelola AI.
-
Analisis sentimen pengguna.
Kode disebut memiliki mekanisme untuk memindai prompt pengguna yang menunjukkan frustrasi, seperti ungkapan bernada kesal, lalu menyimpannya untuk analisis lanjutan. -
Penyembunyian identitas asal kode.
Beberapa fungsi diduga dirancang untuk menghapus penanda internal seperti nama “Claude Code” saat sistem bekerja pada proyek publik, sehingga hasilnya tampak sepenuhnya ditulis manusia. -
Otorisasi tindakan model lewat protokol “YOLO”.
Sistem yang disebut classifyYoloAction dilaporkan memberi ruang bagi AI untuk memutuskan sendiri apakah suatu tindakan bisa dilakukan tanpa meminta persetujuan pengguna pada setiap langkah. - Akses file lokal yang sangat luas.
Analisis struktur kode mengindikasikan Claude Code dapat membaca banyak file dalam direktori kerja lokal dan mengunggahnya ke cloud perusahaan.
Sorotan pada analisis sentimen
Scientific American, seperti dikutip dalam artikel referensi, melaporkan adanya mekanisme “sentiment analysis” di dalam Claude Code. Fitur ini disebut menandai prompt yang mengandung tanda frustrasi pengguna untuk disimpan dan ditelaah kemudian.
Dalam konteks pengembangan produk, analisis semacam ini bisa diposisikan sebagai pemantauan kualitas pengalaman pengguna. Namun, tanpa penjelasan yang sangat jelas soal cakupan data, dasar persetujuan, dan kebijakan retensi, praktik itu mudah dibaca sebagai bentuk pengawasan emosional.
Dugaan penyamaran jejak AI
Temuan lain yang paling sensitif menyangkut fungsi yang diduga menyembunyikan asal usul kode hasil generasi AI. Jika benar, penghapusan codename internal pada proyek publik akan menambah pertanyaan etik tentang keterlacakan kontribusi model dalam proses pengembangan perangkat lunak.
Masalah ini penting karena banyak organisasi kini menuntut audit trail yang jelas untuk kode yang dihasilkan AI. Transparansi asal kode juga relevan untuk kepatuhan keamanan, lisensi, dan investigasi jika muncul bug atau kerentanan.
Risiko dari protokol “YOLO”
Nama “YOLO” atau You Only Live Once menjadi perhatian karena terkesan bertentangan dengan prinsip kontrol berlapis dalam sistem aman. Menurut artikel referensi, AI menilai sendiri risiko suatu tindakan dan memutuskan apakah tindakan dapat dijalankan tanpa konsultasi tambahan kepada pengguna.
Bagi pendukung agen AI yang lebih otonom, pendekatan ini mungkin dianggap efisien. Namun, bagi komunitas keamanan, model yang memberi wewenang keputusan pada sistem itu sendiri dapat memperbesar peluang tindakan salah, terutama saat berhadapan dengan file penting, kredensial, atau infrastruktur produksi.
Isu privasi file lokal
Poin paling mengkhawatirkan datang dari dugaan cakupan akses file lokal. Peneliti keamanan “Antlers” mengatakan kepada The Register, “People don’t realize that every single file Claude looks at is uploaded to Anthropic. If the AI sees a file on your device, Anthropic possesses a copy.”
Pernyataan itu memperkuat kekhawatiran bahwa alat bantu pemrograman berbasis AI bukan hanya membaca konteks kerja, tetapi juga berpotensi mencerminkan lingkungan lokal pengguna ke server perusahaan. Jika akurat, implikasinya besar untuk rahasia dagang, data klien, dan materi internal yang tersimpan di direktori kerja.
Dampak pada kepercayaan dan keamanan
Kebocoran ini juga dibaca dalam konteks reputasi Anthropic sebagai perusahaan yang menekankan keselamatan AI. Karena itu, dugaan tentang penyembunyian identitas, pemindaian emosi, dan akses file luas berbenturan langsung dengan citra kehati-hatian yang selama ini dibangun.
Artikel referensi juga menyinggung demonstrasi peneliti keamanan Nicholas Carlini, yang menunjukkan kemampuan Claude Code dalam membantu serangan yang sangat efisien terhadap FreeBSD hanya dalam empat jam. Temuan seperti itu tidak otomatis membuktikan niat buruk, tetapi menegaskan bahwa alat coding agent dapat mempercepat pekerjaan produktif sekaligus meningkatkan risiko penyalahgunaan.
Di tengah persaingan ketat asisten pemrograman berbasis AI, kasus Claude Code leak menjadi pengingat bahwa isu utama bukan hanya kemampuan model menulis kode. Yang lebih menentukan justru transparansi soal data yang diakses, keputusan yang bisa diambil model secara mandiri, dan seberapa terbuka perusahaan saat publik mulai mengaudit apa yang sebenarnya terjadi di balik antarmuka yang tampak membantu.
