Утечка кода Anthropic’s Claude раскрывает инструменты автономных агентов и неанонсированные модели

Anthropic опубликовала полный исходный код для Claude Code после того, как из-за неправильно настроенного файла карты исходников он был опубликован в npm, предоставив редкий взгляд на один из самых важных коммерческих продуктов компании.

Файл, собранный вместе с версией 2.1.88, содержал почти 60 мегабайт внутреннего материала, включая около 512,000 строк TypeScript в 1,906 файлах. Чаофань Шоу, инженер-программист, проходивший стажировку в Solayer Labs, впервые заметил утечку, которая быстро распространилась в X и GitHub, поскольку разработчики начали изучать кодовую базу.

Раскрытие показало, как Anthropic создавал Claude Code, чтобы оставаться в фокусе во время длительных сессий программирования. Одной из самых ясных находок стала трехуровневая система памяти, сосредоточенная вокруг легковесного файла под названием MEMORY.md, который хранит короткие ссылки вместо полной информации. Более подробные заметки по проекту сохраняются отдельно и подключаются только при необходимости, а историю прошлых сессий ищут выборочно, а не загружают целиком сразу. В коде также указано системе проверять свою память по фактическому коду перед тем, как предпринимать действия; это задумано для снижения ошибок и ложных предположений.

Также источник предполагает, что Anthropic разрабатывает более автономную версию Claude Code, чем ту, которую сейчас видят пользователи. Функция, неоднократно упоминаемая под именем KAIROS, по всей видимости, описывает режим демона, в котором агент может продолжать работу в фоне вместо ожидания прямых запросов.

Еще один процесс, называемый autoDream, по-видимому, отвечает за консолидацию памяти в периоды простоя: он устраняет противоречия и превращает предварительные наблюдения в подтвержденные факты. Разработчики, просматривавшие код, также обнаружили десятки скрытых флагов функций, включая упоминания автоматизации браузера через Playwright.

Утечка также раскрыла внутренние названия моделей и данные о производительности. Согласно источнику, Capybara относится к варианту Claude 4.6, Fennec соответствует релизу Opus 4.6, а Numbat остается в предпрогонных тестах.

Внутренние бенчмарки, процитированные в коде, показали, что последняя версия Capybara имеет долю ложных утверждений 29%–30%, что выше 16.7% в более ранней итерации. В источнике также упоминался контрвес к настойчивости, разработанный для того, чтобы модель не становилась слишком агрессивной при рефакторинге пользовательского кода.

Одна из самых чувствительных утечек касалась функции, описанной как Undercover Mode. Восстановленный системный промпт предполагает, что Claude Code можно использовать для вклада в публичные репозитории открытого исходного кода, не раскрывая, что в этом участвовал ИИ. В инструкциях прямо говорится, что модели следует избегать раскрытия внутренних идентификаторов, включая codenames Anthropic, в сообщениях коммитов или в публичных git-логах.

Слитые материалы также раскрыли механизм разрешений Anthropic, логику оркестрации для сценариев с несколькими агентами, bash-системы валидации и архитектуру серверов MCP, предоставив конкурентам подробный взгляд на то, как работает Claude Code. Раскрытие также может дать злоумышленникам более четкую дорожную карту для создания репозиториев, предназначенных для эксплуатации модели доверия агента. Вставленный текст говорит, что один разработчик уже начал переписывать части системы на Python и Rust под названием Claw Code в течение часов после утечки.

Раскрытие исходных данных совпало с отдельной атакой на цепочку поставок, связанной с вредоносными версиями пакета axios npm, распространенными 31 марта. Разработчики, которые устанавливали или обновляли Claude Code через npm в тот период, также могли подтянуть скомпрометированную зависимость, которая, как сообщается, содержала троян удаленного доступа. Исследователи безопасности призвали пользователей проверить свои lockfile, обновить учетные данные (rotate credentials) и в некоторых случаях рассмотреть полную переустановку операционной системы на затронутых машинах.

Инцидент — это второй известный случай примерно за тринадцать месяцев, когда Anthropic раскрыла чувствительные внутренние технические детали, после более раннего эпизода в феврале 2025 года, связанного с не выпущенной информацией о моделях.

После последнего взлома Anthropic назначила свою автономную установку в виде отдельного бинарного файла предпочтительным способом установки Claude Code, поскольку она обходит цепочку зависимостей npm. Пользователям, которые остаются на npm, порекомендовали закрепить версии (pin) к проверенно безопасным, выпущенным до скомпрометированного пакета.

                    **Disclosure:** Эта статья была отредактирована Эстефано Гомесом. Для получения дополнительной информации о том, как мы создаем и проверяем контент, см. нашу Editorial Policy.