- Claude Code इश्यू #74066 में एक Enterprise ZDR workspace उपयोगकर्ता ने रिपोर्ट किया कि उसकी session में उसके काम से असंबंधित Minecraft temple से जुड़ा response मिल गया, और इसने workspace cache isolation तथा consumer plans के बीच संभावित leak पर सवाल उठाया
- रिपोर्ट किया गया environment macOS(darwin), Apple_Terminal, Claude Code 2.1.199 था, और उपयोगकर्ता ने बताया कि वह एक असामान्य setup इस्तेमाल कर रहा था जिसमें वास्तविक working directory और execution directory अलग थीं; साथ ही
/compact के बाद execution directory वाले project को agent ने छेड़ना शुरू कर दिया था, जिससे अलग तरह का भ्रम भी पैदा हुआ
- एक टिप्पणी में सुझाव दिया गया कि
~/.claude/projects/<encoded-cwd>/<session-id>.jsonl में मौजूद local transcript को grep करके पहले यह अलग किया जाए कि मामला local context contamination का है या server-side leak का; रिपोर्ट करने वाले ने जवाब दिया कि Minecraft से जुड़े local matches मौजूदा session log और minecraft.py path के अलावा नहीं मिले
- बाद में उसी Enterprise account की Claude Mobile session में भी असंबंधित 3-panel abstract print से जुड़ी सामग्री मिल गई; समानताओं के रूप में Sonnet 5, 5 मिनट से अधिक समय बाद पहला response, और cache miss का ज़िक्र किया गया, और
/feedback सबमिट करके internal escalation किया गया
- अन्य प्रतिभागियों ने Claude Code, API, और office में Claude इस्तेमाल करते समय हुए मिलते-जुलते अनुभव साझा किए, लेकिन कुछ ने hallucination की संभावना या यह संभावना भी उठाई कि समस्या सिर्फ Claude Code तक सीमित न हो; इश्यू पेज पर Anthropic की ओर से अंतिम root-cause analysis या fix result उपलब्ध नहीं है
रिपोर्ट की गई घटना
- Claude Code इश्यू #74066 एक ऐसे मामले को कवर करता है जिसमें Enterprise ZDR workspace में authenticated होने के बावजूद agent ने अचानक कहा कि वह “Minecraft temple” बना रहा है
- उपयोगकर्ता ने लिखा कि agent ने पूछा कि उसे किस तरह की bricks चाहिए, और recap में भी उसने आत्मविश्वास से कहा कि वह Minecraft temple बना रहा है
- समस्या को लेकर दो तरह की आशंकाएँ उठाई गईं
- उसी workspace के किसी सहकर्मी की session या cache मिल गई हो सकती है
- consumer plan से आया content Enterprise ZDR session में मिल गया हो सकता है
- रिपोर्ट किए गए environment details
- Platform:
darwin
- Terminal:
Apple_Terminal
- Version:
2.1.199
- Feedback ID:
f336f5d2-3992-4a04-9e1f-ec30f006f75e
execution directory और working directory का भ्रम
- उपयोगकर्ता ने session एक ऐसी directory से शुरू की जो उसके वास्तविक काम से संबंधित नहीं थी
- क्योंकि उस directory में ज़रूरी context वाली
.claude directory मौजूद थी
- वास्तविक काम वह किसी दूसरी directory में कर रहा था
/compact के बाद agent एक बार उपयोगकर्ता के निर्देश भूलकर execution directory वाले project पर काम करने लगा
- उपयोगकर्ता ने कहा कि यह directory confusion शायद उसकी अपनी setup की वजह से हुआ, लेकिन इसे Minecraft से जुड़े prompt के मिल जाने वाली घटना से अलग माना जाना चाहिए
local transcript जांचने का सुझाव
- एक प्रतिभागी ने पहले यह जांचने का सुझाव दिया कि “Minecraft temple” टेक्स्ट local session files में मौजूद है या नहीं
- उसने समझाया कि Claude Code CLI के send/receive data को session-wise transcript के रूप में
~/.claude/projects/<encoded-cwd>/<session-id>.jsonl में store किया जाता है
- सुझाया गया command यह था
grep -rli 'minecraft\|temple\|brick' ~/.claude/projects/ 2>/dev/null
- नतीजों की व्याख्या दो तरह से की गई
- अगर कोई file match करती है, तो टेक्स्ट local में मौजूद है, इसलिए यह local context/transcript bleed हो सकता है
- अगर local में match नहीं मिलता, तो वह टेक्स्ट उस machine पर कभी send/receive नहीं हुआ, इसलिए model या server-side समस्या पर शक करना चाहिए
- यह जांचने के लिए कि क्या local confusion किसी दूसरी session से आया है, एक और command भी सुझाया गया
grep -rli minecraft ~/.claude/projects/ | while read f; do
printf '%s %s\n' "$(grep -m1 -o '"cwd":"[^"]*"' "$f")" "$f"; done
- सुझाव देने वाले का मानना था कि launch cwd transcript storage location और context key, दोनों की भूमिका निभाता है; इसलिए असंबंधित directory से शुरू करके
/compact इस्तेमाल करने पर directory confusion हो सकती है
- लेकिन उसने यह भी अलग से कहा कि यह mechanism directory confusion को समझा सकता है, उपयोगकर्ता द्वारा कभी न लिखे गए Minecraft prompt को नहीं
रिपोर्ट करने वाले की अतिरिक्त जांच
- रिपोर्ट करने वाले ने जवाब दिया कि local search के अनुसार, वर्तमान session log में पहली बार leak जैसा दिखने वाले हिस्से और उसके बाद model के साथ हुई बातचीत के अलावा कोई संबंधित match नहीं मिला
minecraft के लिए उसने कहा कि Python virtual environment की file listing में Pygments lexer path minecraft.py एक बार दिखा
temple या bricks शब्द boundaries या Minecraft-संबंधित context में match नहीं हुए
Databricks
bricked by an over-eager click
verdictSignalsLabel के भीतर substring जैसे असंबंधित matches ज़रूर मिले
- उपयोगकर्ता ने बताया कि उसने
/feedback सबमिट किया और internal escalation भी किया
Claude Mobile में मिलता-जुलता मामला
- उसी रिपोर्टकर्ता ने आगे कहा कि उसी Enterprise account की Claude Mobile session में भी इसी तरह की घटना हुई
- उसने समानताओं के रूप में ये बातें गिनाईं
- Sonnet 5
- 5 मिनट से अधिक समय बीत जाने के बाद पहला response
- cache miss की स्थिति
- ईमेल attachment image अपलोड न होने पर उसने OCR text को comment में डाल दिया
- उपयोगकर्ता ने CSV files को एक folder में इकट्ठा किया था और Google Drive folder link देकर मदद मांगी थी
- Claude ने wall के वास्तविक dimensions के हिसाब से 3-panel abstract print set mockup और artists व shops की research जैसी, अनुरोध से असंबंधित बातें कहीं
- फिर उसने “Detecting injection attempt, proceeding...” कहा और उस content को injection की तरह treat किया
- दिखाए गए thought process में यह शामिल था कि उपयोगकर्ता के CSV अनुरोध से असंबंधित wall dimensions और art print वाला block घुसा हुआ है, और वह Drive folder ID निकालकर CSV files को process करने की कोशिश कर रहा है
अन्य प्रतिभागियों के अनुभव और प्रतिक्रियाएँ
- एक प्रतिभागी ने लिखा कि पिछले हफ्ते Sonnet 5 आधारित Claude Code में tool results के बीच ऐसा content मिल गया था जो वास्तव में call किए गए tool से नहीं आया था
- एक manipulated “MCP servers need auth” notification
- किसी और
CLAUDE.md का dump
- नकली “Plan mode is active” निर्देश शामिल थे
- एक अन्य प्रतिभागी ने कहा कि Claude ने कभी उसके दोस्त के रहने की जगह के पास की shops का ज़िक्र किया था, जबकि वह दोस्त भी उसी office में Claude इस्तेमाल करता है
- एक और प्रतिभागी ने कहा कि 2025 में API token इस्तेमाल करते समय ऐसा लगा था जैसे किसी दूसरे agent का tool अचानक दिख गया हो, लेकिन उस समय उसने इसे hallucination मानकर गहराई से जांच नहीं की
- एक comment में संबंधित Claude incident post का link देते हुए कहा गया कि शुरुआत में लगा था कि किसी दूसरे user का data दिख गया, लेकिन बाद में Anthropic ने कहा कि वह internal agent context का गलत exposure था
- कुछ comments ने इस घटना को hallucination जैसा बताया या माना कि यह समस्या सिर्फ Claude Code की नहीं भी हो सकती
मौजूदा स्थिति और बाकी प्रश्न
- पेज पर इश्यू की स्थिति Open है, और मुख्य विवरण में अंतिम root-cause analysis या fix completion की जानकारी नहीं है
- मुख्य प्रश्न यह है कि असंबंधित टेक्स्ट आया कहाँ से
- local transcript या launch cwd आधारित context confusion
- model या server-side session state समस्या
- internal agent context का गलत exposure
- सामान्य hallucination
- रिपोर्टकर्ता के local search results इस दिशा में इशारा करते हैं कि Minecraft temple या bricks से जुड़ा content पुराने local sessions में नहीं मिला, लेकिन सार्वजनिक इश्यू में Anthropic की आधिकारिक निष्कर्ष उपलब्ध नहीं है
1 टिप्पणियां
Hacker News की राय
मैं कई providers के LLM इस्तेमाल करने वाले पक्ष में गहराई से जुड़ा रहा हूँ, और मुझे कम से कम दो ऐसे मामले पता हैं जहाँ बीच की infrastructure ने responses को आपस में बदल दिया
एक बार Claude model प्रभावित हुआ, एक बार GPT model, और providers अलग-अलग थे
एक provider ने ठीक-ठाक postmortem दिया: API gateway ने HTTP 100 status code को गलत handle किया, जिससे वह error state में चला गया और असल में off-by-one error हो गया; मुझे मेरे request से ठीक पहले वाले prompt का response मिला, और मेरा response अगले caller को चला गया
दूसरे provider ने root cause नहीं बताया, बस इतना कहा कि भरोसा करें कि ऐसा फिर नहीं होगा
दोनों ही कंपनियाँ 1 trillion dollar से अधिक market cap वाली थीं
इस मामले में response transit के दौरान बदला था, इसलिए ZDR अपने-आप में नहीं टूटा था, लेकिन मुझे लगता है कि यह मिलता-जुलता मुद्दा हो सकता है। शायद data preserve नहीं हो रहा, बल्कि बीच की infrastructure में सुरक्षित तरीके से isolate नहीं हो रहा हो
कई बार client इसे जानबूझकर दूसरे clients के responses ताकने के लिए इस्तेमाल करते हैं
जब भी कई clients के requests को एक upstream connection पर multiplex किया जाता है, vulnerability की संभावना रहती है, क्योंकि दिखने के विपरीत HTTP इतना जटिल है कि requests और responses को upstream में भरोसेमंद तरीके से match करना मुश्किल होता है
उदाहरण के लिए, अगर एक से ज्यादा Content-Length headers हों, Content-Length और chunked encoding को मिलाया जाए, या ऐसा HTTP/2 Content-Length header पास किया जाए जो वास्तविक body length से match न करे, तो कुछ systems में desynchronization trigger हो सकता है
इस विषय पर DEF CON talk है: https://www.youtube.com/watch?v=w-eJM2Pc0KI
यही attack message terminator के आसपास line breaks को उलझाकर SMTP पर भी लागू किया गया था, और वहाँ इसे SMTP smuggling कहते हैं। यह दूसरे protocols पर भी लागू हो सकता है
उदाहरण के लिए, अगर PHI handle हो रहा हो, तो Claude ने कुछ भी preserve न किया हो तब भी response leak HIPAA violation हो सकता है, और मूल मकसद तो HIPAA compliance ही रहा होगा—इसे कैसे देखा जाए, यह जानना चाहूँगा
जिन actors के positive moral value के दावे भी मुश्किल से credible लगते हैं, उनके हर नए behavior को जल्दी, बार-बार report, discuss, dissect और criticize किया जाना चाहिए
AGENTS.md में बस यह line जोड़ दें, “जब तक स्पष्ट रूप से न कहा जाए, Minecraft की बात कभी न करें”, तो शायद ठीक हो जाएगा
साबित होने तक यह hallucination जैसा लगता है। Leading LLMs भी कभी-कभी ऐसा करते हैं, और वह हमेशा plausible दिखता है
Session में शायद बहुत ज्यादा पिछला context था, जैसे 800k tokens से ज्यादा, और ऐसे मामलों में hallucination की संभावना बढ़ जाती है, ऐसा मुझे लगता है
Original poster की related comment भी hallucination की संभावना बढ़ाती है: Python virtualenv file list output करने वाले tool call result में
minecraft.pypath string शामिल थी, और Pygments package मेंminecraft.pyनाम का lexer हैHallucination आमतौर पर plausible मगर गलत answer होता है, या generated citation जैसी ऐसी गढ़ी गई जानकारी जो सबसे संभावित response के हिसाब से fit की गई हो, और यह LLM के token predict करने के तरीके से निकलता है। इस case में output बिल्कुल plausible नहीं है, इसलिए hallucination से ठीक match नहीं करता
इसका मतलब यह भी नहीं कि यह ज़रूर cross-session leak ही है; यह training data हो सकता है या खाली prompt देने पर conversation उगलने वाली Magpie-style data generation जैसी चीज़ हो सकती है
Caching से जुड़े नीचे के comments देखें तो cache की जगह कुछ भी load न हो पाने के कारण random generation उगलने वाली error की संभावना भी दिखती है
Correction: नया नाम magpie था। LLM का खाली prompt से random conversations generate करना देखने लायक concept है, और यह session leak जितना ही possible लगता है: https://github.com/magpie-align/magpie
उसी Enterprise account के Claude Mobile session में भी यही हुआ, और common factor Sonnet 5 तथा 5 मिनट से ज्यादा के बाद पहला response, यानी cache miss, था
Transparency बहुत कम है, इसलिए अगर वे leak न होने से इनकार भी करें तो पक्का पता नहीं चल सकता—यह अफसोसजनक है
अगर आपने LLMs काफी इस्तेमाल किए हैं, तो आपने देखा होगा कि सभी models कभी-कभी अचानक किसी बिल्कुल अलग भाषा में बकवास उगलने लगते हैं। एक निश्चित अनुपात में वे पूरी तरह अजीब हो सकते हैं
पिछले कुछ दिनों से Gemini में भी यह देख रहा हूँ
काफी बड़े input वाले prompts में अक्सर ऐसा answer आता है जो किसी और का लगता है। यह induced hallucination भी हो सकता है, लेकिन cache collision या किसी और issue जैसा भी लगता है
मैंने personal information leak होने का evidence नहीं देखा, लेकिन किसी topic पर research करते समय अचानक math tutoring answer जैसा कुछ मिलना बेचैन करता है
लगता है कि अभी background में कोई बड़ा security incident चल रहा हो सकता है
मैं AI से metaparsing grammar लिखवाने में मदद ले रहा था, और सौभाग्य से उनमें से ज्यादातर अभी public नहीं किए हैं
यह साफ समझ आ रहा है कि next-generation models, खासकर अगर उन्हें पता हो कहाँ देखना है, basic vulnerability identification और exploitation में बड़ा step change दिखाते हैं। मेरे parsing tools में भी उसने पहले ही कुछ bugs और कम से कम एक exploit ढूंढ लिया है, और आधुनिक tech ecosystem में अभी कितना बाकी होगा, इसकी कल्पना मुश्किल है
अक्सर वे दूसरी भाषा में भी आते हैं
जब response आता है तब की बात है; वरना बस 1099 error code वापस देता है
Claude Code टीम के Thariq बोल रहा हूँ
विस्तृत रिपोर्ट के लिए धन्यवाद, और मुझे यकीन है कि यह hallucination है, लेकिन स्वाभाविक रूप से हम ऐसी रिपोर्टों को गंभीरता से लेते हैं और टीम इसकी जाँच कर रही है। कुछ पता चला तो फिर बताऊँगा
अभी
.claudeफ़ोल्डर में जाकर project folder name जैसी चीज़ें बदलने पर कभी-कभी memory ठीक से load नहीं होती। import/export को और आसान बनाया जा सके तो अच्छा होगाविकल्प सिर्फ़ दो हैं क्या? या तो यह अद्भुत तकनीक इतनी बेवकूफ़ है कि randomly Minecraft निकाल लाती है, या फिर कोई गंभीर security issue है?
minecraft.pyथा, और session context भी बहुत लंबा थालंबे context वाले LLM session का कभी-कभी पटरी से उतर जाना दुर्लभ नहीं है। जो लोग हर LLM interaction में पूर्ण perfection की उम्मीद करते हैं, वे इसे पूरी technology के ख़िलाफ़ व्यापक indictment मानते हैं, लेकिन जो लोग इसे रोज़ इस्तेमाल करते हैं वे मान लेते हैं कि output आंशिक रूप से probabilistic होता है और model उपलब्ध कराए तब भी बहुत लंबे context से बचना सीखते हैं
रणनीतिक रूप से compress करना या अगले steps को summarize करके नए session में ले जाना बेहतर है। sub-session इस्तेमाल करने पर summary और data handoff में ज़्यादा token लगते हैं, लेकिन context contamination कम हो सकता है
बेहतरीन engineers में भी ऐसे लोग रहे हैं जो अचानक Minecraft की बात छेड़ देते थे, और आजकल हो तो Factorio होने की संभावना ज़्यादा है, इसलिए बात समझ आती है
minecraft.pyfile तो थी। इसलिए यह पूरी तरह 100% random नहीं हैpayment/subscription की समस्या है, लेकिन न कुछ कर सकता हूँ, न मदद पाने का कोई तरीका है
support chatbot बस block कर देता है, और email भी chatbot ही handle करता है। वही chatbot है या नहीं, यह भी पक्का नहीं। पूरी तरह dead end था, और आखिर में bank यानी credit card issuer से संपर्क किया तो staff ने कहा कि card को lost mark करके reissue कराना बेहतर होगा, इसलिए वही किया। उम्मीद है असर होगा
मुझे कभी समझ नहीं आया कि दुनिया ने कब यह मान लिया कि ऐसी कंपनियों को इतनी सारी unverified authority सौंपना ठीक है। हालाँकि रूप अलग था, पर ऐसा हमेशा से होता आया है
GitHub पोस्ट के पहले comment के रूप में claudeslop जवाब आना, और फिर उस पर प्रतिक्रियाएँ जारी रहना दिलचस्प है
Fable 5 ने क्रम से जिन चीज़ों को refuse किया: “मेरे पास pork shoulder है, red-braised pork की recipe”, “Claude Code के लिए MCP pattern framework लिखना”, “c. elegans की locomotion biomechanics समझाना”
आख़िरी वाला hobby project से जुड़ा था, इसलिए समझता हूँ। service down हो गई है, तो क्या मुझे काम करने वाला Fable 5 का एक और दिन मिल सकता है?
लगता है Anthropic सोचता है कि उसके पास consumers पर कचरा थोपने की monopoly power है, लेकिन मुझे नहीं लगता ऐसा है
क्या LLM में ऐसा कुछ खास है जो customer data को अलग रखना सामान्य SaaS से ज़्यादा कठिन बना देता है?
एक context cache होता है, जो shared state है—इतना बड़ा और महँगा कि हर बार बचना चाहें तो उसे replicate करना मुश्किल है; performance के लिए memory locality बहुत महत्वपूर्ण है; hardware बेहद over-allocated है; और cost भी बहुत ज़्यादा है
इन कारणों से ज़्यादातर workloads और customers के लिए hardware isolation या traditional memory-space isolation—यानी hypervisor/VM/hardware-assisted virtualization—व्यावहारिक रूप से starting point नहीं बन पाते, और सारी isolation software layer पर धकेल दी जाती है। सिर्फ़ यही बात इसे general-purpose SaaS से कहीं ज़्यादा कठिन बना देती है
इसके अलावा जिन tools, frameworks और GPU hardware पर system चलता है, वे task isolation को ध्यान में रखकर design नहीं किए गए, और ऐसी isolation बनाना x86 CPU hardware sharing से भी ज़्यादा नए research area जैसा है। x86 side पर भी पिछले 30+ सालों में भारी मेहनत लगी है
usage/sensitivity के मुकाबले maturity ratio भी कुल मिलाकर अच्छा नहीं है। ये कंपनियाँ young हैं, तेज़ी से develop कर रही हैं, और जबरदस्त customer workload demands के बीच भारी delivery pressure में हैं
original post में सच में problem है या नहीं, यह नहीं पता, लेकिन कुल मिलाकर ऐसे cases और ज़्यादा नहीं हैं, यह उल्टा आश्चर्यजनक है। इस नज़रिए से यह वाकई ताश के पत्तों का घर जैसा है
Codex में मैंने बड़े problems नहीं देखे, लेकिन Claude Code में लगभग हर दिन कोई बड़ा problem report होता दिखता है
और वही पक्ष code पढ़ने या देखने से बचने पर सबसे ज़्यादा गर्व भी करता है
LLM बहुत सक्षम हैं, लेकिन वे जितना प्रचार करते हैं, उससे काफी पीछे हैं
अब हम vibe coding से आगे बढ़कर उस stage तक आ गए हैं जहाँ LLM loop के अंदर खुद को ही vibe-code कर रहा है
मैंने multi-tenant SaaS systems भी बनाए हैं और बहुत पहले थोड़ी GPU programming भी की है, लेकिन दोनों fields को combine नहीं किया