Kod sumber Claude Code bocor. Adakah kod sumber kami tersembunyi pada asalnya?

Pada awal pagi 1 April 2026, kod sumber Claude Code (bukan bahagian belakang, tetapi bahagian alat CLI hadapan) telah bocor. Ini merupakan kali kedua selepas Februari 2025, namun jurutera Silicon Valley memandang perkara ini dengan tenang. Ini mungkin merupakan mesej daripada Anthropic yang bermaksud bahawa AI seperti Claude Code kini sudah mampu memahami bahasa mesin (binari dan pemasangan), menjadikan penyembunyian kod sumber modul yang diedarkan sesuatu yang tidak bermakna, dan bahawa pemulihan semula sekalipun tidak seharusnya menjadi masalah. Malah, Gemini turut menyatakan bahawa "walaupun alat pengeliruan digunakan, kemungkinan AI pada tahun 2026 untuk mengesannya semakin meningkat." Dalam makalah ini, kita akan mempersoalkan semula sejauh mana kod sumber kita sebenarnya "tersembunyi." Kita akan mengkaji secara menyeluruh sejauh mana AI pada tahun 2026 mampu memulihkan kod sumber daripada binari dan kod yang dikelirukan — termasuk prosedur khusus, titik-titik yang boleh dipulihkan, dan batasannya — dengan merujuk pandangan penyelidik dan pakar dari Silicon Valley serta seluruh dunia. Seterusnya, langkah-langkah yang perlu diambil oleh syarikat akan diperkenalkan secara menyeluruh dari perspektif teknikal, undang-undang, dan strategik, sebelum mengintip masa depan yang ditunjukkan oleh model terbaru Anthropic, "Claude Mythos (Mithos)."

Mengapa jurutera Silicon Valley memilih untuk berdiam diri

Pada awal pagi 1 April 2026, kod sumber Claude Code (bukan bahagian belakang, tetapi bahagian alat CLI hadapan) telah bocor. Ini adalah kali kedua selepas Februari 2025, namun para jurutera Silicon Valley memandang kejadian ini dengan tenang.

Ini mungkin merupakan mesej daripada Anthropic bahawa AI seperti Claude Code sudah memiliki keupayaan untuk memahami bahasa mesin (binari dan pemasangan), menjadikan penyembunyian kod sumber modul pengedaran sesuatu yang tidak bermakna, dan bahawa ia seharusnya dianggap tidak menjadi masalah walaupun dipulihkan. Malah, Gemini turut menyatakan bahawa "walaupun alat pengaburan digunakan, kemungkinan AI tahun 2026 untuk mengesannya semakin meningkat."

Ketika kebocoran pertama pada Februari 2025, Geoffrey Huntley menerbitkan projek penyahkaburan kaedah bilik bersih dan menyatakan:

"LLM-LLM ini sangat mahir dalam penyahkaburan, transpilasi, dan transformasi antara struktur."

Setahun kemudian, kata-kata itu semakin berbobot. AI tahun 2026 telah meningkatkan keupayaannya secara mendadak untuk memulihkan kod sumber daripada binari. Sesungguhnya, adakah kod sumber yang kita anggap "tersembunyi" itu benar-benar tersembunyi? Persoalannya kini bukan lagi "bolehkah AI memulihkan kod sumber", tetapi "sejauh mana ketepatan dan seberapa jauh ia boleh dipulihkan."

Pemulihan Kod Sumber daripada Binari Menggunakan AI — Tahap Pencapaian Tahun 2026

LLM4Decompile — Penyahkompilan Binari dengan Model Khusus

LLM4Decompile ialah LLM sumber terbuka yang direka untuk memulihkan kod sumber daripada kod binari. Ia tersedia dalam saiz parameter dari 1.3B hingga 33B, dan menyokong binari Linux x86_64 pada tahap pengoptimuman GCC O0 hingga O3.

Prestasinya berkembang pesat. Model 6.7B mencapai ketepatan 45.4% pada penanda aras HumanEval, manakala model 6B merekodkan kadar penjanaan semula yang boleh dikompil sebanyak 90% — bermakna 90% daripada kod C yang dipulihkan boleh melalui proses kompilasi. Ini merupakan peningkatan 50% lebih tinggi berbanding GPT-4. Selain itu, LLM4Decompile-9Bv2 terkini telah meningkatkan kadar boleh dijalankan semula kepada 64.94%. Kira-kira dua pertiga daripada kod yang dipulihkan mampu menghasilkan semula input/output yang sama seperti program asal.

Projek Decompile-Bench menyediakan pasangan fungsi binari-kod sumber berskala satu juta, dan LLM4Decompile yang dilatih dengan data dunia sebenar mencapai skor R2I 21.5% lebih tinggi berbanding latihan dengan data sintetik sahaja. Melatih dengan kod sebenar menghasilkan pemulihan kod sebenar yang lebih tepat — kesimpulan yang jelas, namun magnitud kesannya amat ketara.

Mizuchi — Penyahkompilan Padanan Tepat Peringkat Bait

Muncul pada tahun 2026, Mizuchi ialah saluran paip penyahkompilan padanan automatik yang memanfaatkan Claude API. Matlamat alat ini adalah untuk mendapatkan output yang sepadan sepenuhnya dengan binari asal pada peringkat bait apabila kod C yang dipulihkan dikompil.

Mekanisme cuba semula berdasarkan konteks menghantar ralat kompilasi kembali kepada LLM, yang kemudian melakukan pembetulan secara automatik berulang kali. Hasilnya, 53 daripada 60 fungsi — konsistensi 88% — mencapai hasil yang sama. Ini bukan sekadar memulihkan kod sumber yang "kelihatan betul", tetapi mampu menghasilkan semula pelaksanaan asal dengan tepat, termasuk corak pengoptimuman pengkompil.

ReCopilot dan SK2Decompile — Evolusi Pemulihan Semantik

ReCopilot yang diumumkan pada tahun 2025 menunjukkan prestasi 13% lebih tinggi daripada alat sedia ada dan LLM dalam pemulihan nama fungsi dan inferens jenis pemboleh ubah. Apabila binari dinyahkompil, maklumat yang paling banyak hilang ialah maklumat semantik seperti nama pemboleh ubah, nama fungsi, dan maklumat jenis. ReCopilot memfokus pada domain ini dan mendorong pemulihan "kebolehbacaan" kod.

SK2Decompile (Oktober 2025) menggunakan pendekatan dua fasa — Pemulihan Struktur (Structure Recovery) dan Penamaan Pengecam (Identifier Naming) — untuk menukar binari/kod pseudo kepada kod sumber pada tahap yang boleh dibaca manusia.

humanify — Pemulihan Berbantukan AI untuk JavaScript yang Dikelirukan

humanify, yang khusus untuk penyahkeliruan JavaScript/TypeScript, menggunakan LLM (ChatGPT, llama dan lain-lain) untuk memulihkan nama pemboleh ubah dan nama fungsi sambil mengekalkan makna. Ia melakukan transformasi struktur pada peringkat Babel AST, manakala LLM menyediakan petunjuk penamaan — iaitu pendekatan hibrid di mana transformasi sintaktik dilakukan secara deterministik, dan pemulihan semantik diserahkan kepada AI.

Pendekatan ini sangat berkesan untuk pakej JavaScript yang dibundel dan diminiaturkan seperti Claude Code. Walaupun nama pemboleh ubah dipendekkan kepada a, b, c, LLM boleh menyimpulkan nama asal seperti page, selector, timeout daripada konteks dengan ketepatan yang tinggi.

Prosedur pemulihan khusus — Aliran kerja sebenar untuk menukar binari kembali kepada kod sumber menggunakan AI

Pada tahun 2026, aliran kerja sebenar kejuruteraan terbalik menggunakan AI terdiri daripada 5 langkah berikut.

Langkah 1: Pelepasan Pemasang/Penyusunan Terbalik. Masukkan binari ke dalam Ghidra atau IDA Pro untuk mendapatkan pseudokod (output penyusun terbalik). Ghidra 11.2 (dikeluarkan pada separuh kedua 2025) meningkatkan analisis berbantuan AI, manakala IDA Pro 8.5 meningkatkan ketepatan penyusun terbalik sebanyak 23%. Pada peringkat ini, apa yang diperoleh ialah pseudokod C peringkat rendah yang dijana oleh pengkompil — nama pemboleh ubah hilang, dan aliran kawalan telah diubah bentuk melalui pengoptimuman.

Langkah 2: Analisis menggunakan Pembantu AI. DAILA (Decompiler Artificially Intelligent Language Assistant) ialah pemalam yang mengintegrasikan GPT-4, Claude, dan model tempatan ke dalam Ghidra/IDA Pro. Kertas kerja NDSS 2026 (Simposium Keselamatan Rangkaian dan Sistem Teragih) bertajuk "Decompiling the Synergy: An Empirical Study of Human-LLM Teaming in Software Reverse Engineering" menunjukkan keberkesanan kerjasama antara manusia dan LLM dalam kejuruteraan terbalik. DAILA menghantar output penyusun terbalik ke LLM hanya dengan satu klik dan menerima makna fungsi, tebakan nama pemboleh ubah, serta pengenalpastian kelemahan.

Langkah 3: Pemulihan Fungsi Berketepatan Tinggi. Masukkan hasil pelepasan pemasang ke dalam LLM4Decompile atau Mizuchi untuk memulihkan kod sumber C. Ciri cuba semula peka konteks Mizuchi secara automatik membetulkan ralat kompilasi dan mencapai padanan sempurna bait pada 88% fungsi. "Penyusunan terbalik satu-tembakan" Claude telah membuktikan kemampuannya dengan memulihkan lebih daripada 1,000 fungsi dengan kadar padanan yang tinggi dalam analisis permainan (Snowboard Kids 2).

Langkah 4: Pemulihan Maklumat Semantik. Penaakulan nama pemboleh ubah, nama fungsi, ulasan, dan anotasi jenis adalah bidang yang paling mahir dikuasai LLM. ReCopilot mengatasi kaedah sedia ada sebanyak 13% dalam pemulihan nama fungsi dan penaakulan jenis pemboleh ubah. humanify memulihkan nama pemboleh ubah JavaScript yang diminifikasi berdasarkan konteks. Pada peringkat ini, kod bertukar daripada "output pengkompil" kepada "kod sumber yang kelihatan seperti ditulis oleh manusia."

Langkah 5: Pengesahan dan Lelaran. Kompilasi kod yang dipulihkan dan bandingkan dengan binari asal. Jika terdapat perbezaan, maklum balas maklumat tersebut kepada LLM dan ulang proses pembetulan. Mizuchi telah mengautomasikan proses ini sepenuhnya. Tanpa campur tangan manusia, kitaran daripada binari ke kod sumber, dan daripada kod sumber semula ke binari yang sepadan sempurna dari segi bait — kitaran ini berjalan dengan sendirinya.

Titik Pemulihan dan Had Semasa

Menyusun titik pemulihan yang dikuasai AI pada tahun 2026 dan kawasan yang masih sukar.

Perkara yang boleh dipulihkan dengan ketepatan tinggi:

Struktur kawalan aliran (if/else, gelung for/while, penyataan switch)
Hubungan panggilan fungsi dan parameter
Logik pengiraan nombor dan manipulasi rentetan
Corak panggilan fungsi pustaka standard
Inferens semantik nama pemboleh ubah dan nama fungsi (daripada konteks)
Penjanaan ulasan (dijana dalam bahasa semula jadi daripada kandungan pemprosesan)

Perkara yang sukar dipulihkan:

Definisi praprosesor sebelum pengembangan makro
Struktur asal pengaturcaraan meta templat
Pengiraan berangka yang dioptimumkan secara tinggi (arahan SIMD, dsb.)
Kod yang dikenakan penyamaran berbilang lapisan tiga tahap ke atas (namun 24% dengan Claude Opus 4.5)
Binari yang dilengkapi penyulitan atau pembungkusan proprietari

Obfuskasi vs AI——Penanda Aras 10 Model

Syarikat perlindungan aplikasi Norway, Promon, telah menerbitkan penanda aras penting dalam "App Threat Report" Q1 2026 mereka. Mereka menguji 10 model AI terhadap binari yang dikaburkan menggunakan Obfuscator-LLVM (OLLVM). Model-model yang terlibat ialah Claude Opus 4.5, Sonnet 4.5, Haiku 4.5, GPT-5, GPT-4o, Gemini 3 Pro, 3 Flash, 2.5 Pro, DeepSeek Chat, dan DeepSeek Reasoner.

Kadar kejayaan purata terhadap pemasangan ARM bersih (tanpa pengaburan) ialah 63.7%. Tiada model yang melebihi 86%. Ini bermakna AI masih belum mencapai pemahaman penuh terhadap pemasangan walaupun tanpa pengaburan.

Apabila pengaburan tiga lapis (SUB+FLA+BCF) digunakan, kadar kejayaan purata jatuh kepada 20–36% untuk binari x86 dan 8.5% untuk binari ARM. Gabungan FLA (perataan aliran kawalan) dan BCF (penyisipan cawangan palsu) menghasilkan halangan yang 4.18 kali lebih kuat untuk x86 dan 5.50 kali lebih kuat untuk ARM berbanding BCF sahaja.

Yang menarik perhatian ialah prestasi Claude Opus 4.5. Terhadap binari ARM dengan pengaburan tiga lapis, ia mencapai 50% dalam pemulihan daripada pseudokod dan 24% daripada pemasangan mentah. GPT-4o pula mencatatkan 10% untuk pseudokod dan 2% untuk pemasangan mentah. Model yang lebih lemah kekal pada 1–2%. Claude Opus 4.5 jauh meninggalkan pesaing di tempat kedua ke bawah.

Kesimpulan Promon ialah perlumbaan senjata ini bukan telah berakhir, sebaliknya sedang berevolusi. Namun, arahnya adalah sehala. Daripada 2% GPT-4o pada 2025 kepada 24% Claude Opus 4.5 — peningkatan 12 kali ganda berlaku dalam masa setahun. Jika lengkung pertumbuhan ini berterusan, tempoh keberkesanan pengaburan berbilang lapis akan terus menyusut dalam jangka masa beberapa tahun.

Perspektif VC — "Parit Ciri Telah Mati"

Syarikat modal teroka (VC) Silicon Valley sudah jelas menyedari berakhirnya model perniagaan yang bergantung pada kerahsiaan kod sumber.

Suara pelabur yang dilaporkan oleh TechCrunch pada Mac 2026 adalah simbolik.

"Semua yang boleh dilakukan oleh ejen AI sekarang adalah 'agak membosankan'."

"Semua kubu fungsional — UI, logik bahagian belakang, integrasi API — telah dimampatkan hampir kepada sifar. Apabila LLM mengkomoditikan antara muka, yang tinggal hanyalah nilai data tulen. Jika data bukan sesuatu yang unik milik anda, tiada apa yang tersisa."

Dalam portfolio a16z, syarikat-syarikat yang memiliki kubu yang dibina daripada data eksklusif mencapai hasil jualan dari sifar hingga 100 juta dolar dengan paling pantas. a16z mengetuai Siri B sebanyak 80 juta dolar untuk Story Protocol (PIP Labs), platform perlindungan harta intelek era AI, dan Marc Andreessen menyatakan bahawa "AI sumber terbuka harus tersebar secara bebas dan bersaing."

Seorang pelabur lain menghampiri inti persoalan.

"Apabila sesiapa pun boleh membina apa sahaja dalam semalaman, satu-satunya kubu yang tidak dapat direplikasi oleh AI ialah SEO, jenama, selera, kelajuan, data, dan kepercayaan. Kekuatan pertahanan kini terletak pada kedalaman hubungan, bukan pada kekaburan teknikal."

SaaS vertikal generik tanpa kubu data eksklusif sudah tidak lagi popular di kalangan VC. Dalam dunia di mana kod boleh dipulihkan semula, kod itu sendiri bukan lagi kelebihan daya saing.

Langkah-langkah yang Perlu Diambil oleh Syarikat——Strategi Perlindungan IP Perisian 2026

Bagaimana syarikat harus mengambil tindakan terhadap evolusi kejuruteraan terbalik AI. Disusun mengikut tiga paksi: teknikal, undang-undang, dan strategik.

Langkah Teknikal

1. Peralihan penuh ke pelaksanaan sisi pelayan. Langkah yang paling pasti ialah menghapuskan logik proprietari sepenuhnya daripada peranti klien. Dengan seni bina API-first, klien hanya menjadi antara muka hadapan yang nipis. Jika tiada sasaran kejuruteraan terbalik yang wujud secara fizikal, tiada cara untuk memulihkannya. Secara ironinya, Claude Code sendiri menggunakan seni bina ini — bahagian yang bocor hanyalah alat CLI bahagian hadapan, manakala model AI sebenar berada di pelayan Anthropic.

2. Pengkomputeran Sulit (Confidential Computing). Gartner meramalkan bahawa menjelang tahun 2029, lebih daripada 75% pemprosesan pada infrastruktur yang tidak dipercayai akan menggunakan pengkomputeran sulit. Persekitaran Pelaksanaan Dipercayai (TEE) berasaskan perkakasan AMD dan Intel melindungi data bukan sahaja semasa penyimpanan dan pemindahan, tetapi juga semasa pemprosesan. HPE mengumumkan integrasi Confidential Computing ke dalam Morpheus Software pada Mac 2026.

3. Penyelenggaraan penyembunyian berlapis (sebagai strategi memperlahankan). Seperti yang ditunjukkan dalam laporan Promon, gabungan FLA+BCF masih merupakan penghalang yang berkesan terhadap AI. Kadar kejayaan purata terhadap binari ARM dengan tiga lapisan penyembunyian ialah 8.5%. Walau bagaimanapun, ini bukan penyelesaian asas, melainkan sekadar strategi memperlahankan, dan tempoh keberkesanannya semakin memendek setiap tahun.

4. Pengesahan klien asli dan pengesahan identiti (Attestation). Pengesahan klien yang sah dilakukan pada peringkat perkakasan. Claude Code yang bocor sendiri telah melaksanakan sistem pengesahan seperti DRM menggunakan tindanan HTTP Zig milik Bun. Walau bagaimanapun, ini juga boleh dielakkan sekiranya kod sumber bocor — kerana pelaksanaan pengesahan itu sendiri turut menjadi sasaran pemulihan.

Langkah Undang-undang

5. Pengemaskinian undang-undang rahsia dagang. Defend Trade Secrets Act (DTSA) Amerika Syarikat dan Uniform Trade Secrets Act (UTSA) setiap negeri merupakan perlindungan undang-undang utama, namun piawaian "mudah diketahui (readily ascertainable)" sedang berubah secara mendasar akibat AI. Firma guaman Greenberg Traurig memberi amaran seperti berikut:

"Syarikat yang merangka pelan perlindungan rahsia dagang sebelum 2023 mungkin tidak mempertimbangkan AI sama sekali."

Jika logik dalaman perisian yang dahulunya dianggap "tidak mudah diketahui" kini menjadi mudah diketahui melalui AI, terdapat risiko bahawa perlindungan undang-undang sebagai rahsia dagang akan hilang.

6. Penggunaan preseden undang-undang. Keputusan Motorola v. Hytera (2025) menolak pembelaan "reka bentuk semula" dan memerintahkan royalti tambahan sebanyak 70 juta dolar. Preseden ini berkemungkinan besar dapat digunakan terhadap kod yang diperoleh secara tidak sah dan kemudiannya diubah suai menggunakan AI. Mahkamah mula membezakan suntikan arahan (prompt injection) daripada kejuruteraan terbalik yang sah sebagai "cara tidak sah".

7. Pematuhan terhadap Akta Ketelusan AI California (berkuat kuasa Januari 2026). Kewajipan mendedahkan ringkasan data latihan. Diperlukan mekanisme untuk memantau sama ada kod syarikat sendiri terdapat dalam data latihan AI.

Langkah Strategik

8. Pembinaan parit data (Data Moat). Seperti yang dinyatakan oleh para pelabur modal teroka, dalam dunia di mana kod boleh dipulihkan, data proprietari adalah satu-satunya kelebihan daya saing yang berterusan. Set data proprietari, hubungan mendalam dengan pelanggan, kesan rangkaian — semua ini tidak dapat diduplikasi oleh AI dalam masa sehari.

9. Kelebihan kelajuan dan kadar pengulangan. Walaupun kod telah dipulihkan, jika terdapat kemampuan untuk memajukan produk setiap minggu, pengejar akan sentiasa ketinggalan. Claude Code sendiri adalah buktinya — walaupun kod sumber bocor, pertumbuhan ARR sebanyak 2.5 bilion dolar tidak terhenti. Ini kerana nilai terletak pada model AI bahagian belakang, bukan pada kod.

10. Peralihan kepada "reka bentuk dengan andaian akan dipulihkan". Secara paradoks, strategi yang paling kukuh ialah mereka bentuk seni bina dengan andaian bahawa kod sumber akan bocor. Jangan masukkan harta intelek proprietari dalam kod yang diedarkan kepada klien, dan letakkan semua elemen pembeza sepenuhnya di sisi pelayan. Seperti model BSL Red Hat dan HashiCorp, terdapat juga laluan untuk menjana pendapatan melalui sokongan, pengehosan, dan ciri perusahaan sambil mengekalkan kod secara terbuka.

Prospek Positif dan Prospek Negatif

Dari sudut pandang positif, penghapusan makna penyembunyian kod sumber berpotensi meningkatkan ketelusan dan keselamatan keseluruhan industri perisian. Kemudahan AI dalam mengesan pintu belakang tersembunyi dan kelemahan merupakan maklum balas positif bagi keselamatan siber. Seperti yang ditunjukkan oleh gerakan sumber terbuka, ketelusan memacu inovasi.

Dari sudut pandang negatif, melemahnya perlindungan harta intelek berpotensi menjejaskan insentif R&D, terutamanya bagi syarikat permulaan dan perusahaan kecil dan sederhana. Sekiranya perisian yang memerlukan kos pembangunan yang tinggi boleh dipulihkan dengan mudah, model pemulihan pelaburan perisian proprietari tidak lagi berdaya maju. Selain itu, walaupun analisis perisian hasad menjadi lebih mudah, perlindungan perisian sah turut menjadi lebih sukar — ini merupakan pedang bermata dua.

Claude Mythos (Misos) — Masa Depan yang Ditunjukkan oleh "Mitos"

Hanya lima hari sebelum kebocoran kod sumber Claude Code, kewujudan model generasi akan datang Anthropic, Claude Mythos, terdedah melalui kebocoran maklumat. Roy Paz dari LayerX Security dan Alexandre Pauwels dari Universiti Cambridge menemui kira-kira 3,000 fail daripada pangkalan data yang boleh dicari secara awam akibat konfigurasi CMS yang salah.

Mythos merupakan kelas baharu yang berada di atas Opus, bukan sekadar peningkatan versi. Dokumen dalaman menggambarkan model yang dinamakan sempena "mitos" ini seperti berikut:

"Pada masa ini, jauh melampaui setiap model AI lain dalam keupayaan siber."

Mythos menemui pelbagai kerentanan limpahan penimbal timbunan (heap buffer overflow) dalam kernel Linux, dan dokumen dalaman merekodkan:

"Model bahasa mampu, secara autonomi, tanpa perancah yang canggih, menemui dan mengeksploitasi kerentanan zero-day dalam perisian yang sangat kritikal."

Anthropic secara tidak rasmi telah memberi amaran kepada pegawai kerajaan bahawa Mythos "akan meningkatkan kemungkinan serangan siber besar-besaran secara ketara pada tahun 2026."

Mari kita berhenti sejenak untuk berfikir. Bagi model yang mampu menemui kerentanan zero-day kernel Linux secara autonomi, apakah "tahap kesukaran" untuk menganalisis bundle JavaScript yang dikelirukan — atau mendecompilasi binari yang dioptimumkan dengan O3?

Dalam penanda aras Promon, Claude Opus 4.5 mencapai 24% terhadap binari ARM dengan tiga lapisan kekeliruan. Mythos berada di kelas yang lebih tinggi daripada itu. Jika model 9B LLM4Decompile mencapai kadar boleh-jalankan semula sebanyak 64.94%, berapa peratus yang akan dicapai oleh model setaraf Mythos apabila menghadapi tugasan yang sama? 80%? 90%? Atau lebih tinggi lagi?

Kesimpulan——Adakah Sumber Kami Tersembunyi Sejak Awal

512,000 baris kod sumber TypeScript Claude Code telah bocor akibat konfigurasi .npmignore yang terlepas pandang. Namun, walaupun ia tidak bocor, jawapan kepada persoalan itu tetap sama.

LLM4Decompile telah mencapai kadar boleh laksana semula sebanyak 64.94%. Mizuchi berjaya merealisasikan penyahkompilan yang sepadan tepat pada peringkat bait untuk 88% fungsi. Claude Opus 4.5 menunjukkan kadar pemulihan sebanyak 24% terhadap binari ARM yang telah dikaburkan tiga kali ganda — 12 kali lebih tinggi berbanding GPT-4o. Dan Claude Mythos akan tiba. Satu kelas yang sepenuhnya baharu, melampaui Opus, dengan nama yang bermaksud "mitos".

Kod sumber modul yang diedarkan secara tempatan tidak lagi tersembunyi.

Kod yang telah kita kompil, kaburkan, perkecilkan, dan pakkan — di hadapan AI, ia tidak lebih daripada kabus nipis. Kabus itu semakin nipis setiap tahun, dan akhirnya akan hilang.

Tindakan yang perlu diambil oleh syarikat adalah jelas. Pindahkan logik proprietari ke bahagian pelayan, dan reka bentuk apa yang diedarkan kepada klien dengan andaian bahawa ia akan dipulihkan. Kelebihan daya saing bukan terletak pada kerahsiaan kod, tetapi pada keunikan data, kedalaman hubungan pelanggan, dan kelajuan iterasi.

Sama ada "mesej" yang dihantar oleh Anthropic itu disengajakan atau tidak — itu bukan lagi perkara yang penting. Yang penting ialah kita bertanya kepada diri sendiri — pada asasnya, adakah kod sumber kita benar-benar tersembunyi?

Impak Kepada Industri

Pertama, ekonomi perlindungan IP perisian sedang berubah secara tidak dapat dipulihkan. Era di mana lebih rasional untuk melabur sumber dalam pelaksanaan sisi pelayan dan pembinaan moat data berbanding membelanjakan kos untuk pengeliruan dan penyembunyian kod telah tiba. Seperti yang ditunjukkan oleh laporan Promon, pengeliruan berbilang lapisan masih berkesan sebagai langkah melambatkan masa, namun memandangkan kelajuan evolusi AI, tempoh keberkesanannya terus memendek dalam skala tahunan.

Kedua, kejayaan kewangan Anthropic membawa makna yang besar dalam konteks ini. Claude Code sahaja mencapai ARR $2.5 bilion dalam masa 9 bulan, dan walaupun kod sumber bocor, pertumbuhannya tidak terhenti. Ini merupakan pembuktian strategi kelangsungan hidup dalam "dunia di mana kod sumber tidak dapat disembunyikan". Nilai terletak bukan pada kod hadapan, tetapi pada model AI bahagian belakang dan data.

Ketiga, keputusan pelaburan VC beralih dengan jelas. SaaS generik yang tidak memiliki moat data unik semakin tidak menjadi sasaran pelaburan, dan seperti yang ditunjukkan oleh pelaburan $80 juta a16z ke dalam Story Protocol (platform perlindungan IP), "perlindungan IP di era AI" itu sendiri telah menjadi tema pelaburan baharu.

Keempat, pembaruan rangka kerja undang-undang adalah mendesak. Piawaian "mudah disahkan" berubah akibat AI, dan terdapat kebimbangan bahawa perlindungan undang-undang rahsia perdagangan akan melemah. Keputusan Motorola v. Hytera adalah penting sebagai preseden, namun penggubalan undang-undang khusus untuk era AI baru sahaja bermula.

Kelima, kewujudan Claude Mythos mencadangkan bahawa perubahan ini akan semakin berakselerasi. Jika model yang menemui kerentanan sifar hari secara autonomi menjadi meluas kepada umum, dunia di mana setiap binari menjadi sumber terbuka secara hakiki akan menjadi kenyataan. Dalam dunia itu, syarikat yang dapat bertahan adalah mereka yang membezakan diri melalui data dan hubungan, bukan kod.

Maklumat Rujukan: Axios "Anthropic leaked its own Claude source code" (2026/3/31), VentureBeat "Claude Code's source code appears to have leaked" (2026/3/31), Fortune "Anthropic leaks source code in second major security breach" (2026/3/31), The Hacker News "Claude Code Source Leaked via npm" (2026/4), Bleeping Computer "Claude Code source accidentally leaked in npm package" (2026/4), Layer5 "512,000 Lines and the Fastest-Growing Repo in GitHub History" (2026/4), Geoffrey Huntley "Claude Code deobfuscation tradecraft" (2025/3), Fortune "Anthropic Mythos revealed in data leak" (2026/3/26), Euronews "Mythos poses unprecedented cybersecurity risks" (2026/3/30), Futurism "Anthropic leaked model with unprecedented risks" (2026/3), CoinDesk "Anthropic massive Claude Mythos leak" (2026/3/27), GitHub: LLM4Decompile (albertan017/LLM4Decompile), BrightCoding "Mizuchi LLM Pipeline for Perfect Decompilation" (2026/3), arxiv: ReCopilot (2505.16366v1), RevEng.AI "Training an LLM to Decompile Assembly Code", arxiv: LLM4Decompile paper (2403.05286v2), GitHub: humanify (jehna/humanify), GitHub: DAILA (mahaloz/DAILA), NDSS 2026 "Decompiling the Synergy: An Empirical Study of Human-LLM Teaming in Software Reverse Engineering", Secybers "Ghidra vs IDA Pro 2026", Promon "App Threat Report 2026 Q1: The State of Code Obfuscation Against AI", Promon "AI deobfuscators won't help hackers yet", Google Cloud Blog "Scaling Up Malware Analysis with Gemini 1.5 Pro", Google Cloud Blog "Gemini for Malware Analysis", TechCrunch "Investors spill what they aren't looking for in AI SaaS" (2026/3), CNBC "Story raises funds from a16z to stop IP theft by AI" (2024/8), KoreaTechDesk "a16z $80M for IP Protection in Age of AI", Greenberg Traurig "Reverse Engineering in the Age of AI: Are Your Trade Secrets Still Safe?" (2025/12), Intel Confidential Computing Whitepaper (2025), HPE Security Advancements (2026/3), JDSupra "2025 AI and Trade Secret Law Retrospective", Anthropic "acquires Bun as Claude Code reaches $1B milestone" (2025/12), Yahoo Finance "Anthropic ARR surges to $19 billion" (2026), TechCrunch "Anthropic raises $30B Series G at $380B valuation" (2026/2)