Витік коду Anthropic’s Claude розкриває інструменти автономних агентів та невипущені моделі

Anthropic розкрила повний вихідний код для Claude Code після того, як помилково налаштований файл source map був опублікований у npm, надаючи рідкісний погляд на один із найважливіших комерційних продуктів компанії.

Файл, що входив до версії 2.1.88, містив майже 60 мегабайтів внутрішніх матеріалів, зокрема приблизно 512 000 рядків TypeScript у 1 906 файлах. Чаофань Шоу, інженер-програміст, який проходив стажування в Solayer Labs, уперше виявив витік; він швидко поширився в X і GitHub, коли розробники почали вивчати кодову базу.

Розкриття показало, як Anthropic створювала Claude Code, щоб залишатися на правильному шляху під час довгих сесій програмування. Однією з найчіткіших знахідок стала трирівнева система пам’яті, зосереджена навколо легкого файлу під назвою MEMORY.md, який зберігає короткі посилання замість повної інформації. Більш детальні нотатки про проєкт зберігаються окремо й підвантажуються лише за потреби, тоді як історія минулих сесій шукається вибірково, а не завантажується вся одразу. Код також підказує системі перевіряти свою пам’ять проти фактичного коду перед тим, як вживати дії — дизайн, покликаний зменшувати помилки й хибні припущення.

Джерело також вказує, що Anthropic розробляє більш автономну версію Claude Code, ніж ту, яку наразі бачать користувачі. Функція, на яку неодноразово посилаються під назвою KAIROS, схоже описує режим демона, у якому агент може продовжувати роботу у фоновому режимі, замість очікування на прямі запити.

Інший процес, який називається autoDream, схоже відповідає за консолідацію пам’яті в періоди простою, узгоджуючи суперечності та перетворюючи попередні спостереження на перевірені факти. Розробники, що переглядали код, також знайшли десятки прихованих прапорців функцій, зокрема посилання на автоматизацію браузера через Playwright.

Витік також розкрив внутрішні назви моделей і дані про продуктивність. Згідно з джерелом, Capybara — це варіант Claude 4.6, Fennec відповідає релізу Opus 4.6, а Numbat залишається в допусковому передрелізному тестуванні.

Внутрішні бенчмарки, наведені в коді, показали, що найновіша версія Capybara має частку хибних тверджень 29%–30%, тоді як у попередній ітерації вона становила 16,7%. У джерелі також згадувалося «зрівноважування» наполегливості — механізм, призначений не дозволяти моделі ставати надто агресивною під час рефакторингу коду користувача.

Один із найчутливіших витоків стосувався функції, описаної як Undercover Mode. Відновлений системний промпт припускає, що Claude Code можна було б використати для внесків у публічні репозиторії з відкритим кодом, не розкриваючи, що був задіяний ШІ. Інструкції прямо наказують моделі уникати розкриття внутрішніх ідентифікаторів, зокрема codenames Anthropic, у повідомленнях commit або публічних git-журналах.

Злиті матеріали також розкрили рушій дозволів Anthropic, логіку оркестрації для багатагентних робочих процесів, системи валідації bash і архітектуру MCP-сервера — даючи конкурентам детальний погляд на те, як працює Claude Code. Розкриття також може дати зловмисникам чіткіший маршрут для створення репозиторіїв, призначених для експлуатації моделі довіри агента. У вставленому тексті сказано, що один розробник уже розпочав переписування частин системи на Python і Rust під назвою Claw Code протягом кількох годин після витоку.

Виявлення витоку збіглося з окремою атакою в ланцюжку постачання, що включала шкідливі версії пакета axios npm, розповсюджені 31 березня. Розробники, які встановили або оновили Claude Code через npm у цей період, могли також підхопити скомпрометовану залежність, яка, як повідомляється, містила троян із дистанційним доступом. Дослідники безпеки закликали користувачів перевірити свої lockfiles, ротацію облікових даних і, в деяких випадках, розглянути повне перевстановлення операційної системи на уражених машинах.

Інцидент є другим відомим випадком приблизно за тринадцять місяців, коли Anthropic розкривала чутливі внутрішні технічні деталі, після попереднього епізоду в лютому 2025 року, що стосувався інформації про моделі, які не були випущені.

Після останнього порушення Anthropic призначила автономний інсталятор у вигляді бінарного файлу як бажаний спосіб встановлення Claude Code, оскільки він обходить ланцюжок залежностей npm. Користувачам, які залишаються на npm, порадили зафіксувати (pin) тільки перевірені безпечні версії, випущені до скомпрометованого пакета.

                    **Disclosure:** Цю статтю відредагував Естефано Гомес. Щоб дізнатися більше про те, як ми створюємо та перевіряємо контент, див. нашу Editorial Policy.