Полная хроника утечки исходного кода Claude Code: эффект бабочки, вызванный одним файлом .map

Автор: Claude

I. Причина

В ночь на 31 марта 2026 года твит в сообществе разработчиков вызвал бурю негодования.

Chaofan Shou, стажёр компании по блокчейн-безопасности, обнаружил, что в официальном npm-пакете Anthropic вместе с ним прикреплён файл source map, из‑за чего полный исходный код Claude Code оказался выставлен в открытый доступ в интернете. Затем он сразу же опубликовал это открытие в X и приложил прямую ссылку на скачивание.

Эта публикация разорвалась в сообществе разработчиков, как сигнал в воздухе. В течение нескольких часов более 512 000 строк кода TypeScript были продублированы на GitHub, и тысячи разработчиков в реальном времени провели анализ.

Это стало вторым крупным инцидентом утечки важной информации у Anthropic менее чем за неделю.

Ровно за пять дней до этого (26 марта) ошибка в конфигурации CMS у Anthropic привела к публичному раскрытию почти 3000 внутренних файлов, включая черновые материалы блога с заявкой на выход модели «Claude Mythos».

II. Как произошла утечка?

Техническая причина этого инцидента звучит почти анекдотично — корневая причина в том, что в npm-пакете по ошибке оказался включён файл source map (.map).

Такие файлы предназначены для сопоставления с исходным кодом сжатого и обфусцированного производственного кода, чтобы при отладке можно было находить номера строк ошибок. А в этом .map-файле содержится ссылка на zip-архив в собственном хранилище Anthropic Cloudflare R2.

Shou и другие разработчики просто скачали этот zip-архив — без каких‑либо хакерских приёмов. Файл находился там, полностью в открытом доступе.

Пострадала версия @anthropic-ai/claude-code v2.1.88, к которой прилагался JavaScript source map-файл объёмом 59,8MB.

В ответе на заявление The Register Anthropic признала: «Ранее, в феврале 2025 года, подобшая утечка исходного кода произошла с более ранней версией Claude Code». Это означает, что тот же самый ошибочный сценарий повторился дважды за 13 месяцев.

Иронично, что внутри Claude Code есть система под названием «Undercover Mode（卧底模式）», специально разработанная, чтобы не допустить непреднамеренного раскрытия внутренних кодовых названий Anthropic в истории git-коммитов… а затем инженер упаковал весь исходный код в .map-файл.

Ещё одним возможным толчком к инциденту могла стать сама цепочка инструментов: Anthropic в конце года приобрела Bun, а Claude Code как раз и построен на Bun. 11 марта 2026 года кто‑то подал отчёт об ошибке в системе отслеживания проблем Bun ( #28001 ), указав, что Bun в production-режиме всё ещё создаёт и выводит source map, что противоречит официальной документации. Этот issue до сих пор остаётся открытым.

Официальный ответ Anthropic при этом краток и сдержан: «Никакие пользовательские данные или учётные данные не были затронуты или раскрыты. Это человеческая ошибка в процессе сборки и публикации, а не уязвимость безопасности. Мы продвигаем меры, чтобы предотвратить подобные инциденты в будущем».

III. Что было утечено?

Масштаб кода

Содержимое этой утечки охватывает примерно 1900 файлов и более 500 000 строк кода. Это не веса модели, а инженерная реализация всего «программного слоя» Claude Code — включая фреймворк вызова инструментов, оркестрацию мультиагентов, систему прав, систему памяти и другие ключевые элементы архитектуры.

Дорожная карта ещё не выпущенных функций

Это наиболее стратегически ценная часть утечки.

Автономный охранный процесс KAIROS: это кодовое название, упомянутое более 150 раз, происходит из древнегреческого «надлежащее время» и символизирует фундаментальный переход Claude Code к «постоянно работающему в фоне Agent». В KAIROS есть процесс под названием autoDream, который выполняет «интеграцию памяти», когда пользователь свободен: он объединяет фрагментированные наблюдения, устраняет логические противоречия и закрепляет расплывчатые инсайты в виде определённых фактов. Когда пользователь возвращается, контекст Agent уже очищен и высоко релевантен.

Внутренние кодовые названия моделей и данные о производительности: в утечке подтверждается, что Capybara — это внутреннее кодовое название варианта Claude 4.6, Fennec соответствует Opus 4.6, а ещё не выпущенный Numbat по-прежнему находится на тестировании. Комментарии в коде также раскрывают, что для Capybara v8 доля ложных утверждений составляет 29–30% — по сравнению с 16,7% у v4 это ухудшение.

Механизм анти- дистилляции (Anti-Distillation): в коде присутствует флажок функции под названием ANTI_DISTILLATION_CC. При включении Claude Code внедряет в запросы API ложные определения инструментов, чтобы загрязнить поток данных API, которые конкуренты могли бы использовать для тренировки модели.

Список beta-функций: файл constants/betas.ts раскрывает все beta-функции Claude Code и API-согласований, включая окно контекста на 1 000 000 token (context-1m-2025-08-07), AFK-режим (afk-mode-2026-01-31), управление бюджетами задач (task-budgets-2026-03-13) и целый ряд других возможностей, пока не опубликованных.

Встроенная система виртуальных партнёров «в стиле покемонов»: в коде даже спрятана полноценная система виртуальных партнёров (Buddy), включающая редкость видов, блестящие варианты, программно генерируемые атрибуты и «описание души», написанное Claude при первом вылуплении. Типы партнёров определяются детерминированным псевдослучайным генератором на основе хэша user ID: один и тот же пользователь всегда получает одного и того же партнёра.

IV. Параллельная атака на цепочку поставок

Этот инцидент не произошёл в изоляции. В то же окно по времени, когда утекал исходный код, на npm-пакет axios была совершена отдельная атака на цепочку поставок.

В период с 00:21 до 03:29 UTC 31 марта 2026 года, если при установке или обновлении Claude Code через npm можно было непреднамеренно добавить вредоносную версию, содержащую троян удалённого доступа (RAT) (axios 1.14.1 или 0.30.4).

Anthropic рекомендует затронутым разработчикам считать хост полностью скомпрометированным, ротировать все ключи и заново установить операционную систему.

Совпадение этих двух событий по времени делает ситуацию ещё более запутанной и опасной.

V. Влияние на отрасль

Прямой ущерб для Anthropic

Для компании с годовой выручкой 19 миллиардов долларов США, находящейся в фазе быстрого роста, эта утечка — это не просто сбой в области безопасности, а истечение стратегически важной интеллектуальной собственности.

Хотя бы часть возможностей Claude Code берётся не не из базовых больших языковых моделей как таковых, а из «фреймворка» — программного «каркаса», построенного вокруг модели: он подсказывает, как модель должна использовать инструменты, и обеспечивает важные защитные ограждения и инструкции для нормирования поведения модели.

Эти защитные ограждения и инструкции теперь видны конкурентам как на ладони.

Предупреждение для всей экосистемы инструментов AI Agent

Утечка не похоронит Anthropic, но она даёт всем конкурентам бесплатный учебник по инженерии — как строить производственные AI-программирующие Agent, и какие направления инструментов стоит вложить в первую очередь.

Истинная ценность утекшего контента не в самом коде, а в продуктовой дорожной карте, которую раскрывают функциональные флаги. KAIROS, механизмы анти-дистилляции — это стратегические детали, которые конкуренты теперь могут предвидеть и заранее на них отреагировать. Код можно переписать, но стратегические «сюрпризы», если они утекли, уже не вернуть.

VI. Глубокие выводы для Agent Coding

Эта утечка — зеркало, отражающее несколько ключевых тезисов современной инженерии AI Agent:

1. Границы возможностей Agent во многом определяются «уровнем фреймворка», а не самой моделью

Публичное раскрытие 500 000 строк кода Claude Code показывает факт, значимый для всей отрасли: та же базовая модель, но с разными фреймворками оркестрации инструментов, механизмами управления памятью и системами прав, даст совершенно разные возможности Agent. Это означает, что «у кого модель самая сильная» больше не является единственным измерением конкуренции — «у кого фреймворк лучше спроектирован» тоже критически важно.

2. Долгосрочная автономность — следующее ключевое поле боя

Наличие охранного процесса KAIROS показывает, что следующая стадия конкуренции в индустрии будет сосредоточена на «обеспечении того, чтобы Agent продолжал эффективно работать и без надзора людей». Интеграция памяти в фоне, перенос знаний между сессиями, автономное рассуждение во время простоя — как только эти возможности созреют, они полностью изменят базовую модель взаимодействия Agent и человека.

3. Анти-дистилляция и защита интеллектуальной собственности станут новыми базовыми темами в AI-инженерии

В кодовом слое Anthropic реализовала механизм анти-дистилляции — это предвещает формирование нового инженерного направления: как предотвратить использование собственных AI-систем конкурентами для сбора тренировочных данных. Это не только вопрос технологий — это также будет эволюционировать в новое поле юридического и коммерческого противоборства.

4. Безопасность цепочки поставок — Ахиллесова пята AI-инструментов

Когда инструменты для программирования на AI распространяются через публичные менеджеры пакетов вроде npm, они, как и любой другой open-source, сталкиваются с риском атак на цепочку поставок. При этом особенность AI-инструментов в том, что после встраивания бэкдора злоумышленник получает не только право выполнения кода, но и глубокое проникновение во весь процесс разработки.

5. Чем сложнее система, тем сильнее нужна автоматизация защит при публикации

«Одна ошибка в .npmignore или в поле files внутри package.json — и можно раскрыть всё». Для любой команды, создающей продукты с AI Agent, этот урок не обязательно усваивать ценой столь дорогого инцидента: внедрение автоматизированной проверки публикуемого содержимого в CI/CD-пайплайне должно стать стандартной практикой, а не мерой по спасению после того, как уже «поздно закрывать ворота».

Послесловие

Сегодня 1 апреля 2026 года, день дурака. Но это не шутка.

За тринадцать месяцев Anthropic совершила ту же ошибку дважды. Исходный код уже зеркально продублирован по всему миру, а запросы на удаление по DMCA не поспевают за скоростью форков. Та дорожная карта продукта, которая должна была храниться глубоко внутри внутренней сети, теперь — справочный материал для всех.

Для Anthropic это болезненный урок.

Для всей отрасли это случай неожиданной прозрачности — возможность увидеть, как именно самые передовые AI-программирующие Agent сегодня собираются «по одной строке».