Подія витоку коду Claude: ефект метелика, викликаний файлом .map

Стаття: Claude

I. Передумови

У ніч на 31 березня 2026 року в розробницькій спільноті з’явився твіt, який спричинив справжній переполох.

Chaofan Shou, стажер компанії з безпеки блокчейну, виявив, що офіційний npm-пакет Anthropic містить файл source map, тим самим виставивши на загальний доступ повний вихідний код Claude Code. Після цього він одразу опублікував це на X і додав посилання для прямого завантаження.

Цей допис розірвався в розробницькій спільноті, наче сигнал-ракетa. За кілька годин понад 512k рядків коду TypeScript було віддзеркалено на GitHub, і тисячі розробників у режимі реального часу провели аналіз.

Це другий великий інцидент з витоком критично важливої інформації, який стався в Anthropic менш ніж за тиждень.

Рівно за п’ять днів до цього (26 березня) помилка в налаштуваннях CMS в Anthropic призвела до оприлюднення близько 3000 внутрішніх файлів, серед яких були чернетки блогу-замітки про модель “Claude Mythos”, що ось-ось має вийти.

II. Як стався витік?

Технічна причина цього інциденту виявилася майже анекдотичною — базова проблема полягала в тому, що в npm-пакеті помилково було включено файл source map (.map).

Призначення таких файлів — зіставляти здавлений і заплутаний (обфускований) виробничий код із вихідним кодом, щоб під час відлагодження можна було визначати номери рядків помилок. А цей .map-файл містив посилання на zip-архів у власному сховищі Anthropic у Cloudflare R2.

Shou та інші розробники просто завантажили цей zip-архів без жодних хакерських прийомів. Файл був прямо там і повністю відкритий.

Проблемною версією була v2.1.88 пакета @anthropic-ai/claude-code, який додавав JavaScript source map-файл обсягом 59,8 MB.

У своїй відповіді на заяву The Register Anthropic визнав: “Раніше в одному з попередніх релізів Claude Code у лютому 2025 року сталася подібна витікана ситуація з вихідним кодом”. Це означає, що та сама помилка сталася двічі за 13 місяців.

Іронічно, що в самому Claude Code є система під назвою “Undercover Mode (режим під прикриттям)”, спеціально розроблена, щоб запобігати випадковому розкриттю внутрішніх кодових назв Anthropic у git-записах… а потім інженери пакують увесь вихідний код в .map-файл.

Ще одним можливим поштовхом до інциденту могла стати сама інструментальна ланка: наприкінці року Anthropic придбав Bun, а Claude Code якраз і побудований на Bun. 11 березня 2026 року хтось подав звіт про баг у системі відстеження issue в Bun (#28001), зазначивши, що Bun у production-режимі все одно генерує та виводить source map, що суперечить словам у офіційній документації. Цей issue досі залишається відкритим.

На це офіційна відповідь Anthropic була короткою й стриманою: “Немає даних користувачів або облікових даних (credentials), які були б залучені чи витекли. Це людська помилка в процесі пакування релізу, а не вразливість безпеки. Ми впроваджуємо заходи, щоб запобігти таким інцидентам у майбутньому”.

III. Що саме витекло?

Масштаб коду

Вміст цього витоку охоплює приблизно 1900 файлів і понад 500k рядків коду. Це не ваги моделі, а весь “програмний шар” Claude Code — інженерна реалізація, що включає фреймворк для викликів інструментів, оркестрацію мультиагентів, систему прав, систему пам’яті та інші ключові компоненти архітектури.

Дорожня карта незапущених функцій

Це найбільш стратегічно цінна частина цього витоку.

Автономний захисний процес KAIROS: цей функціональний код, згаданий понад 150 разів, походить з давньогрецької мови “τὸν καιρόν”, що означає “сприятливий момент”, і відображає принципову зміну Claude Code на “Agent, який постійно працює у фоновому режимі”. KAIROS містить процес під назвою autoDream, який у час, коли користувачю неактивний, виконує “інтеграцію пам’яті” — об’єднує фрагментовані спостереження, усуває логічні суперечності й закріплює нечіткі інсайти у вигляді визначених фактів. Коли користувач повертається, контекст Agent уже очищений і значною мірою актуальний.

Внутрішні кодові назви моделей і показники продуктивності: витік підтверджує, що Capybara — це внутрішня кодова назва варіанту Claude 4.6, Fennec відповідає Opus 4.6, а ще не випущений Numbat усе ще перебуває в тестуванні. У коментарях до коду також розкрито, що Capybara v8 має 29–30% частку вигаданих тверджень, що є відступом від v4, де цей показник становив 16,7%.

Механізм проти дистиляції (Anti-Distillation): у коді присутній прапорець функції з назвою ANTI_DISTILLATION_CC. Після ввімкнення Claude Code вставляє у виклики API фальшиві визначення інструментів — мета полягає в тому, щоб “забруднити” дані потоків API, які потенційні конкуренти можуть використати для тренування моделей.

Список бета-функцій API: файл constants/betas.ts розкриває всі бета-функції, щодо яких Claude Code узгоджує з API, включно з вікном контексту на 1M токенів (context-1m-2025-08-07), режимом AFK (afk-mode-2026-01-31), керуванням бюджетами задач (task-budgets-2026-03-13) та низкою інших можливостей, які ще не були оприлюднені.

Убудована покемон-подібна система віртуальних партнерів: у коді навіть захована повна система віртуальних партнерів (Buddy), яка включає рідкісність видів, блискучі варіації, програмно згенеровані характеристики, а також “опис душі”, написаний Claude під час першого вилуплення. Типи партнерів визначаються детермінованим генератором псевдовипадкових чисел на основі хешу user ID: один і той самий користувач завжди отримує одного й того самого партнера.

IV. Конкурентна атака на ланцюг постачання

Ця подія не сталася ізольовано. У той самий часовий проміжок, коли стався витік вихідного коду, на npm-пакет axios було здійснено незалежну атаку на ланцюг постачання.

У період з 00:21 до 03:29 UTC 31 березня 2026 року, якщо встановити або оновити Claude Code через npm, можна було ненавмисно підхопити шкідливу версію, що містила віддалений доступ троян (RAT) (axios 1.14.1 або 0.30.4).

Anthropic порадив розробникам, яких це стосується, вважати хости повністю скомпрометованими, виконати ротацію всіх ключів і заново встановити операційну систему.

Оскільки ці дві події збігалися в часі, ситуація стала ще більш заплутаною та небезпечною.

V. Вплив на індустрію

Безпосередні збитки для Anthropic

Для компанії з річною виручкою близько 19 млрд доларів США, яка перебуває на етапі швидкого зростання, цей витік — це не лише про прогалину в безпеці, а й про втрату стратегічної інтелектуальної власності.

Принаймні частина можливостей Claude Code походить не від базової великої мовної моделі як такої, а від “фреймворку” програмного забезпечення, побудованого навколо моделі — він підказує моделі, як користуватися інструментами, і забезпечує важливі запобіжники та інструкції, які нормують поведінку моделі.

Ці запобіжники й інструкції тепер видно конкурентам так само чітко.

Попередження для всього екосередовища інструментів AI Agent

Цей витік не зруйнує Anthropic, але він дає всім конкурентам безкоштовний інженерний підручник — як будувати production-рівневі AI-програмуючі Agent, і які напрямки інструментів варто вкладати першочергово.

Справжня цінність витоку полягає не в самому коді, а в продуктовій дорожній карті, яку розкривають функціональні прапорці. KAIROS, механізм проти дистиляції — це стратегічні деталі, які конкуренти вже можуть передбачити й відреагувати першими. Код можна переробити, але стратегічні сюрпризи, якщо їх розкрили, вже неможливо повернути назад.

VI. Глибинні висновки для Agent Coding

Цей витік — як дзеркало, що віддзеркалює кілька ключових тез сучасної інженерії AI Agent:

1. Межі можливостей Agent значною мірою визначає “рівень фреймворку”, а не сама модель

Оприлюднення 500k рядків коду Claude Code показує факт, який має значення для всієї індустрії: той самий базовий моделий, але з різними фреймворками оркестрації інструментів, механізмами керування пам’яттю та системами прав — створює Agent із принципово різними можливостями. Це означає, що “у кого модель найсильніша” більше не є єдиним виміром конкуренції — “у кого фреймворк-інжиніринг вишуканіший” так само має вирішальне значення.

2. Далекодійна автономність — наступне головне поле бою

Наявність захисного процесу KAIROS показує, що наступний етап конкуренції в індустрії зосередиться на тому, щоб “Agent міг безперервно ефективно працювати навіть без нагляду людини”. Інтеграція пам’яті у фоновому режимі, перенесення знань між сесіями, автономне міркування під час простою — коли ці можливості дозріють, вони кардинально змінять базову модель співпраці Agent із людьми.

3. Anti-Distillation і захист інтелектуальної власності стануть новими базовими темами для AI-інжинірингу

Anthropic реалізував на рівні коду механізм проти дистиляції, що натякає на те, що формується нова інженерна сфера: як не допустити, щоб власні AI-системи використовувалися конкурентами для збору даних тренування. Це не лише технічна проблема — вона також перетвориться на нове поле бою законодавчих і комерційних протистоянь.

4. Безпека ланцюга постачання — ахіллесова п’ята AI-інструментів

Коли AI-інструменти для програмування розповсюджуються через публічні менеджери пакетів на кшталт npm, вони так само, як і будь-яке інше open-source-забезпечення, ризикують бути атакованими на рівні ланцюга постачання. А специфіка AI-інструментів у тому, що якщо в них “вбудували” бекдор, атакувальники отримують не просто право виконувати код, а глибоке проникнення в увесь розробницький робочий процес.

5. Чим складніша система, тим більше потрібні автоматизовані “сторожі” релізу

“Одна помилка в .npmignore або полі files у package.json — і можна розкрити все.” Для будь-якої команди, що будує продукти з AI Agent, цей урок не потребує таких дорогих втрат, щоб його засвоїти: введення автоматизованої перевірки вмісту, що публікується, у CI/CD конвеєрі має стати стандартною практикою, а не запобіжним заходом після того, як біда сталася.

Епілог

Сьогодні 1 квітня 2026 року — День дурня. Але це не жарт.

Протягом тринадцяти місяців Anthropic двічі припустився тієї самої помилки. Вихідний код уже віддзеркалено по всьому світу, а запити на видалення DMCA не встигають за швидкістю fork. Та дорожня карта продукту, яку мали б зберігати глибоко у внутрішніх мережах, зараз стала довідковим матеріалом для всіх.

Для Anthropic це болісний урок.

Для всієї індустрії — це несподіваний момент прозорості: давайте подивимось, як саме найпередовіші AI-програмуючі Agent на сьогодні складають, рядок за рядком.