Kebocoran kode sumber Claude Code. Apakah kode sumber kita sebenarnya tersembunyi?

Pada dini hari tanggal 1 April 2026, kode sumber Claude Code (bukan bagian backend, melainkan bagian alat CLI di sisi depan) bocor ke publik. Ini adalah kebocoran kedua setelah Februari 2025, namun para insinyur Silicon Valley menyikapinya dengan tenang. Hal ini mungkin merupakan pesan dari Anthropic bahwa AI seperti Claude Code kini sudah memiliki kemampuan memahami bahasa mesin (biner dan assembly), sehingga menyembunyikan kode sumber dari modul distribusi sudah tidak ada artinya lagi — dan seharusnya tidak menjadi masalah meskipun dipulihkan kembali. Faktanya, Gemini pun menyatakan bahwa "meskipun alat obfuskasi digunakan, AI pada tahun 2026 semakin mampu menembusnya." Artikel ini mempertanyakan kembali sejauh mana kode sumber kita sebenarnya "tersembunyi." Sejauh mana AI tahun 2026 mampu memulihkan kode sumber dari kode biner atau yang telah diobfuskasi — langkah-langkah konkretnya, titik-titik yang dapat dipulihkan, dan batasannya — akan dikaji secara komprehensif dengan mengutip pendapat para peneliti dan pakar dari Silicon Valley maupun seluruh dunia. Selain itu, artikel ini juga memperkenalkan secara menyeluruh langkah-langkah yang perlu diambil oleh perusahaan dari sudut pandang teknis, hukum, dan strategi, serta menatap masa depan yang ditunjukkan oleh model Anthropic berikutnya, "Claude Mythos (Mythos)."

Mengapa para insinyur Silicon Valley memilih untuk diam dan menonton

Pada dini hari tanggal 1 April 2026, kode sumber Claude Code (bukan bagian backend, melainkan bagian alat CLI frontend) bocor ke publik. Ini adalah kebocoran kedua setelah Februari 2025, namun para insinyur Silicon Valley menyikapinya dengan tenang.

Ini mungkin merupakan pesan dari Anthropic bahwa AI seperti Claude Code kini sudah memiliki kemampuan untuk memahami bahasa mesin (biner/assembly), sehingga menyembunyikan kode sumber modul yang didistribusikan menjadi tidak ada artinya, dan bahwa kode tersebut seharusnya dianggap tidak bermasalah meski dipulihkan. Faktanya, Gemini pun menyatakan bahwa "meskipun alat obfuskasi digunakan, kemungkinan AI pada tahun 2026 untuk mendeteksinya semakin meningkat."

Saat kebocoran pertama terjadi pada Februari 2025, Geoffrey Huntley mempublikasikan proyek de-obfuskasi metode clean room dan menyatakan:

"LLM-LLM ini sangat mahir dalam de-obfuskasi, transpilasi, dan konversi antar struktur."

Setahun kemudian, kata-kata tersebut terasa semakin berat maknanya. AI pada tahun 2026 telah meningkatkan kemampuannya secara dramatis dalam memulihkan kode sumber dari biner. Pada dasarnya, apakah kode sumber yang kita anggap "tersembunyi" itu benar-benar tersembunyi? Permasalahannya kini bukan lagi "apakah AI dapat memulihkan kode sumber," melainkan "seberapa akurat dan sejauh mana kode tersebut dapat dipulihkan."

Pemulihan Kode Sumber dari Biner oleh AI——Titik Pencapaian Tahun 2026

LLM4Decompile — Dekompilasi Biner dengan Model Khusus

LLM4Decompile adalah LLM open-source yang dirancang untuk memulihkan kode sumber dari kode biner. Tersedia dalam ukuran parameter mulai dari 1,3B hingga 33B, dan mendukung biner Linux x86_64 dengan tingkat optimasi GCC O0 hingga O3.

Performanya berkembang pesat. Model 6,7B mencapai akurasi 45,4% pada benchmark HumanEval, dan model 6B mencatat tingkat rekompilas 90% — artinya, 90% kode C yang dipulihkan berhasil melewati kompilasi. Ini merupakan peningkatan 50% lebih tinggi dari GPT-4. Lebih jauh lagi, LLM4Decompile-9Bv2 terbaru berhasil meningkatkan tingkat re-eksekusi hingga 64,94%. Sekitar dua pertiga kode yang dipulihkan mampu mereproduksi input/output yang sama dengan program aslinya.

Proyek Decompile-Bench menyediakan pasangan fungsi biner-kode sumber dalam skala satu juta, dan LLM4Decompile yang dilatih dengan data dunia nyata mencapai skor R2I 21,5% lebih tinggi dibandingkan saat dilatih hanya dengan data sintetis. Melatih dengan kode nyata menghasilkan pemulihan kode nyata yang lebih akurat — kesimpulan yang wajar, namun besarnya efek ini patut diperhatikan.

Mizuchi — Dekompilasi dengan Kecocokan Sempurna hingga Tingkat Byte

Mizuchi, yang muncul pada tahun 2026, adalah pipeline dekompilasi pencocokan otomatis yang memanfaatkan Claude API. Tujuan alat ini adalah menghasilkan output yang cocok sempurna dengan biner asli hingga tingkat byte ketika kode C yang dipulihkan dikompilasi.

Mekanisme retry yang sadar konteks memberikan umpan balik error kompilasi ke LLM dan secara otomatis mengulangi koreksi. Hasilnya, 53 dari 60 fungsi — konsistensi 88% — berhasil menghasilkan hasil yang identik. Ini bukan sekadar memulihkan kode sumber yang "terlihat benar", melainkan mereproduksi implementasi asli secara setia termasuk pola optimasi kompiler.

ReCopilot dan SK2Decompile — Evolusi Pemulihan Semantik

ReCopilot, yang diumumkan pada tahun 2025, menunjukkan performa 13% lebih tinggi dari alat yang ada dan LLM dalam pemulihan nama fungsi dan inferensi tipe variabel. Ketika biner didekompilasi, yang paling banyak hilang adalah informasi semantik seperti nama variabel, nama fungsi, dan informasi tipe. ReCopilot berspesialisasi di bidang ini dan mendorong pemulihan "keterbacaan" kode.

SK2Decompile (Oktober 2025) mengadopsi pendekatan dua fase yaitu pemulihan struktur (Structure Recovery) dan penamaan identifier (Identifier Naming), yang mengonversi biner/pseudocode menjadi kode sumber yang dapat dibaca manusia.

humanify — Pemulihan JavaScript yang Diobfuskasi dengan Bantuan AI

humanify, yang berspesialisasi dalam de-obfuskasi JavaScript/TypeScript, menggunakan LLM (ChatGPT, llama, dll.) untuk memulihkan nama variabel dan fungsi sambil mempertahankan maknanya. Transformasi struktur dilakukan di tingkat Babel AST, sementara LLM memberikan petunjuk penamaan — yakni pendekatan hibrida di mana transformasi sintaksis dilakukan secara deterministik, sedangkan pemulihan semantik diserahkan kepada AI.

Untuk paket JavaScript yang di-bundle dan diminifikasi seperti Claude Code, pendekatan ini sangat efektif. Meskipun nama variabel disingkat menjadi a, b, c, LLM dapat menyimpulkan nama asli seperti page, selector, timeout dari konteks dengan akurasi tinggi.

Langkah-langkah pemulihan konkret——Alur kerja nyata untuk mengembalikan biner ke kode sumber dengan AI

Per tahun 2026, alur kerja nyata rekayasa balik (reverse engineering) menggunakan AI terdiri dari 5 langkah berikut.

Langkah 1: Disassembly/Decompilasi. Masukkan binary ke Ghidra atau IDA Pro untuk mendapatkan pseudocode (output decompiler). Ghidra 11.2 (rilis akhir 2025) meningkatkan analisis berbantuan AI, sementara IDA Pro 8.5 memperbaiki akurasi decompiler sebesar 23%. Pada tahap ini, yang diperoleh adalah pseudocode C tingkat rendah hasil kompilator — nama variabel hilang, dan alur kontrol telah berubah akibat optimasi.

Langkah 2: Analisis dengan Asisten AI. DAILA (Decompiler Artificially Intelligent Language Assistant) adalah plugin yang mengintegrasikan GPT-4, Claude, dan model lokal ke dalam Ghidra/IDA Pro. Makalah NDSS 2026 (Network and Distributed System Security Symposium) berjudul "Decompiling the Synergy: An Empirical Study of Human-LLM Teaming in Software Reverse Engineering" membuktikan efektivitas kolaborasi manusia dan LLM dalam rekayasa balik. DAILA mengirimkan output decompiler ke LLM hanya dengan satu tombol, lalu menerima kembali makna fungsi, perkiraan nama variabel, dan penunjukan kerentanan.

Langkah 3: Pemulihan Fungsi dengan Presisi Tinggi. Masukkan hasil disassembly ke LLM4Decompile atau Mizuchi untuk memulihkan kode sumber C. Retry berbasis konteks dari Mizuchi secara otomatis memperbaiki kesalahan kompilasi dan mencapai kecocokan byte-sempurna pada 88% fungsi. "One-shot decompilation" oleh Claude memiliki rekam jejak memulihkan lebih dari 1.000 fungsi dengan tingkat pencocokan tinggi dalam analisis game (Snowboard Kids 2).

Langkah 4: Pemulihan Informasi Semantik. Inferensi nama variabel, nama fungsi, komentar, dan anotasi tipe adalah bidang yang paling dikuasai LLM. ReCopilot melampaui metode yang ada sebesar 13% dalam pemulihan nama fungsi dan inferensi tipe variabel. humanify memulihkan nama variabel JavaScript yang diminifikasi dari konteksnya. Pada tahap ini, kode bertransformasi dari "output kompilator" menjadi "kode sumber yang terlihat seperti ditulis manusia."

Langkah 5: Verifikasi dan Iterasi. Kompilasi kode yang dipulihkan lalu bandingkan dengan binary asli. Jika ada perbedaan, informasi tersebut diumpanbalikkan ke LLM untuk dilakukan perbaikan berulang. Mizuchi mengotomatiskan proses ini sepenuhnya. Tanpa intervensi manusia, siklus dari binary ke kode sumber, lalu dari kode sumber kembali ke binary yang cocok secara byte-sempurna — terus berputar.

Titik pemulihan dan keterbatasan saat ini

Merangkum titik-titik pemulihan yang dikuasai AI tahun 2026 dan area yang masih sulit ditangani.

Yang dapat dipulihkan dengan akurasi tinggi:

Struktur alur kontrol (if/else, loop for/while, pernyataan switch)
Hubungan pemanggilan fungsi dan parameter
Logika operasi numerik dan manipulasi string
Pola pemanggilan fungsi pustaka standar
Inferensi semantik nama variabel dan nama fungsi (dari konteks)
Perkiraan komentar (dihasilkan dalam bahasa alami dari isi pemrosesan)

Yang sulit dipulihkan:

Definisi preprocessor sebelum ekspansi makro
Struktur asli template metaprogramming
Komputasi numerik yang dioptimalkan secara agresif (instruksi SIMD, dll.)
Kode yang menerapkan obfuskasi berlapis tiga atau lebih (namun 24% dengan Claude Opus 4.5)
Biner yang dilengkapi enkripsi atau packing khusus

Obfuskasi vs AI——Benchmark 10 Model

Promon, perusahaan perlindungan aplikasi asal Norwegia, menerbitkan tolok ukur bersejarah dalam "App Threat Report" Q1 2026. Mereka mempertemukan 10 model AI melawan biner yang diobfuskasi menggunakan Obfuscator-LLVM (OLLVM). Model-model yang diuji adalah Claude Opus 4.5, Sonnet 4.5, Haiku 4.5, GPT-5, GPT-4o, Gemini 3 Pro, 3 Flash, 2.5 Pro, DeepSeek Chat, dan DeepSeek Reasoner.

Tingkat keberhasilan rata-rata terhadap assembly ARM tanpa obfuskasi (bersih) adalah 63,7%. Tidak ada model yang melampaui 86% sekalipun. Artinya, AI belum mencapai pemahaman penuh terhadap assembly bahkan tanpa obfuskasi.

Dengan penerapan obfuskasi rangkap tiga (SUB+FLA+BCF), tingkat keberhasilan rata-rata turun menjadi 20–36% untuk biner x86 dan 8,5% untuk biner ARM. Kombinasi FLA (perataan alur kontrol) dan BCF (penyisipan cabang palsu) membentuk penghalang yang 4,18 kali lebih kuat pada x86 dan 5,50 kali lebih kuat pada ARM dibandingkan BCF saja.

Yang perlu diperhatikan adalah performa Claude Opus 4.5. Terhadap biner ARM dengan obfuskasi rangkap tiga, model ini mencapai 50% dalam pemulihan dari pseudokode dan 24% dari assembly mentah. GPT-4o hanya 10% dari pseudokode dan 2% dari assembly mentah. Model-model yang lebih lemah hanya berada di kisaran 1–2%. Claude Opus 4.5 unggul jauh meninggalkan peringkat kedua dan seterusnya.

Kesimpulan Promon adalah bahwa perlombaan senjata ini bukan berakhir, melainkan terus berevolusi. Namun arahnya bersifat satu sisi. Dari 2% GPT-4o pada 2025 menuju 24% Claude Opus 4.5 — peningkatan 12 kali lipat terjadi dalam satu tahun. Jika kurva pertumbuhan ini berlanjut, masa efektif obfuskasi berlapis akan terus terpangkas dalam hitungan tahun.

Perspektif VC——"Feature Moat Sudah Mati"

VC di Silicon Valley dengan jelas mengakui berakhirnya model bisnis yang bergantung pada penyembunyian kode sumber.

Pernyataan investor yang dilaporkan TechCrunch pada Maret 2026 sangat simbolis.

"Semua yang bisa dilakukan agen AI saat ini tergolong 'cukup membosankan'."

"Semua moat fungsional——UI, logika backend, integrasi API——telah terkompresi hingga mendekati nol. Ketika LLM mengkomoditisasi antarmuka, yang tersisa hanyalah nilai data murni. Jika datanya tidak unik, tidak ada yang tersisa."

Dalam portofolio a16z, perusahaan-perusahaan yang memiliki moat yang dibangun dari data unik mencapai pendapatan nol hingga 100 juta dolar dengan kecepatan tertinggi. a16z memimpin Seri B senilai 80 juta dolar untuk Story Protocol (PIP Labs), platform perlindungan IP di era AI, dan Marc Andreessen menyatakan bahwa "AI open source seharusnya menyebar dan bersaing dengan bebas."

Investor lain menusuk inti permasalahannya.

"Ketika siapa pun bisa membangun apa saja dalam semalam, satu-satunya moat yang tidak bisa direplikasi oleh AI adalah SEO, brand, taste, kecepatan, data, dan kepercayaan. Daya pertahanan kini terletak pada kedalaman hubungan, bukan pada ketidaktransparanan teknis."

SaaS vertikal generik yang tidak memiliki moat data unik tidak lagi diminati oleh VC. Di dunia di mana kode bisa dipulihkan kembali, kode itu sendiri bukan lagi keunggulan kompetitif.

Langkah-langkah yang Harus Diambil Perusahaan——Strategi Perlindungan IP Perangkat Lunak Tahun 2026

Bagaimana seharusnya perusahaan menghadapi evolusi rekayasa balik berbasis AI? Berikut rangkuman dari tiga sudut pandang: teknis, hukum, dan strategis.

Langkah Teknis

1. Migrasi penuh ke eksekusi sisi server. Langkah paling pasti adalah menghilangkan logika eksklusif sepenuhnya dari perangkat klien. Dengan arsitektur API-first, klien hanya menjadi frontend yang tipis. Jika tidak ada target rekayasa balik yang secara fisik tersedia, maka tidak ada yang bisa dipulihkan. Ironisnya, Claude Code sendiri menggunakan arsitektur ini — yang bocor adalah bagian alat CLI frontend, sementara model AI itu sendiri berada di server Anthropic.

2. Komputasi rahasia (Confidential Computing). Gartner memproyeksikan bahwa pada tahun 2029, lebih dari 75% pemrosesan di infrastruktur yang tidak dipercaya akan menggunakan Confidential Computing. Trusted Execution Environment (TEE) berbasis perangkat keras dari AMD dan Intel tidak hanya melindungi data saat disimpan dan dikirim, tetapi juga saat sedang diproses. HPE mengumumkan integrasi Confidential Computing ke Morpheus Software pada Maret 2026.

3. Mempertahankan obfuskasi berlapis (sebagai strategi penundaan). Sebagaimana ditunjukkan dalam laporan Promon, kombinasi FLA+BCF masih menjadi penghalang efektif terhadap AI. Rata-rata tingkat keberhasilan terhadap biner ARM dengan obfuskasi tiga lapis adalah 8,5%. Namun, ini bukan solusi mendasar, melainkan strategi penundaan yang masa efektifnya semakin memendek setiap tahun.

4. Autentikasi dan attestasi klien native. Autentikasi klien resmi dilakukan di tingkat perangkat keras. Claude Code yang bocor pun mengimplementasikan sistem autentikasi semacam DRM menggunakan Zig HTTP stack dari Bun. Namun, ini pun dapat dielakkan jika kode sumber bocor — karena implementasi autentikasi itu sendiri menjadi target pemulihan.

Langkah Hukum

5. Pembaruan hukum rahasia dagang. Defend Trade Secrets Act (DTSA) federal Amerika Serikat dan Uniform Trade Secrets Act (UTSA) masing-masing negara bagian adalah perlindungan hukum utama, namun standar "readily ascertainable (mudah diketahui)" sedang berubah secara mendasar karena AI. Firma hukum Greenberg Traurig memperingatkan:

"Perusahaan yang menyusun rencana perlindungan rahasia dagang sebelum 2023 mungkin sama sekali tidak mempertimbangkan AI."

Jika logika internal perangkat lunak yang sebelumnya dianggap "tidak mudah diketahui" menjadi mudah diketahui melalui AI, ada risiko hilangnya perlindungan hukum sebagai rahasia dagang.

6. Memanfaatkan preseden hukum. Putusan Motorola v. Hytera (2025) menolak pembelaan "desain ulang" dan memerintahkan tambahan royalti sebesar 70 juta dolar. Preseden ini berpotensi diterapkan pada kode yang diperoleh secara ilegal dan kemudian dimodifikasi dengan AI. Pengadilan mulai membedakan antara injeksi prompt dan rekayasa balik yang sah sebagai "cara-cara yang tidak sah."

7. Merespons California AI Transparency Act (berlaku Januari 2026). Adanya kewajiban pengungkapan ringkasan data pelatihan, sehingga diperlukan sistem pemantauan apakah kode milik perusahaan termasuk dalam data pelatihan AI.

Langkah Strategis

8. Membangun data moat. Sebagaimana ditegaskan oleh para venture capitalist, di dunia di mana kode dapat dipulihkan, data eksklusif adalah satu-satunya keunggulan kompetitif yang berkelanjutan. Kumpulan data proprietary, hubungan mendalam dengan pelanggan, dan efek jaringan — semua ini tidak bisa direplikasi oleh AI dalam satu hari.

9. Keunggulan kecepatan dan laju iterasi. Bahkan jika kode berhasil dipulihkan, kecepatan mengembangkan produk setiap minggu membuat para pengekor selalu tertinggal. Claude Code sendiri adalah buktinya — meski kode sumbernya bocor, pertumbuhan ARR sebesar 2,5 miliar dolar tidak terhenti. Karena nilainya bukan pada kode, melainkan pada model AI di sisi backend.

10. Beralih ke desain yang mengasumsikan pemulihan. Secara paradoks, strategi paling tangguh adalah merancang arsitektur dengan asumsi bahwa kode sumber akan bocor. Jangan sertakan kekayaan intelektual eksklusif dalam kode yang didistribusikan ke klien; tempatkan semua elemen diferensiasi di sisi server. Ada pula jalur seperti model BSL Red Hat atau HashiCorp — membuka kode tetapi memonetisasi melalui dukungan, hosting, dan fitur enterprise.

Prospek Positif dan Prospek Negatif

Dari sisi positif, hilangnya makna penyembunyian kode sumber berpotensi meningkatkan transparansi dan keamanan industri perangkat lunak secara keseluruhan. Kemudahan penemuan backdoor tersembunyi dan kerentanan melalui AI merupakan umpan balik positif bagi keamanan siber. Seperti yang telah ditunjukkan oleh gerakan open source, transparansi mempercepat inovasi.

Dari sisi negatif, melemahnya perlindungan kekayaan intelektual berpotensi merusak insentif R&D, khususnya bagi startup dan usaha kecil menengah. Jika perangkat lunak yang dikembangkan dengan biaya besar dapat dengan mudah dipulihkan, model pemulihan investasi pada perangkat lunak proprietary menjadi tidak layak. Selain itu, kemudahan analisis malware di satu sisi juga membuat perlindungan perangkat lunak yang sah semakin sulit — sebuah pedang bermata dua.

Claude Mythos (Misos) — Masa Depan yang Ditunjukkan oleh "Mitologi"

Hanya lima hari sebelum kebocoran kode sumber Claude Code, keberadaan model berikutnya dari Anthropic, Claude Mythos, terungkap melalui kebocoran informasi. Roy Paz dari LayerX Security dan Alexandre Pauwels dari Universitas Cambridge menemukan sekitar 3.000 file dari basis data yang dapat dicari secara publik akibat kesalahan konfigurasi CMS.

Mythos adalah kelas yang sepenuhnya baru, berada di atas Opus, bukan sekadar pembaruan versi. Mengenai model yang menyandang nama "mitos" ini, dokumen internal mendeskripsikannya sebagai berikut:

"Saat ini melampaui secara signifikan semua model AI lainnya dalam kemampuan siber."

Mythos berhasil menemukan beberapa kerentanan heap buffer overflow pada kernel Linux, dan dokumen internal mencatat:

"Model bahasa mampu, secara otonom, tanpa scaffolding canggih, menemukan dan mengeksploitasi kerentanan zero-day pada perangkat lunak yang sangat kritis."

Anthropic secara tidak resmi memperingatkan pejabat pemerintah bahwa Mythos "akan meningkatkan kemungkinan serangan siber berskala besar secara signifikan pada tahun 2026."

Mari kita berhenti sejenak dan berpikir. Bagi model yang mampu menemukan kerentanan zero-day pada kernel Linux secara otonom, seberapa "sulit" analisis bundel JavaScript yang diobfuskasi — atau dekompilasi biner yang dioptimalkan dengan O3?

Dalam benchmark Promon, Claude Opus 4.5 mencapai 24% terhadap biner ARM dengan tiga lapis obfuskasi. Mythos berada di kelas yang lebih tinggi dari itu. Jika model 9B dari LLM4Decompile mencapai tingkat re-eksekusi sebesar 64,94%, berapa persen yang akan dicapai oleh model sekelas Mythos ketika menghadapi tugas yang sama? 80%? 90%? Atau bahkan lebih?

Kesimpulan — Apakah sumber-sumber kita tersembunyi sejak awal?

512.000 baris kode sumber TypeScript dari Claude Code bocor akibat konfigurasi .npmignore yang terlewat. Namun, seandainya kebocoran itu tidak terjadi pun, jawabannya tetap sama.

LLM4Decompile telah mencapai tingkat keberhasilan eksekusi ulang sebesar 64,94%. Mizuchi mewujudkan dekompilasiyang cocok byte-per-byte pada 88% fungsi. Claude Opus 4.5 menunjukkan tingkat keberhasilan pemulihan sebesar 24% terhadap biner ARM yang diobfuskasi tiga lapis——12 kali lebih tinggi dibanding GPT-4o. Dan kini Claude Mythos akan hadir. Sebuah kelas yang sepenuhnya baru, melampaui Opus, menyandang nama "mitos".

Kode sumber modul yang didistribusikan secara lokal tidak lagi tersembunyi.

Kode yang kita kompilasi, obfuskasi, minifikasi, dan pack, di hadapan AI tidak ubahnya kabut tipis. Kabut itu semakin menipis dari tahun ke tahun, dan pada akhirnya akan lenyap.

Langkah yang harus diambil oleh perusahaan sudah jelas. Pindahkan logika eksklusif ke sisi server, dan rancang apa pun yang didistribusikan ke klien dengan asumsi bahwa ia akan dipulihkan. Letakkan keunggulan kompetitif bukan pada kerahasiaan kode, melainkan pada keunikan data, kedalaman hubungan pelanggan, dan kecepatan iterasi.

Apakah "pesan" yang dikirimkan Anthropic itu disengaja atau tidak, kini sudah tidak relevan lagi. Yang penting adalah kita bertanya pada diri sendiri——apakah kode sumber kita sejak awal memang tersembunyi?

Dampak pada Industri

Pertama, ekonomi perlindungan IP perangkat lunak sedang berubah secara ireversibel. Era di mana lebih rasional untuk menginvestasikan sumber daya dalam membangun eksekusi sisi server dan data moat daripada menghabiskan biaya untuk obfuskasi dan penyembunyian kode telah tiba. Seperti yang ditunjukkan laporan Promon, obfuskasi berlapis masih efektif sebagai taktik mengulur waktu, namun mengingat kecepatan evolusi AI, masa berlaku efektivitasnya terus memendek dalam hitungan tahun.

Kedua, keberhasilan finansial Anthropic memiliki makna besar dalam konteks ini. Hanya dengan Claude Code, mereka mencapai ARR sebesar 2,5 miliar dolar dalam 9 bulan, dan pertumbuhan tidak berhenti meski kode sumber bocor. Ini adalah bukti nyata strategi bertahan hidup di "dunia di mana kode sumber tidak bisa disembunyikan." Nilai terletak bukan pada kode di bagian depan, melainkan pada model AI dan data di bagian belakang.

Ketiga, keputusan investasi VC telah bergeser secara jelas. SaaS generik yang tidak memiliki data moat eksklusif semakin tidak menjadi target investasi, dan seperti yang ditunjukkan oleh investasi a16z sebesar 80 juta dolar ke Story Protocol (platform perlindungan IP), "perlindungan IP di era AI" itu sendiri telah menjadi tema investasi baru.

Keempat, pembaruan kerangka hukum sangat mendesak. Standar "dapat dengan mudah diverifikasi" berubah akibat AI, dan ada kekhawatiran bahwa perlindungan hukum rahasia dagang akan melemah. Putusan Motorola v. Hytera penting sebagai preseden, namun legislasi yang khusus untuk era AI baru saja dimulai.

Kelima, keberadaan Claude Mythos mengisyaratkan bahwa perubahan ini akan semakin cepat. Jika model yang secara otonom menemukan kerentanan zero-day menyebar luas ke masyarakat umum, dunia di mana setiap binary secara efektif menjadi open source akan menjadi kenyataan. Di dunia itu, yang akan bertahan adalah perusahaan yang mampu membedakan diri dengan data dan hubungan, bukan dengan kode.

Referensi: Axios "Anthropic leaked its own Claude source code" (31/3/2026), VentureBeat "Claude Code's source code appears to have leaked" (31/3/2026), Fortune "Anthropic leaks source code in second major security breach" (31/3/2026), The Hacker News "Claude Code Source Leaked via npm" (April 2026), Bleeping Computer "Claude Code source accidentally leaked in npm package" (April 2026), Layer5 "512,000 Lines and the Fastest-Growing Repo in GitHub History" (April 2026), Geoffrey Huntley "Claude Code deobfuscation tradecraft" (Maret 2025), Fortune "Anthropic Mythos revealed in data leak" (26/3/2026), Euronews "Mythos poses unprecedented cybersecurity risks" (30/3/2026), Futurism "Anthropic leaked model with unprecedented risks" (Maret 2026), CoinDesk "Anthropic massive Claude Mythos leak" (27/3/2026), GitHub: LLM4Decompile (albertan017/LLM4Decompile), BrightCoding "Mizuchi LLM Pipeline for Perfect Decompilation" (Maret 2026), arxiv: ReCopilot (2505.16366v1), RevEng.AI "Training an LLM to Decompile Assembly Code", arxiv: LLM4Decompile paper (2403.05286v2), GitHub: humanify (jehna/humanify), GitHub: DAILA (mahaloz/DAILA), NDSS 2026 "Decompiling the Synergy: An Empirical Study of Human-LLM Teaming in Software Reverse Engineering", Secybers "Ghidra vs IDA Pro 2026", Promon "App Threat Report 2026 Q1: The State of Code Obfuscation Against AI", Promon "AI deobfuscators won't help hackers yet", Google Cloud Blog "Scaling Up Malware Analysis with Gemini 1.5 Pro", Google Cloud Blog "Gemini for Malware Analysis", TechCrunch "Investors spill what they aren't looking for in AI SaaS" (Maret 2026), CNBC "Story raises funds from a16z to stop IP theft by AI" (Agustus 2024), KoreaTechDesk "a16z $80M for IP Protection in Age of AI", Greenberg Traurig "Reverse Engineering in the Age of AI: Are Your Trade Secrets Still Safe?" (Desember 2025), Intel Confidential Computing Whitepaper (2025), HPE Security Advancements (Maret 2026), JDSupra "2025 AI and Trade Secret Law Retrospective", Anthropic "acquires Bun as Claude Code reaches $1B milestone" (Desember 2025), Yahoo Finance "Anthropic ARR surges to $19 billion" (2026), TechCrunch "Anthropic raises $30B Series G at $380B valuation" (Februari 2026)