Епічний витік: 512 000 рядків коду Claude відкрито як відкритий вихідний код

Автор: Ян Чень, Wall Street Zhijian

Anthropic зіткнулася з подією, яку можна назвати найбільшим у галузі витоком коду. Повний вихідний код Claude Code повністю став публічним через одну елементарну помилку на рівні пакування. онад 510 тис. рядків коду TypeScript, понад 40 модульних інструментів і кілька ключових функцій, які ще не були випущені, — усе це відтепер “на розхристані” перед глобальною спільнотою розробників.

Це був і випадковий інцидент, і водночас застереження. Цей витік не зачепив ваги базової моделі Claude чи дані користувачів, але повністю розкрив внутрішню логіку архітектури Claude Code, дизайн системних підказок (system prompt) і механізм виклику інструментів, а також разом із цим виніс на загальний огляд кілька ще не випущених функцій та потенційні правила безпеки.

У галузі вважають, що цей інцидент суттєво скорочує поріг входу в знання для інженерної реалізації AI Agent, прискорюючи еволюцію конкуренції в усьому середовищі розробників.

Варто зазначити, що це не перший подібний промах Anthropic. У лютому 2025 року компанія ще в ранніх версіях Claude Code також була викрита через нехтування такого ж типу щодо source map; цього разу витік, що додатково посилило сумніви з боку зовнішніх спостерігачів щодо зрілості безпеки програмного ланцюга постачання (software supply chain) цієї AI-зірки, оцінка якої перевищує 180 мільярдів доларів США.

Один .map-файл, що “вибухнув” 510 тис. рядків коду

Дослідник компанії з кібербезпеки Fuzzland, Chaofan Shou, першим оприлюднив цю подію в X. У офіційному npm-пакеті Anthropic @anthropic-ai/claude-code версії 2.1.88 випадково містився файл cli.js.map обсягом приблизно 60MB.

У файлі cli.js.map є два ключові масиви: sources (список шляхів до файлів) і sourcesContent (відповідний повний вміст вихідного коду). Індекси між ними однозначно відповідають один одному. Це означає, що будь-хто, просто завантаживши цей JSON-файл, може повністю витягти весь оригінальний код — поріг для виконання операції надзвичайно низький.

За аналізом, цей source map-файл загалом містить вміст 4756 вихідних файлів: 1906 з них — це TypeScript/TSX-файли самого Claude Code, решта 2850 — залежності з node_modules. Загальний обсяг коду перевищує 51.2万 рядків.

У межах кількох годин після оприлюднення інциденту кількість зірок (star) у дзеркальному репозиторії на GitHub стрімко перевищила 5000. Anthropic видалила цей source map із npm-пакета. Однак ранні версії пакета вже були збережені в архівах різними сторонами, а відповідний контент продовжує поширюватися в спільноті розробників.

Перший повний огляд архітектури

Відновлений вихідний код надає зовнішнім спостерігачам на сьогодні найповніший погляд на архітектуру Claude Code.

Код показує, що Claude Code побудовано для термінального інтерфейсу на React і фреймворку Ink, він працює в runtime Bun. Ключовим є REPL-цикл, який підтримує введення природною мовою та команди з косою рискою (slash-команди). На рівні основи він взаємодіє з LLM API через систему інструментів.

На інструментальному рівні код містить понад 40 окремих модулів, що охоплюють читання/запис файлів, виконання Bash-команд, інтеграцію протоколу LSP та можливість генерації підагентів. Усе це формує повнофункціональний “універсальний набір інструментів”.

На рівні міркувань (reasoning) один із ключових файлів — QueryEngine.ts — має обсяг коду до 4.6万 рядків, і він бере на себе всю роботу з обробки логіки міркування, підрахунку токенів та виконання циклу “ланцюга думок” (thinking chain).

На рівні багатагентного (multi-agent) рівня у витеклому коді присутні модулі coordinator (координатор багатьох агентів) і bridge. Останній відповідає за з’єднання VS Code та JetBrains та інших провідних IDE, що свідчить: Claude Code уже має інженерні можливості для скоординованої роботи на кількох машинах та глибокого вбудування в середовище розробки.

Неопубліковані функції випадково з’явилися

Серед того, що найменше чекали, а найбільше привернуло увагу в цьому витоку, — це кілька функцій, які ніколи не публікували.

Режим під кодовою назвою Kairos — один із найбільш примітних. Код показує, що це автономний процес-охоронець із тривалим життєвим циклом, який підтримує фонові сесії та інтеграцію пам’яті. Це означає, що Claude може виступати як фоновий AI-агент, що постійно обробляє завдання та накопичує розуміння про проєкт.

Також у коді вбудована ще одна система електронних домашніх тварин під назвою “Buddy System”. Вона містить 18 видів, рівні рідкісності, сяючі (шайні) варіанти та статистику параметрів — цей дизайн явно є витівкою інженерів Anthropic, що існує поряд із ядром архітектури в репозиторії коду.

На рівні дизайну режимів код також розкриває “Coordinator Mode” (режим координатора), який дозволяє Claude планувати паралельне виконання залежних підагентів, а також “Auto Mode” — AI-класифікатор, що автоматично ухвалює дозволи на інструменти, щоб спростити процес підтвердження операцій.

Крім того, функція, яку назвали “Undercover Mode” (режим інкогніто/оперативника під прикриттям), викликала суперечки — за описом у коді, коли співробітники Anthropic виконують дії в публічному репозиторії, цей режим автоматично активується, стирає AI-пов’язані сліди з записів комітів і не може бути вимкнений вручну.

Потенційні ризики безпеки та попередження для ланцюга постачання

Дослідники безпеки зазначили, що хоч цей витік і не стосується напряму ваг моделі чи конфіденційних даних користувачів, потенційні ризики не можна ігнорувати.

За повідомленнями, витік повністю розкриває внутрішню логіку безпеки і може виявити вектори атак на кшталт підробки запитів на стороні сервера (SSRF), надаючи точку входу для подальших досліджень безпеки. Відкрите співтовариство вже почало вивчати fork-версії на основі витеклого коду та намагається поєднати їх з іншими агентними фреймворками.

Щодо контексту в галузі, npm — найбільший у світі репозиторій пакетів JavaScript, який щодня обробляє мільйони завантажень. Подібні помилки пакування підказують компаніям, що, прагнучи швидкого темпу релізів, потрібно посилити механізми перевірки вихідних файлів у CI/CD-лінійці.

Пряма застережна порада для всіх розробників, які публікують npm-пакети, така: перед релізом обов’язково перевіряйте, чи потрапив .map-файл до артефактів публікації. Одного поля sourcesContent достатньо, щоб повністю зробити весь вихідний код публічним.

Агентська екосистема може отримати прискорений перелом

Якщо розглядати вплив на індустрію, значення цього інциденту може виходити за межі звичайної технічної аварії.

Повний інженерний план реалізації топових AI Agent несподівано став публічним, що суттєво знизить бар’єр знань у цій сфері. Розробники можуть безпосередньо вчитися й запозичувати, звіряючись з архітектурним проєктом Claude Code, логікою підказок (prompt logic) і механізмами виклику інструментів, що скорочує цикл пошуку під час самостійної розробки.

Водночас цей інцидент також неочікувано підтверджує технічний доробок Anthropic у напрямі інженерної реалізації Agent: чи то механізм координації багатьох агентів, чи то дизайн тривалого фоново-охоронного процесу — усе демонструє глибину інженерії, що виходить за межі аналогічних продуктів.

Claude Code як розширювальний інструмент екосистеми Anthropic орієнтований передусім на професійних розробників і конкурує з AI-інструментами для кодування на кшталт GitHub Copilot та Cursor. Чи зможе оприлюднення вихідного коду в умовах посилення конкурентного тиску навпаки прискорити колективні інновації галузі в архітектурі AI Agent — у бізнесі уважно стежать за його подальшою реакцією.