Полная хроника утечки исходного кода Claude Code: эффект бабочки, вызванный одним файлом .map

Пишет: Клод

I. Происхождение

31 марта 2026 года на рассвете в 0:00 один твит в сообществе разработчиков вызвал настоящий переполох.

Chaofan Shou, стажёр компании по блокчейн-безопасности, обнаружил, что в официальном npm-пакете Anthropic прилагается файл source map, из-за чего полный исходный код Claude Code оказался выставленным в открытый доступ в сети. Затем он сразу же опубликовал это открытие в X и приложил прямую ссылку для скачивания.

Эта публикация разорвалась в сообществе разработчиков, словно сигнальная ракета. В течение нескольких часов более 512k строк кода на TypeScript были замиррорены на GitHub и тысячи разработчиков в реальном времени провели анализ.

Это второй крупный инцидент утечки важной информации, произошедший в Anthropic менее чем за неделю.

Ровно пять дней назад (26 марта) ошибка в конфигурации CMS в Anthropic привела к раскрытию почти 3000 внутренних файлов, включая черновые материалы блогов, посвящённых модели «Claude Mythos», которая должна была выйти в релиз.

II. Как произошла утечка?

Техническая причина этого инцидента вызывает иронию — корневая проблема заключалась в том, что в npm-пакет по ошибке был включён файл source map (.map файл).

Такие файлы предназначены для отображения сжатого и обфусцированного кода производственной среды обратно на исходный код, чтобы во время отладки можно было находить номера строк ошибок. А в этом .map файле содержалась ссылка на zip-архив во внутреннем хранилище Anthropic Cloudflare R2.

Shou и другие разработчики скачали этот zip-архив напрямую — без каких-либо хакерских приёмов. Файл просто был там, полностью открытый.

Пострадавшей версией стала @anthropic-ai/claude-code v2.1.88, в комплекте с файлом JavaScript source map объёмом 59,8 МБ.

В ответе на заявление The Register Anthropic признала: «Ранее, ещё один более ранний релиз Claude Code также сталкивался с подобной утечкой исходного кода — это произошло в феврале 2025 года». Это означает, что та же ошибка повторилась дважды за 13 месяцев.

Иронично, что внутри Claude Code есть система под названием «Undercover Mode (режим под прикрытием)», специально разработанная для того, чтобы предотвратить случайное раскрытие внутренних кодовых названий Anthropic в истории git-коммитов… а затем инженер упаковал весь исходный код в .map файл.

Ещё одним возможным подстрекателем мог быть сам инструментарий: в конце года Anthropic приобрела Bun, и Claude Code как раз построен на Bun. 11 марта 2026 года кто-то подал отчёт об ошибке в системе отслеживания issues Bun (#28001), указав, что Bun в production-режиме всё равно генерирует и выводит source map, что противоречит официальной документации. Этот issue до сих пор остаётся открытым.

Официальный ответ Anthropic был кратким и сдержанным: «Данные пользователей или учётные данные не были затронуты или раскрыты. Это ошибка человека в процессе публикации и сборки, а не уязвимость безопасности. Мы продвигаем меры, чтобы предотвратить повторение таких инцидентов».

III. Что было раскрыто?

Объём кода

Содержимое утечки включает около 1900 файлов и более 500k строк кода. Это не веса модели, а инженерная реализация всего «программного слоя» Claude Code — включая фреймворк вызовов инструментов, оркестрацию мультиагентов, систему прав, систему памяти и другие ключевые архитектурные компоненты.

Дорожная карта функций, ещё не выпущенных

Это самая стратегически ценная часть данной утечки.

Самостоятельный защитный процесс KAIROS: упомянутый в более чем 150 случаях код-нейм этой функции происходит из древнегреческого «подходящий момент» и отражает коренной сдвиг Claude Code в сторону «агента, работающего в фоновом режиме постоянно». В KAIROS есть процесс с названием autoDream, который выполняет «интеграцию памяти», когда пользователь свободен, — объединяя фрагментированные наблюдения, устраняя логические противоречия и превращая размытые инсайты в определённые факты. Когда пользователь возвращается, контекст агента уже очищен и максимально релевантен.

Внутренние код-неймы моделей и данные о производительности: содержимое утечки подтверждает, что Capybara — это внутренний код-нейм варианта Claude 4.6, Fennec соответствует Opus 4.6, а ещё не выпущенный Numbat по-прежнему проходит тестирование. В комментариях к коду также раскрыт тот факт, что у Capybara v8 уровень ложных утверждений составляет 29–30%, что по сравнению с v4 (16,7%) является ухудшением.

Механизм против дистилляции (Anti-Distillation): в коде присутствует флаг функции с названием ANTI_DISTILLATION_CC. После включения Claude Code будет внедрять в API-запросы фиктивные определения инструментов с целью загрязнить данные API-трафика, который конкуренты могут использовать при обучении моделей.

Список beta-функций: файл constants/betas.ts раскрывает все beta-функции, о которых Claude Code договаривается с API, включая окно контекста на 1M токенов (context-1m-2025-08-07), режим AFK (afk-mode-2026-01-31), управление бюджетом задач (task-budgets-2026-03-13) и целый ряд других возможностей, которые ещё не были публично объявлены.

Встроенная система виртуальных партнёров в стиле покемонов: в коде даже спрятана полноценная система виртуальных партнёров (Buddy), включая редкость видов, варианты с блеском, процедурно генерируемые атрибуты, а также «описание души», написанное Claude при первом инкубировании. Типы партнёров определяются генератором псевдослучайных чисел с детерминированным выводом на основе хеш-значения user ID: один и тот же пользователь всегда получает одного и того же партнёра.

IV. Одновременная атака на цепочку поставок

Это событие не было изолированным. В то же временное окно, что и утечка исходного кода, пакет axios на npm подвергся независимой атаке на цепочку поставок.

В период между 00:21 и 03:29 UTC 31 марта 2026 года, если через npm устанавливать или обновлять Claude Code, можно было непреднамеренно подключить вредоносную версию, содержащую удалённый троян-шпион (RAT) (axios 1.14.1 или 0.30.4).

Anthropic рекомендовала пострадавшим разработчикам считать хост полностью скомпрометированным, сменить все ключи и переустановить операционную систему.

Наложение этих двух инцидентов по времени сделало ситуацию ещё более хаотичной и опасной.

V. Влияние на отрасль

Прямой ущерб для Anthropic

Для компании с годовой выручкой 19,0 млрд долларов США и находящейся в фазе быстрого роста эта утечка — не просто сбой в безопасности, а отток стратегически важной интеллектуальной собственности.

Хотя бы часть возможностей Claude Code не исходит непосредственно из базовой большой языковой модели — это «фреймворки» программного слоя, построенного вокруг модели: они подсказывают модели, как использовать инструменты, и обеспечивают важные ограждения и инструкции для нормирования поведения модели.

Эти ограждения и инструкции теперь конкуренты видят буквально насквозь.

Предупреждение для всей экосистемы инструментов AI Agent

Эта утечка не уничтожит Anthropic, но она даст всем конкурентам бесплатный учебник по инженерии — как строить production-уровневых AI-программирующих агентов и в какие направления инструментов стоит вкладываться в первую очередь.

Истинная ценность утечённого контента не в самом коде, а в дорожной карте продукта, которую раскрывают флаги функций. KAIROS, механизмы против дистилляции — это стратегические детали, которые конкуренты теперь могут предсказать и заранее отреагировать. Код можно перестроить, но стратегический сюрприз, если он утёк, уже не вернуть назад.

VI. Глубокие выводы для Agent Coding

Эта утечка — зеркало, отражающее несколько ключевых тезисов современной инженерии AI Agent:

1. Границы возможностей агента во многом определяются «уровнем фреймворка», а не самой моделью

Публикация 500k строк кода Claude Code выявляет факт, значимый для всей отрасли: та же базовая модель, но с разными инструментальными фреймворками оркестрации, механизмами управления памятью и системой прав — даёт принципиально разные способности агента. Это означает, что «чья модель самая сильная» больше не является единственным измерением конкуренции — «чья инженерия фреймворка более отточена» также имеет решающее значение.

2. Дальняя автономность — следующий ключевой полигон

Наличие защитного процесса KAIROS показывает, что следующий этап конкуренции в отрасли будет сосредоточен на «обеспечении постоянной эффективной работы агента без надзора человека». Фоновая интеграция памяти, перенос знаний между сессиями, самостоятельные рассуждения в периоды простоя — как только эти возможности созреют, они радикально изменят базовую модель сотрудничества агента и людей.

3. Anti-Distillation и защита интеллектуальной собственности станут новыми базовыми темами в AI-инженерии

Anthropic реализовала механизм против дистилляции на уровне кода — это предвещает формирование нового направления инженерии: как помешать тому, чтобы собственные AI-системы использовались конкурентами для сбора обучающих данных. Это будет не только техническая проблема, но и новая сцена для юридической и коммерческой борьбы.

4. Безопасность цепочки поставок — ахиллесова пята AI-инструментов

Когда инструменты для AI-программирования распространяются самим менеджером публичных пакетов программного обеспечения, таким как npm, они сталкиваются с риском атак на цепочку поставок, как и любой другой open-source. Особенность AI-инструментов в том, что после внедрения бэкдора атакующий получает не только право на выполнение кода, но и глубокое проникновение в весь рабочий процесс разработки.

5. Чем сложнее система, тем больше нужна автоматизация защитников релиза

«Одна конфигурационная ошибка в .npmignore или поле files в package.json может раскрыть всё». Для любой команды, строящей продукты с AI Agent, этот урок не обязательно должен быть таким дорогим — внедрение автоматической проверки публикуемого контента в CI/CD пайплайнах должно стать стандартной практикой, а не запоздалым ремонтом после того, как беда уже случилась.

Эпилог

Сегодня 1 апреля 2026 года — день смеха. Но это не шутка.

В течение 13 месяцев Anthropic дважды совершила одну и ту же ошибку. Исходники уже замиррорены по всему миру, а запросы на удаление по DMCA не успевают за скоростью форков. Дорожная карта продукта, которая должна была оставаться глубоко спрятанной во внутренней сети, теперь служит справочным материалом для всех.

Для Anthropic это болезненный урок.

Для всей отрасли это непредвиденный момент прозрачности — давайте посмотрим, как именно сегодня ведущие AI-программирующие агенты строятся строка за строкой.