Утечка кода Anthropic’s Claude раскрывает инструменты автономных агентов и неанонсированные модели

Anthropic опубликовала полный исходный код для Claude Code после того, как из‑за неправильно настроенного файла исходной карты он был опубликован в npm, предоставив редкий взгляд внутрь одного из самых важных коммерческих продуктов компании.

Файл, включённый в версию 2.1.88, содержал почти 60 мегабайт внутренних материалов, включая около 512,000 строк TypeScript в 1,906 файлах. Чаофань Шу (Chaofan Shou), инженер‑программист, проходивший стажировку в Solayer Labs, впервые отметил утечку, которая быстро распространилась в X и GitHub, поскольку разработчики начали изучать кодовую базу.

Раскрытие показало, как Anthropic построила Claude Code, чтобы держаться курса во время длительных сессий программирования. Одной из самых ясных находок стала трёхслойная система памяти, основанная на лёгком файле под названием MEMORY.md, который хранит краткие ссылки вместо полной информации. Более подробные заметки по проекту сохраняются отдельно и подгружаются только при необходимости, при этом история прошлых сессий просматривается избирательно, а не загружается целиком за один раз. Код также предписывает системе сверять свою память с фактическим кодом перед тем, как предпринять действия — это проектирование, призванное уменьшить ошибки и ложные предположения.

Источник также указывает, что Anthropic разрабатывает более автономную версию Claude Code, чем ту, которую пользователи сейчас видят. Функция, неоднократно упоминаемая под названием KAIROS, похоже, описывает режим демона, в котором агент может продолжать работу в фоне вместо ожидания прямых запросов.

Ещё один процесс, называемый autoDream, по‑видимому, отвечает за консолидацию памяти в периоды простоя: он примиряет противоречия и преобразует предварительные наблюдения в подтверждённые факты. Разработчики, просматривавшие код, также нашли десятки скрытых флагов функций, включая ссылки на автоматизацию браузера через Playwright.

Утечка также раскрыла внутренние названия моделей и данные о производительности. Согласно источнику, Capybara относится к варианту Claude 4.6, Fennec соответствует релизу Opus 4.6, а Numbat остаётся в предзапускном тестировании.

Внутренние бенчмарки, приведённые в коде, показали последнюю версию Capybara с долей ложных утверждений 29%–30%, что выше 16.7% в более ранней итерации. Источник также упоминал противовес настойчивости — механизм, предназначенный для того, чтобы модель не становилась чрезмерно агрессивной при рефакторинге пользовательского кода.

Одно из самых чувствительных раскрытий касалось функции, описанной как Undercover Mode. Восстановленный системный промпт предполагает, что Claude Code можно использовать для вклада в публичные репозитории с открытым исходным кодом, не раскрывая, что в этом участвовал ИИ. Инструкции прямо предписывают модели избегать раскрытия внутренних идентификаторов, включая коды Anthropic, в сообщениях коммитов или публичных git‑логах.

Утекшие материалы также раскрыли движок разрешений Anthropic, логику оркестрации для рабочих процессов с участием нескольких агентов, системы проверки bash и архитектуру серверов MCP, предоставив конкурентам подробный взгляд на то, как работает Claude Code. Раскрытие может также дать злоумышленникам более понятную дорожную карту для создания репозиториев, предназначенных для эксплуатации модели доверия агента. Вставленный текст говорит, что один разработчик уже начал переписывать части системы на Python и Rust под названием Claw Code в течение нескольких часов после утечки.

Обнаружение источника совпало с отдельной атакой на цепочку поставок, включавшей вредоносные версии npm‑пакета axios, распространённые 31 марта. Разработчики, которые устанавливали или обновляли Claude Code через npm в тот период, могли также подтянуть скомпрометированную зависимость, которая, как сообщается, содержала троян удалённого доступа. Исследователи безопасности призвали пользователей проверить свои lockfile, ротацию учётных данных и, в некоторых случаях, рассмотреть полную переустановку операционной системы на затронутых машинах.

Инцидент знаменует второй известный случай примерно за тринадцать месяцев, когда Anthropic раскрыла чувствительные внутренние технические детали, после более раннего эпизода в феврале 2025 года, связанного с не выпущенной информацией о моделях.

После последнего нарушения Anthropic назначила автономный установщик в виде отдельного бинарного файла предпочтительным способом установки Claude Code, поскольку он обходит цепочку зависимостей npm. Пользователям, которые остаются на npm, рекомендовали закрепить (pin) только проверенные безопасные версии, выпущенные до скомпрометированного пакета.

                    **Раскрытие:** Эта статья была отредактирована Эстефано Гомесом. Для получения дополнительной информации о том, как мы создаём и проверяем контент, см. нашу редакционную политику.