Полная хроника утечки исходного кода Claude Code: эффект бабочки, вызванный одним файлом .map

Заметка: Клод

I. Происхождение

Ранним утром 31 марта 2026 года твит в сообществе разработчиков вызвал бурю негодования.

Chaofan Shou, стажёр компании по блокчейн-безопасности, обнаружил, что официальный npm-пакет Anthropic содержит файл source map, в результате чего весь исходный код Claude Code оказался выложен в открытый доступ. Затем он сразу же опубликовал эту находку в X и приложил прямую ссылку для скачивания.

Этот пост взорвался в сообществе разработчиков, словно сигнальная ракета. В течение нескольких часов более 512 тыс. строк кода на TypeScript были отзеркалены на GitHub, и тысячи разработчиков в режиме реального времени проводили анализ.

Это второй крупный инцидент с утечкой важной информации, произошедший в Anthropic менее чем за неделю.

Ровно за пять дней до этого (26 марта) ошибка в конфигурации CMS в Anthropic привела к раскрытию почти 3000 внутренних файлов, включая черновой блог о модели “Claude Mythos”, релиз которой был запланирован.

II. Как произошла утечка?

Техническая причина этого инцидента до смешного абсурдна — основная причина заключается в том, что в npm-пакет по ошибке был включён файл source map (.map).

Такие файлы предназначены для сопоставления сжатого и обфусцированного production-кода с исходным кодом, чтобы при отладке можно было находить номера строк ошибок. А в этом .map-файле содержится ссылка на zip-архив в хранилище Anthropic в Cloudflare R2.

Shou и другие разработчики просто скачали этот zip-архив напрямую — без каких-либо хакерских приёмов. Файл находился там, полностью в открытом доступе.

Пострадавшей версией стала v2.1.88 пакета @anthropic-ai/claude-code, которая шла в комплекте с файлом JavaScript source map объёмом 59,8 МБ.

В ответе на заявление The Register Anthropic признала: “В более ранней версии Claude Code в феврале 2025 года уже происходила подобная утечка исходного кода”. Это означает, что тот же самый тип ошибки случился дважды за 13 месяцев.

Ирония в том, что внутри Claude Code есть система, называемая “Undercover Mode (режим под прикрытием)”, специально разработанная, чтобы предотвратить случайную утечку внутренних кодовых названий Anthropic в истории git-коммитов… а затем инженеры упаковали весь исходный код в .map-файл.

Ещё одним толчком к инциденту могла стать сама цепочка инструментов: в конце года Anthropic приобрела Bun, а Claude Code как раз построен на Bun. 11 марта 2026 года кто-то отправил баг-репорт в систему отслеживания issue Bun (#28001), указав, что Bun в production-режиме всё равно генерирует и выводит source map, что расходится с утверждениями официальной документации. Этот issue до сих пор находится в открытом состоянии.

Официальный ответ Anthropic был кратким и сдержанным: “Никакие пользовательские данные или учётные данные не были затронуты или раскрыты. Это человеческая ошибка в процессе сборки и упаковки релиза, а не уязвимость безопасности. Мы продвигаем меры, чтобы предотвратить повторение подобных инцидентов.”

III. Что именно утекло?

Масштаб кода

В результате утечки были затронуты примерно 1900 файлов и более 500 тыс. строк кода. Это не веса модели, а инженерная реализация всего “слойного” программного обеспечения Claude Code — включая фреймворк вызовов инструментов, оркестрацию мультиагентов, систему прав, систему памяти и другие ключевые элементы архитектуры.

Дорожная карта невыпущенных функций

Это наиболее стратегически ценный раздел данной утечки.

Собственный охранный процесс KAIROS: этот код-наименование функции, упомянутый более 150 раз, происходит из древнегреческого выражения “подходящий момент” и отражает фундаментальный переход Claude Code к “постоянно работающему агенту в фоне”. В KAIROS входит процесс по имени autoDream, который в моменты бездействия пользователя выполняет “интеграцию памяти” — объединяет фрагментированные наблюдения, устраняет логические противоречия и фиксирует размытые инсайты в виде определённых фактов. Когда пользователь возвращается, контекст агента уже очищен и максимально релевантен.

Внутренние кодовые названия моделей и данные о производительности: содержание утечки подтверждает, что Capybara является внутренним кодовым названием варианта Claude 4.6, Fennec соответствует Opus 4.6, а ещё не выпущенный Numbat всё ещё находится на тестировании. В комментариях к коду также раскрывается, что у Capybara v8 частота ложных утверждений составляет 29–30%, что по сравнению с v4 (16,7%) является ухудшением.

Механизм противодействия дистилляции (Anti-Distillation): в коде присутствует флаг функции с названием ANTI_DISTILLATION_CC. После включения Claude Code будет внедрять в API-запросы ложные определения инструментов, чтобы загрязнить данные о потоках API, которые потенциальные конкуренты могут использовать для обучения моделей.

Список бета-функций API: файл constants/betas.ts раскрывает все beta-функции, согласованные для Claude Code и API, включая окно контекста на 1 млн токенов (context-1m-2025-08-07), режим AFK (afk-mode-2026-01-31), управление бюджетом задач (task-budgets-2026-03-13) и целый ряд других возможностей, которые ещё не были опубликованы.

Встроенная покемоноподобная система виртуальных напарников: в коде даже спрятана целая система виртуальных напарников (Buddy), включая редкость видов, блестящие варианты, программно генерируемые атрибуты, а также “описание души”, написанное Claude при первом инкубировании. Типы напарников определяются детерминированным псевдослучайным генератором, который использует хэш пользовательского ID: один и тот же пользователь всегда получает одного и того же напарника.

IV. Параллельная атака на цепочку поставок

Этот инцидент не был изолированным. В том же временном окне, что и утечка исходного кода, npm-пакет axios подвергся независимой атаке через цепочку поставок.

В период между 00:21 и 03:29 UTC 31 марта 2026 года, если установить или обновить Claude Code через npm, можно было непреднамеренно занести вредоносную версию, содержащую троян удалённого доступа (RAT) (axios 1.14.1 или 0.30.4).

Anthropic порекомендовала разработчикам, которые могли пострадать, считать хост полностью скомпрометированным, выполнить ротацию всех ключей и переустановить операционную систему.

Наложение этих двух инцидентов по времени сделало ситуацию ещё более запутанной и опасной.

V. Влияние на отрасль

Прямой ущерб для Anthropic

Для компании с годовой валовой выручкой 19,0 млрд долларов, находящейся в фазе быстрого роста, эта утечка — не просто упущение в области безопасности, а потеря стратегической интеллектуальной собственности.

Хотя бы часть возможностей Claude Code не исходит напрямую из базовой большой языковой модели — это программный “фреймворк”, построенный вокруг модели: он подсказывает, как модели использовать инструменты, и предоставляет важные ограждения и инструкции, чтобы нормировать поведение модели.

Эти ограждения и инструкции теперь видны конкурентам как на ладони.

Предупреждение для всей экосистемы инструментов AI Agent

Эта утечка не уничтожит Anthropic, но она предоставляет всем конкурентам бесплатный инженерный учебник — как строить production-уровневые AI programming agents и какие направления по инструментам стоит вложить в первую очередь.

Истинная ценность утекшего содержания заключается не в самом коде, а в продуктовой дорожной карте, раскрываемой через функциональные флаги. KAIROS, механизмы противодействия дистилляции — это стратегические детали, которые конкуренты теперь могут предвидеть и реагировать на них заранее. Код можно переписать, но если стратегия утекла, вернуть эффект назад уже невозможно.

VI. Глубокие выводы для Agent Coding

Эта утечка — зеркало, отражающее несколько ключевых тезисов современной инженерии AI Agent:

1. Границы возможностей агента в значительной степени определяются “слоем фреймворка”, а не самой моделью

Публикация 500 тыс. строк кода Claude Code демонстрирует факт, важный для всей отрасли: при одинаковой базовой модели, но при разных фреймворках оркестрации инструментов, механизмах управления памятью и системах прав — агентские возможности получаются совершенно разными. Это означает, что конкуренция уже не сводится к тому, “чья модель сильнее” — не менее критично, “чей фреймворк-движок более отточен”.

2. Дальняя автономность станет следующим ключевым полем боя

Наличие охранного процесса KAIROS показывает, что следующая волна конкуренции в отрасли будет сфокусирована на том, чтобы “агент мог оставаться постоянно эффективным и без надзора”. Фоновая интеграция памяти, перенос знаний между сессиями, автономные рассуждения в моменты простоя — когда эти способности созреют, они полностью изменят базовую модель сотрудничества агента и человека.

3. Anti-Distillation и защита интеллектуальной собственности станут новой фундаментальной темой AI-инженерии

Anthropic реализовала anti-dистилляцию на уровне кода, что сигнализирует о формировании нового инженерного направления: как не допустить, чтобы собственные AI-системы использовали конкуренты для сбора обучающих данных. Это будет не только технический вопрос, но и новая линия противостояния в правовой и коммерческой плоскости.

4. Безопасность цепочек поставок — Ахиллесова пята AI-инструментов

Когда инструменты для программирования на AI распространяются самими пайплайнами публичных менеджеров пакетов, таких как npm, они сталкиваются с теми же рисками атак через цепочку поставок, что и любые другие open-source-продукты. А особенность AI-инструментов в том, что если в них вшить backdoor, атакующий получает не только право на выполнение кода, но и глубокое проникновение во весь процесс разработки.

5. Чем сложнее система, тем сильнее нужна автоматизация защитников релиза

“Один неправильно настроенный .npmignore или поле files в package.json — и будет раскрыто всё.” Для любой команды, разрабатывающей продукты AI Agent, этот урок не требует такой дорогой цены — достаточно встроить в CI/CD-пайплайны автоматическую проверку публикуемого контента как стандартную практику, а не ограничиваться мерами по тушению пожара после того, как беда случилась.

Послесловие

Сегодня 1 апреля 2026 года — День смеха. Но это не шутка.

В течение тринадцати месяцев Anthropic дважды совершила ту же самую ошибку. Исходники уже отзеркалены по всему миру, запросы на удаление по DMCA не успевают за скоростью форков. Та дорожная карта продукта, которая должна была быть спрятана во внутренней сети, теперь является справочным материалом для всех.

Для Anthropic это болезненный урок.

Для всей отрасли — момент непредвиденной прозрачности: давайте посмотрим, как именно сейчас самые передовые AI programming agents собираются по строкам.