Витік коду Claude: ефект метелика, викликаний файлом .map

Автор: Claude

I. Звідки все почалося

31 березня 2026 року вночі, у розробницькій спільноті, один допис у соцмережі X спричинив справжній переполох.

Chaofan Shou, стажер у компанії з кібербезпеки блокчейну, виявив, що в офіційному npm-пакеті Anthropic додано файл source map, через що повний вихідний код Claude Code опинився у відкритому доступі. Після цього він одразу опублікував це на X, додавши пряму посилання для завантаження.

Цей пост розірвався в спільноті розробників, мов сигнальна ракета. За кілька годин понад 512 000 рядків коду TypeScript було дзеркально відображено на GitHub, і тисячі розробників у реальному часі провели аналіз.

Це був другий великий інцидент із витоком важливої інформації, який стався в Anthropic менш ніж за тиждень.

Рівно за п’ять днів до цього (26 березня) помилка в конфігурації CMS в Anthropic призвела до оприлюднення майже 3000 внутрішніх файлів, серед яких були чернетки блогу про модель “Claude Mythos”, що має вийти незабаром.

II. Як сталася витеча?

Технічна причина цього інциденту звучить майже анекдотично — базова причина полягає в тому, що в npm-пакеті помилково було включено файл source map (.map).

Такі файли призначені для зіставлення стисненого та змішаного (обфускованого) виробничого коду з початковим вихідним кодом, щоб під час налагодження можна було точно знаходити номери рядків помилок. А цей .map-файл містить посилання на zip-архів, розміщений у власному сховищі Anthropic Cloudflare R2.

Shou та інші розробники просто завантажили цей zip-архів — без жодних хакерських прийомів. Файл просто був там, повністю у відкритому доступі.

Проблемний реліз — v2.1.88 пакета @anthropic-ai/claude-code, який додавав файл JavaScript source map обсягом 59,8 MB.

У відповіді на заяву The Register Anthropic визнав: “Раніше, у лютому 2025 року, аналогічний витік вихідного коду траплявся в попередній версії Claude Code”. Це означає, що та сама помилка сталася двічі за 13 місяців.

Іронічно, що всередині Claude Code є система під назвою “Undercover Mode (режим під прикриттям)”, спеціально розроблена, щоб запобігати випадковому розкриттю внутрішніх кодових назв Anthropic у записах git-комітів… а потім інженери запакували весь вихідний код у .map-файл.

Іншим можливим поштовхом до інциденту могло бути саме інструментарій: наприкінці року Anthropic придбав Bun, а Claude Code якраз створений на основі Bun. 11 березня 2026 року хтось подав звіт про баг у системі трекінгу проблем Bun ( #28001 ), вказавши, що Bun у production-режимі все одно генерує та виводить source map, що суперечить офіційній документації. Цей issue досі залишається відкритим.

Офіційна відповідь Anthropic була короткою та стриманою: “Жодні дані користувачів або облікові дані не були задіяні чи скомпрометовані. Це людська помилка в процесі пакування релізу, а не вразливість безпеки. Ми просуваємо заходи, щоб не допустити подібних інцидентів знову”.

III. Що саме витекло?

Масштаб коду

Вміст цього витоку охоплює приблизно 1900 файлів і понад 500 000 рядків коду. Це не ваги моделі, а інженерна реалізація цілого “програмного шару” Claude Code — включно з фреймворком викликів інструментів, оркестрацією мультиагентів, системою прав, системою пам’яті та іншими ключовими компонентами архітектури.

Дорожня карта функцій, що ще не були опубліковані

Це найдорожча з точки зору стратегії частина витоку.

Автономний захисний процес KAIROS: цей функціональний код, згаданий понад 150 разів, походить від давньогрецького “до належного моменту” і означає радикальний зсув Claude Code у бік “агента, що працює у фоновому режимі постійно”. У складі KAIROS є процес під назвою autoDream, який виконує “інтеграцію пам’яті”, коли користувачю байдуже, — об’єднує фрагментовані спостереження, усуває логічні суперечності та перетворює розмиті інсайти на визначені факти. Коли користувач повертається, контекст Agent уже чистий і максимально релевантний.

Внутрішні назви моделей і дані про продуктивність: витік підтвердив, що Capybara — це внутрішній код для варіанта Claude 4.6, Fennec відповідає Opus 4.6, а ще не опублікований Numbat досі перебуває на етапі тестування. У коментарях до коду також було видно, що Capybara v8 має 29–30% частку хибних тверджень; це гірше, ніж для v4 (16,7%).

Механізм проти дистиляції (Anti-Distillation): у коді є прапорець функції з назвою ANTI_DISTILLATION_CC. Після увімкнення Claude Code вводить хибні визначення інструментів у запити до API з метою забруднити дані трафіку API, які потенційні конкуренти можуть використати для тренування моделі.

Список бета-функцій API: файл constants/betas.ts розкриває всі бета-функції, щодо яких Claude Code узгоджує роботу з API, включно з контекстним вікном на 1 млн токенів (context-1m-2025-08-07), режимом AFK (afk-mode-2026-01-31), керуванням бюджетами задач (task-budgets-2026-03-13) та низкою інших можливостей, які ще не були оприлюднені.

Убудована система віртуальних партнерів у стилі покемонів: у коді навіть захована повна система віртуальних партнерів (Buddy), яка містить рідкісність видів, блискучі варіанти, програмно згенеровані атрибути, а також “опис душі”, написаний Claude під час першого вилуплення. Типи партнерів визначаються детермінованим псевдовипадковим генератором, що базується на хеші ID користувача: один і той самий користувач завжди отримує одного й того ж партнера.

IV. Паралельна атака на ланцюжок постачання

Ця подія не сталася ізольовано. У той самий часовий проміжок, коли стався витік вихідного коду, пакунком npm axios було здійснено незалежну атаку на ланцюжок постачання.

Між 00:21 і 03:29 UTC 31 березня 2026 року, якщо ви встановлювали чи оновлювали Claude Code через npm, ви могли ненавмисно ввести в систему зловмисну версію, що містила віддалений троян (RAT) (axios 1.14.1 або 0.30.4).

Anthropic порадив постраждалим розробникам вважати хост повністю скомпрометованим, здійснити ротацію всіх ключів і перевстановити операційну систему.

Таймова паралельність цих двох інцидентів ще більше змішала та зробила ситуацію небезпечнішою.

V. Вплив на індустрію

Прямі втрати для Anthropic

Для компанії з річною монетизацією на рівні 19 мільярдів доларів США, яка перебуває у фазі швидкого зростання, цей витік — це не просто прорахунок у безпеці, а втрата стратегічної інтелектуальної власності.

Принаймні частина можливостей Claude Code походить не від базової великої мовної моделі самої по собі, а від програмного “каркасу”, який будується навколо моделі — він підказує моделі, як використовувати інструменти, і надає важливі запобіжники та інструкції, щоб регламентувати поведінку моделі.

Ці запобіжники та інструкції тепер видно конкурентам.

Попередження для всього екосистемного ландшафту інструментів AI Agent

Цей витік не зруйнує Anthropic, але він дає всім конкурентам безкоштовний інженерний навчальний матеріал — як будувати production-рівневі AI-програмні Agent-и та які напрямки інструментів варто пріоритизувати.

Реальна цінність витоку полягає не в самому коді, а в продуктовій дорожній карті, яку розкривають функціональні прапорці. KAIROS, механізм проти дистиляції — це стратегічні деталі, які конкуренти вже можуть передбачити та відреагувати першими. Код можна переробити, але стратегічні сюрпризи, якщо їх витік, уже не повернеш.

VI. Глибинні висновки для Agent Coding

Цей витік — дзеркало, що відображає кілька ключових тез інженерії AI Agent у нинішній момент:

1. Межі можливостей Agent значною мірою визначаються “каркасним шаром”, а не самою моделлю

Публікація 500 000 рядків коду Claude Code розкриває факт, важливий для всієї індустрії: та сама базова модель у поєднанні з різними фреймворками оркестрації інструментів, механізмами керування пам’яттю та системами прав дає зовсім різні можливості Agent. Це означає, що “у кого модель найсильніша” більше не є єдиним виміром конкуренції — “у кого краще виконана фреймворк-інженерія” так само надзвичайно важливо.

2. Далекоглядна автономність стане наступним ключовим полем битви

Існування захисного процесу KAIROS показує, що наступний крок у конкуренції в галузі зосередиться на тому, щоб “Agent залишався стабільно ефективним навіть без нагляду”. Інтеграція пам’яті у фоні, перенесення знань між сесіями, автономне міркування в період простою — щойно ці можливості дозріють, вони повністю змінять базовий патерн співпраці Agent і людей.

3. Протидистиляція та захист інтелектуальної власності стануть новими базовими темами в інженерії AI

Anthropic реалізував механізм проти дистиляції на рівні коду, що натякає на формування нового інженерного напряму: як не допустити, щоб власні AI-системи використовувалися конкурентами для збору тренувальних даних. Це не лише технічне питання — воно перетвориться на нове поле битви, де зійдуться право та комерційна боротьба.

4. Безпека ланцюжка постачання — ахіллесова п’ята AI-інструментів

Коли AI-інструменти для програмування розповсюджуються самими менеджерами пакетів, як-от npm, вони так само, як і інше ПЗ з відкритим кодом, ризикують стати мішенню атак на ланцюжок постачання. А специфіка AI-інструментів у тому, що якщо в них вбудують backdoor, атакувальник отримує не лише право виконання коду, а й глибоке проникнення у весь розробницький робочий процес.

5. Чим складніша система, тим більше потрібні автоматизовані охоронці релізів

“Один .npmignore з помилкою в конфігурації або поле files у package.json — і можна розкрити все.” Для будь-якої команди, що будує продукт AI Agent, цей урок не вимагає сплати таких дорогих цін, щоб його засвоїти — потрібно впровадити в CI/CD пайплайни автоматизований перегляд вмісту, що публікується, і зробити це стандартною практикою, а не запізнілим виправленням “після пожежі”.

Кінцівка

Сьогодні 1 квітня 2026 року — день сміху. Але це не жарт.

Anthropic двічі припустився тієї самої помилки за 13 місяців. Вихідний код уже віддзеркалено по всьому світу, а запити про видалення DMCA не встигають за швидкістю fork. Та дорожня карта продукту, яка мала б зберігатися глибоко у внутрішній мережі, тепер є довідковим матеріалом для всіх.

Для Anthropic це болісний урок.

Для всієї індустрії це несподіваний момент прозорості — давайте подивимося, як саме сьогоднішні найпередовіші AI-програмні Agent-и конструюються рядок за рядком.