Только что в группе увидел новость — Anthropic снова просочили свои данные 😂

Последний npm-пакет Claude Code, версия 2.1.88, был выпущен вчера, и его обнаружили с 60MB файла source map внутри. Знающие люди понимают, что как только это становится известно, это как будто бы исходный код TypeScript сразу же выкладывается на публику.
Я посмотрел на данные: предыдущая версия 2.1.87 была всего 17MB, а эта сразу выросла до 31MB, а после распаковки — до 60MB. Внутри 1906 исходных файлов, аккуратно организованных: внутренние API, системы телеметрии, инструменты шифрования, IPC — всё полностью раскрыто.
Самое крутое? Это уже не первый раз. Впервые это случилось при первом релизе в феврале прошлого года, тогда тоже просочилось, и потом это тихо исправили. А год спустя — снова та же ошибка. Неясно, был ли это брак у стажёра или баг в скриптах сборки, но повторять такие ошибки дважды — это уже перебор.
На GitHub уже есть репозиторий, где исходники аккуратно собраны — у ghuntley почти тысяча звезд. Конечно, речь идет о коде CLI-клиента, веса модели и пользовательские данные не пострадали, для обычных пользователей это не представляет прямой угрозы.
Но самое интересное в том, что — компания, которая сама пишет инструменты для AI, сама же и просочила свой код. В некотором смысле, это еще один классический пример для темы «безопасности ИИ».
Коллеги, занимающиеся аудитом внутри индустрии, могут уже начать проверку — есть ли там какие-то скрытые «пасхалки», которые еще не нашли.
Не спрашивайте меня, как я это вижу, я считаю, что эта ситуация фактически открыла белым хакерам окно для аудита бесплатно. Что касается внутренней работы Anthropic, им, скорее всего, стоит хорошенько пересмотреть процессы CI/CD.
Это не инвестиционный совет, просто любопытство. 🍉