Claude Code Security Vulnerability: Satu Baris Bocor
By Ali Sadikin Ma · · Updated
Category: Technology
Satu baris yang hilang. Itulah yang dibutuhkan.
Bukan hacker elite. Bukan zero-day jutaan dolar. Bukan serangan nation-state.
Hanya satu baris yang lupa ditambahkan di file .npmignore — dan 512.000 baris kode rahasia Anthropic tersebar ke seluruh internet.
Tanggal 31 Maret 2026, siapa pun yang menjalankan npm install @anthropic-ai/claude-code secara tidak sadar menarik file source map 59,8 MB yang berisi seluruh TypeScript production code Claude Code — internal logic, arsitektur sistem, dan detail implementasi yang tidak pernah dimaksudkan untuk publik.
Dan inilah yang belum banyak orang tahu tentang claude code security vulnerability:
Di dalam file-file itu tersembunyi dua kerentanan kritis yang kini jauh lebih mudah dieksploitasi dari sebelumnya.
Siapa yang terdampak? Seberapa cepat? Apakah kamu salah satunya?
Kalau kamu atau tim kamu masih pakai Claude Code hari ini — atau AI coding tool lain yang punya akses ke filesystem dan terminal kamu — ini yang perlu kamu baca sebelum sprint review berikutnya.
Yang Selama Ini Kita Percaya Tentang Keamanan AI
Kepercayaan developer terhadap AI coding tools dari vendor besar seperti Anthropic sangat beralasan — sampai 31 Maret 2026. Namun claude code security vulnerability ini membuktikan bahwa asumsi bahwa tools ini mengikuti model keamanan yang sama dengan passive library salah secara fatal, dengan konsekuensi langsung bagi jutaan developer.
Selama ini, kita semua punya asumsi yang sama.
Kamu jalankan npm install. Library dikelola tim besar dengan proses release yang ketat. Anthropic bukan startup garage — mereka salah satu perusahaan AI terbesar di dunia.
Kepercayaan itu masuk akal.
Tapi ada satu hal yang kita semua lupa pertimbangkan:
Claude Code bukan library biasa. Ini adalah agentic AI tool — software yang berjalan di terminal kamu, punya akses penuh ke file system, bisa menjalankan shell commands, dan bisa membaca serta menulis kode di seluruh project kamu.
Itu bukan passive dependency. Itu sistem otonom dengan trust penuh di mesin kamu.
Dan trust itu yang menjadi attack vector-nya.
Zscaler ThreatLabz (2026) mencatat sesuatu yang memperumit situasi: serangan supply chain terhadap npm package axios terjadi pada malam yang sama — antara pukul 00:21 sampai 03:29 UTC, 31 Maret 2026. Siapa pun yang menginstall atau mengupdate Claude Code di rentang waktu itu mungkin tanpa sengaja juga menarik versi axios yang sudah terinfeksi.
Dua kejadian. Satu malam. Satu titik kegagalan.
Tapi bagaimana tepatnya kebocoran itu terjadi? Jawabannya lebih mengejutkan dari yang kamu kira...
31 Maret 2026: Anatomi Kebocoran Claude Code
Pada 31 Maret 2026, claude code security vulnerability terbesar tahun ini terjadi: Anthropic secara tidak sengaja mengekspos 512.000 baris TypeScript dari 1.906 file dalam sebuah source map 59,8 MB yang dibundel ke npm package @anthropic-ai/claude-code v2.1.88 — menurut Zscaler ThreatLabz (2026). Penyebabnya bukan serangan canggih, melainkan satu aturan exclusion yang hilang di file .npmignore.
11:47 PM UTC. File sebesar 59,8 MB nongkrong di dalam public npm package.
Bukan di dark web. Bukan di forum underground. Di npm — registry yang kamu dan jutaan developer lain pakai setiap hari.
Begini cara kejadiannya:
Anthropic menggunakan Bun runtime untuk bundling Claude Code. Bun, secara default, menghasilkan source maps saat proses build — file yang berisi mapping antara bundled JavaScript dan source TypeScript aslinya. Berguna untuk debugging. Tapi seharusnya tidak pernah masuk ke production release.
Yang terjadi: file .npmignore tidak memiliki aturan exclusion untuk source maps tersebut, menurut Penligent Security (2026).
Itu satu-satunya kesalahan yang dibutuhkan.
Peneliti keamanan Chaofan Shou (@Fried_rice di X) yang pertama kali menemukan dan mempublikasikannya. Dalam hitungan jam, ribuan fork bermunculan di GitHub. Source code itu menyebar lebih cepat dari yang bisa dicegah siapa pun.
Bukan serangan canggih. Bukan state-sponsored exploit.
Satu baris yang hilang di config file.
Yang memperparah situasi: ini bukan pertama kalinya. Insiden serupa sudah terjadi pada Februari 2025 — kebocoran Claude Code pertama — menurut DEV Community (2026). Dua kali dalam 13 bulan. Polanya ada, tapi prosesnya tidak berubah.
Tapi apa yang terjadi dalam 24 jam setelah kebocoran itu jauh lebih mengkhawatirkan dari kebocoran itu sendiri...
Dari Bocoran ke Senjata: 24 Jam yang Mengubah Segalanya
Dalam waktu kurang dari 24 jam setelah claude code security vulnerability ini terekspos, threat actors sudah mengkonversi 512.000 baris source code itu menjadi infrastruktur serangan aktif — mendistribusikan malware Vidar dan GhostSocks via fake GitHub repositories, sambil mengeksploitasi dua CVE kritis yang kini jauh lebih mudah dipetakan berkat visibilitas penuh ke kode internal Anthropic.
Kode sudah di luar. Dan dunia bergerak cepat.
Dalam 24 jam, aktor ancaman sudah menciptakan fake GitHub repositories yang mendistribusikan malware pencuri kredensial — Vidar dan GhostSocks — yang disamarkan sebagai versi "leaked" Claude Code, menurut Trend Micro (2026).
Bukan sebulan kemudian. Bukan seminggu. Dua puluh empat jam.
Tapi itu baru permukaannya.
Source code yang bocor bukan sekadar jadi umpan malware. Ia menjadi manual teknis — peta detail bagaimana Claude Code bekerja dari dalam. Dan di dalam kode itu, ada dua kerentanan yang kini bisa dieksploitasi dengan jauh lebih sistematis:
CVE-2026-21852 (CVSS 5.3) — Check Point Research (2026): Membuka repository berbahaya cukup untuk men-trigger API requests sebelum trust prompt muncul, sehingga API key Anthropic aktif kamu bocor ke attacker yang mengontrol ANTHROPIC_BASE_URL. Fix tersedia di v2.0.65 sejak Januari 2026, tapi banyak developer belum mengupdate.
CVE-2025-59536 — Check Point Research (2025): File CLAUDE.md atau konfigurasi MCP server yang berbahaya bisa menjalankan arbitrary shell commands ketika kamu clone dan buka repository yang tidak dipercaya. Remote Code Execution — bukan dari network exploit, tapi dari file yang kelihatannya biasa.
Sekarang tutup loop yang tadi terbuka:
Bukan hacker elite yang menyebabkan kebocoran ini. Bukan zero-day. Satu baris yang hilang di .npmignore.
Dan dengan 512K baris kode production di tangan mereka sebagai dampak dari claude code security vulnerability ini, threat actors kini punya — menurut IANS Research (2026) — "a playbook for rivals": peta sistematis untuk menemukan dan mengeksploitasi kelemahan yang sebelumnya tidak terlihat.
Pertanyaannya sekarang: apa yang harus dilakukan tim kamu?
5 Tindakan Keamanan yang Harus Dilakukan Tim Kamu Sekarang
Lima langkah berikut bisa diselesaikan dalam satu jam untuk menangani claude code security vulnerability di tim kamu. Tidak perlu approval khusus atau security sprint tersendiri — ini yang bisa dilakukan hari ini.
1. Update Claude Code ke versi terbaru sekarang juga
Apa yang perlu dilakukan: Jalankan claude --version untuk cek versi saat ini. Jika di bawah v2.0.65, kamu rentan terhadap CVE-2026-21852 dari claude code security vulnerability — API key exfiltration yang terpicu hanya dengan membuka repository berbahaya.
Caranya: Jalankan npm install -g @anthropic-ai/claude-code@latest atau ikuti panduan update di dokumentasi resmi Anthropic. Verifikasi dengan claude --version setelah selesai. Lakukan ini untuk semua mesin developer di tim, termasuk CI/CD runners yang menggunakan Claude Code.
Konteksnya: Fix untuk CVE-2026-21852 sudah dirilis di v2.0.65 sejak Januari 2026 — dua bulan sebelum kebocoran. Menurut GitHub Advisory Database (CVE-2026-21852, 2026), developer yang skip update ini mengekspos API key mereka setiap kali membuka repo dari kontributor yang tidak diverifikasi. Patch yang ada tapi tidak diapply sama berbahayanya dengan tidak ada patch.
Hasilnya: API key kamu tidak bocor lewat ANTHROPIC_BASE_URL manipulation. Langkah paling cepat dengan dampak paling langsung.
2. Audit semua file CLAUDE.md dan konfigurasi MCP di project kamu
Apa yang perlu dilakukan: CVE-2025-59536 menunjukkan bahwa file CLAUDE.md yang berbahaya bisa menjalankan shell commands secara otomatis. Kalau kamu bekerja di multiple repos atau punya external contributors, risiko ini nyata dan sudah terdokumentasi.
Caranya: Buka setiap CLAUDE.md di project kamu. Cari baris yang berisi bash, exec, run, atau path ke script eksternal. Lakukan hal yang sama untuk file konfigurasi MCP server. Tambahkan review step ini ke onboarding checklist untuk contributor baru.
Konteksnya: Check Point Research (2025) mendokumentasikan proof-of-concept di mana developer yang clone repo tampak normal langsung terekspos RCE karena CLAUDE.md berisi hook yang ter-execute otomatis saat file dibuka. Tidak ada warning. Tidak ada konfirmasi.
Hasilnya: Kamu tahu persis apa yang ada di konfigurasi AI tool kamu sebelum dijalankan — bukan setelah.
3. Rotate semua Anthropic API key yang mungkin terekspos
Apa yang perlu dilakukan: Jika kamu menggunakan Claude Code versi sebelum v2.0.65 — terekspos claude code security vulnerability — dan pernah membuka repository dari contributor eksternal atau source yang tidak kamu verifikasi, asumsikan API key kamu mungkin sudah bocor.
Caranya: Masuk ke console.anthropic.com, revoke semua active API keys, generate keys baru, lalu update di semua environment: local, CI/CD, production, dan environment variables di mana pun keys itu tersimpan. Aktifkan usage alerts untuk deteksi anomali.
Konteksnya: CVE-2026-21852 bekerja sangat subtle — API request ter-trigger sebelum kamu menyadari ada masalah. Tidak ada error message yang jelas. Tidak ada log yang mudah diinterpretasi tanpa tahu apa yang harus dicari.
Hasilnya: Menghentikan potensi abuse dari key yang sudah bocor dan mereset baseline keamanan API ke depannya.
4. Audit semua AI tool lain di stack kamu
Apa yang perlu dilakukan: Claude Code bukan satu-satunya AI coding tool yang punya akses ke filesystem dan shell. Cursor, Copilot, Codeium, Devin — semuanya beroperasi dengan trust level tinggi di mesin developer. Kebocoran ini adalah sinyal, bukan pengecualian.
Caranya: Buat daftar semua AI tools yang digunakan tim kamu. Untuk setiap tool, tanyakan: punya akses file system? Bisa jalankan shell commands? Sudah berapa lama tidak diupdate? Ada CVE yang belum dipatch? VentureBeat (2026) dan Tanium (2026) merekomendasikan review ini sebagai standar baru pasca-kebocoran Claude Code.
Hasilnya: Kamu punya visibility lengkap atas attack surface AI tools di tim kamu — bukan hanya Claude Code, tapi seluruh stack.
5. Tambahkan AI tool security ke sprint review checklist
Apa yang perlu dilakukan: Keamanan AI tools tidak bisa hanya reactive. Kebocoran Claude Code — dua kali dalam 13 bulan — membuktikan bahwa bahkan vendor besar bisa lalai dalam proses release mereka berulang kali.
Caranya: Tambahkan tiga pertanyaan ini ke sprint review atau security checklist dua mingguan tim kamu: (1) Apakah ada security update untuk AI tools yang kami gunakan? (2) Apakah ada CVE baru untuk tools di stack kami? (3) Apakah ada contributor eksternal yang mengubah CLAUDE.md atau MCP config files? Jadwalkan review ini setiap dua minggu — bukan per kuartal.
Hasilnya: Tim kamu punya cadence sistematis untuk menangkap kerentanan AI tool sebelum menjadi insiden — bukan setelah headline muncul.
Ketika Kepercayaan Menjadi Vektor Serangan
Satu baris yang hilang di .npmignore mengekspos seluruh production codebase Claude Code — dan dalam 24 jam, kerentanan yang sudah ada menjadi lebih mudah dipetakan karena siapa pun kini punya akses ke source-nya. Menurut IANS Research (2026), ini "exposes safety gaps and offers a playbook for rivals" yang kini bisa mensistematisasi pencarian kelemahan di 512K baris kode agentic AI production.
Kalimat pembuka artikel ini sekarang punya makna yang berbeda.
Karena ini bukan cerita tentang Anthropic yang lalai semata. Ini cerita tentang asumsi yang salah — asumsi yang mungkin juga masih ada di tim kamu hari ini.
Asumsinya: AI coding tools diperlakukan seperti library biasa. Install, pakai, percayakan keamanannya ke vendor.
Tapi Claude Code bukan library biasa. Cursor bukan. Copilot bukan.
Mereka adalah sistem otonom dengan akses file system, kemampuan shell execution, dan permukaan serangan yang belum sepenuhnya dipetakan oleh siapa pun — termasuk pembuatnya sendiri.
Pikirkan ini:
Berapa banyak AI tool di stack tim kamu yang punya akses ke filesystem? Berapa yang bisa jalankan shell commands? Sudah berapa lama masing-masing tidak diaudit?
Itulah attack surface kamu yang sesungguhnya.
Kebocoran claude code security vulnerability tidak akan menjadi yang terakhir. Tapi ini bisa menjadi momen yang mengubah cara tim kamu berpikir tentang AI supply chain security — atau tidak. Pilihannya ada di kamu.
FAQ: Claude Code Security Vulnerability — Pertanyaan yang Sering Muncul
Berikut jawaban langsung untuk pertanyaan yang paling sering ditanyakan tim keamanan dan developer pasca-kebocoran Claude Code.
Apakah pengguna Claude Code saat ini masih berisiko?
Jika kamu sudah update ke v2.0.65 atau lebih baru, risiko CVE-2026-21852 (API key exfiltration) sudah dimitigasi. Namun CVE-2025-59536 (RCE via CLAUDE.md) masih relevan jika kamu membuka repository dari sumber yang tidak dipercaya. Selalu verifikasi isi file CLAUDE.md sebelum membuka project baru dari kontributor eksternal.
Apa yang harus dilakukan jika masih pakai Claude Code v2.1.88 atau lebih lama?
Segera jalankan npm install -g @anthropic-ai/claude-code@latest untuk update ke versi terbaru. Kemudian rotate semua Anthropic API key aktif di console.anthropic.com — terutama jika kamu pernah membuka repository dari sumber eksternal saat menggunakan versi lama. Periksa semua CLAUDE.md dan MCP config di project kamu sebelum melanjutkan aktivitas development.
Apakah Anthropic sudah menambal semua kerentanan yang terekspos akibat kebocoran?
Anthropic menutup CVE-2026-21852 di v2.0.65. Namun menurut Check Point Research (2026), source code yang bocor memberikan visibilitas penuh ke arsitektur sistem — artinya proses identifikasi kerentanan baru oleh pihak eksternal masih berlangsung. Update rutin dan audit berkala terhadap claude code security vulnerability tetap diperlukan, bukan hanya satu kali tindakan.
Perbarui Claude Code sekarang dan jalankan audit tool AI kamu — panduan lengkapnya ada di atas.
Simpan artikel ini untuk dibagikan ke tim keamanan kamu sebelum sprint review berikutnya.