Витік коду Anthropic’s Claude розкриває інструменти автономних агентів та невипущені моделі

Anthropic оприлюднила повний вихідний код для Claude Code після того, як неправильно налаштований файл source map був опублікований в npm, надавши рідкісний погляд на один із найважливіших комерційних продуктів компанії.

Файл, упакований разом із версією 2.1.88, містив майже 60 мегабайт внутрішніх матеріалів, включно приблизно 512,000 рядків TypeScript у 1,906 файлах. Чаофань Шу, інженер-програміст, який проходив стажування в Solayer Labs, уперше виявив витік, і він швидко поширився на X та GitHub, коли розробники почали вивчати кодову базу.

Розкриття показало, як Anthropic створила Claude Code, щоб залишатися в курсі під час тривалих сесій кодування. Однією з найочевидніших знахідок була трирівнева система пам’яті, зосереджена на легкому файлі під назвою MEMORY.md, який зберігає короткі посилання замість повної інформації. Детальніші нотатки про проєкт зберігаються окремо та підтягуються лише тоді, коли потрібно, тоді як історія минулих сесій шукається вибірково, а не завантажується вся одразу. Код також наказує системі перевіряти свою пам’ять щодо фактичного коду перед тим, як вжити дії — дизайн, покликаний зменшити помилки та хибні припущення.

Також джерело натякає, що Anthropic розробляє більш автономну версію Claude Code, ніж ту, яку користувачі бачать зараз. Функція, на яку неодноразово посилаються під назвою KAIROS, схоже, описує daemon-режим, у якому агент може продовжувати роботу у фоновому режимі замість очікування прямих запитів.

Інший процес, який називається autoDream, схоже, відповідає за консолідацію пам’яті під час періодів простою: він узгоджує суперечності та перетворює попередні спостереження на перевірені факти. Розробники, які переглядали код, також знайшли десятки прихованих прапорців функцій, включно з посиланнями на автоматизацію браузера через Playwright.

Витік також розкрив внутрішні назви моделей і дані про продуктивність. Згідно з джерелом, Capybara стосується варіанта Claude 4.6, Fennec відповідає релізу Opus 4.6, а Numbat залишається в довипускному тестуванні.

Внутрішні бенчмарки, наведені в коді, показали, що найновіша версія Capybara має частку хибних тверджень 29%–30%, що вище за 16.7% в ранішій ітерації. Також джерело посилалося на противагу наполегливості (assertiveness), призначену для того, щоб модель не ставала надто агресивною під час рефакторингу коду користувача.

Одна з найчутливіших заяв стосувалася функції, описаної як Undercover Mode. Відновлений системний промпт припускає, що Claude Code може бути використано для внесків у публічні репозиторії з відкритим кодом, не розкриваючи, що задіяний ШІ. Інструкції прямо наказують моделі уникати розкриття внутрішніх ідентифікаторів, включно з кодувальними назвами Anthropic, у повідомленнях про коміти або публічних git-логах.

Утеклі матеріали також розкрили движок дозволів Anthropic, логіку оркестрації для багатагентних робочих процесів, системи валідації bash і архітектуру серверів MCP, надаючи конкурентам детальний погляд на те, як працює Claude Code. Розкриття може також надати атакувальникам більш чітку дорожню карту для створення репозиторіїв, призначених експлуатувати модель довіри агента. Вставлений текст повідомляє, що один із розробників уже почав переписувати частини системи на Python і Rust під назвою Claw Code протягом кількох годин після витоку.

Витік збігся з окремою атакою на ланцюг постачання, що включала зловмисні версії пакета axios npm, розповсюджені 31 березня. Розробники, які встановили або оновили Claude Code через npm у цей період, також могли підхопити скомпрометовану залежність, яка, як повідомляється, містила троян віддаленого доступу. Дослідники з безпеки закликали користувачів перевірити свої lockfiles, ротаціювати облікові дані (credentials) і в деяких випадках розглянути повні перевстановлення операційної системи на постраждалих машинах.

Інцидент є другим відомим випадком приблизно за тринадцять місяців, коли Anthropic розкривала чутливі внутрішні технічні деталі, після попереднього епізоду в лютому 2025 року, пов’язаного з інформацією про нерелізнуті моделі.

Після останнього витоку Anthropic визначила свій окремий інсталятор у вигляді standalone-бінарника як бажаний спосіб встановлення Claude Code, оскільки він обходить ланцюг залежностей npm. Користувачам, які залишаються на npm, порадили зафіксувати (pin) лише перевірені безпечні версії, випущені до скомпрометованого пакета.

                    **Розкриття:** Цю статтю відредагував Естефано Гомес. Щоб дізнатися більше про те, як ми створюємо та переглядаємо контент, див. нашу Редакційну політику.