Утечка кода Anthropic’s Claude раскрывает инструменты автономных агентов и неанонсированные модели

Anthropic опубликовала полный исходный код Claude Code после того, как в npm был опубликован с ошибочно настроенной картой исходников файл, обеспечивший редкий взгляд внутрь одного из самых важных коммерческих продуктов компании.

Файл, включенный в поставку версии 2.1.88, содержал почти 60 мегабайт внутреннего материала, включая около 512,000 строк TypeScript в 1,906 файлах. Чаофан Шу, инженер-программист, проходивший стажировку в Solayer Labs, впервые заметил утечку; она быстро распространилась в X и GitHub, когда разработчики начали изучать кодовую базу.

Раскрытие показало, как Anthropic построила Claude Code, чтобы оставаться в правильном русле во время долгих сессий кодинга. Одной из самых четких находок стала трехуровневая система памяти, основанная на легковесном файле под названием MEMORY.md, который хранит короткие ссылки вместо полной информации. Более подробные заметки по проекту сохраняются отдельно и подгружаются только по мере необходимости, а историю прошлых сессий ищут избирательно, а не загружают целиком за один раз. Код также предписывает системе сверять свою память с фактическим кодом перед тем, как предпринимать действия; это задумано, чтобы уменьшить ошибки и ложные предположения.

Источник также предполагает, что Anthropic разрабатывает более автономную версию Claude Code, чем ту, которую пользователи сейчас видят. Функция, на которую неоднократно ссылаются под названием KAIROS, судя по всему, описывает демон-режим, в котором агент может продолжать работать в фоне, не ожидая прямых запросов.

Еще один процесс, называемый autoDream, судя по всему, обрабатывает консолидацию памяти в периоды простоя, примиряя противоречия и превращая предварительные наблюдения в подтвержденные факты. Разработчики, просматривавшие код, также обнаружили десятки скрытых флагов функций, включая ссылки на автоматизацию браузера через Playwright.

Утечка также раскрыла внутренние названия моделей и данные по производительности. Согласно источнику, Capybara относится к варианту Claude 4.6, Fennec соответствует релизу Opus 4.6, а Numbat остается в тестировании перед запуском.

Внутренние бенчмарки, приведенные в коде, показали, что последняя версия Capybara имеет долю ложных утверждений 29%–30%, что выше, чем 16.7% в более ранней итерации. Источник также упомянул противовес уверенности, предназначенный для того, чтобы модель не становилась слишком агрессивной при рефакторинге пользовательского кода.

Одно из самых чувствительных раскрытий касалось функции, описанной как Undercover Mode. Восстановленный системный промпт предполагает, что Claude Code можно использовать для внесения вклада в публичные репозитории с открытым исходным кодом, не раскрывая того, что был задействован ИИ. В инструкциях прямо сказано, что модель должна избегать раскрытия внутренних идентификаторов, включая инкогнито Anthropic, в сообщениях коммитов или публичных git-журналах.

Утекшие материалы также раскрыли движок разрешений Anthropic, логику оркестрации для рабочих процессов с несколькими агентами, системы валидации bash и архитектуру серверов MCP, предоставив конкурентам подробный взгляд на то, как работает Claude Code. Раскрытие может также дать злоумышленникам более понятную дорожную карту для создания репозиториев, предназначенных для эксплуатации модели доверия агента. Вставленный текст говорит, что один разработчик уже начал переписывать части системы на Python и Rust под названием Claw Code в течение часов после утечки.

Раскрытие исходников совпало с отдельной атакой на цепочку поставок, связанной с вредоносными версиями пакета axios npm, распространенными 31 марта. Разработчики, которые устанавливали или обновляли Claude Code через npm в этот период, могли также подтянуть скомпрометированную зависимость, которая, как сообщается, содержала троян удаленного доступа. Исследователи безопасности призвали пользователей проверить свои lockfile, ротацировать учетные данные и, в некоторых случаях, рассмотреть полную переустановку операционной системы на затронутых машинах.

Инцидент знаменует второй известный случай примерно за тринадцать месяцев, когда Anthropic раскрыла чувствительные внутренние технические детали, после более раннего эпизода в феврале 2025 года, связанного с непубличной информацией о моделях.

После последнего нарушения Anthropic обозначила автономный установщик в виде отдельного бинарного файла как предпочтительный способ установки Claude Code, поскольку он обходит цепочку зависимостей npm. Пользователям, которые продолжают использовать npm, рекомендовали закрепить (pin) только проверенные безопасные версии, выпущенные до скомпрометированного пакета.

                    **Раскрытие:** эту статью отредактировал Эстефано Гомес. Для получения дополнительной информации о том, как мы создаем и проверяем контент, см. нашу Политику редакционной работы.