Витік коду Anthropic’s Claude розкриває інструменти автономних агентів та невипущені моделі

Anthropic оприлюдила повний вихідний код для Claude Code після того, як через помилково налаштований файл sourcemap було опубліковано до npm, надавши рідкісну можливість зазирнути всередину одного з найважливіших комерційних продуктів компанії.

Файл, зібраний у складі версії 2.1.88, містив майже 60 мегабайт внутрішніх матеріалів, зокрема приблизно 512,000 рядків TypeScript у 1,906 файлах. Чаофан Шоу, інженер-програміст, який проходив стажування в Solayer Labs, уперше виявив витік, і він швидко поширився на X та GitHub, коли розробники почали вивчати кодову базу.

Оприлюднення показало, як Anthropic збирав Claude Code, щоб залишатися на правильному курсі під час тривалих сесій кодування. Однією з найочевидніших знахідок був трирівневий механізм пам’яті, зосереджений навколо легковагового файлу під назвою MEMORY.md, який зберігає короткі посилання замість повної інформації. Більш детальні нотатки про проєкт зберігаються окремо й підтягуються лише за потреби, тоді як історію попередніх сесій шукають вибірково, а не завантажують одразу всю. Код також наказує системі звіряти свою пам’ять із фактичним кодом перед виконанням дій — задум, спрямований на зменшення помилок і хибних припущень.

У вихідних матеріалах також ідеться, що Anthropic розробляє більш автономну версію Claude Code, ніж ту, яку користувачі бачать зараз. Функція, на яку неодноразово посилаються під назвою KAIROS, схоже, описує режим роботи як daemon, у якому агент може продовжувати працювати у фоновому режимі, а не чекати прямих запитів.

Ще один процес, який називається autoDream, схоже, відповідає за консолідацію пам’яті під час простоїв, узгоджуючи суперечності та перетворюючи попередні спостереження на перевірені факти. Розробники, які переглядали код, також виявили десятки прихованих прапорців функцій, зокрема посилання на автоматизацію браузера через Playwright.

Витік також розкрив внутрішні назви моделей і дані про продуктивність. Згідно з джерелом, Capybara відноситься до варіанта Claude 4.6, Fennec відповідає релізу Opus 4.6, а Numbat залишається в довереденому до запуску тестуванні.

Внутрішні бенчмарки, наведені в коді, показали, що остання версія Capybara має частку хибних тверджень 29% до 30%, що зросло з 16.7% в попередній ітерації. У джерелі також згадано «передавальний противаговий» механізм assertiveness, призначений для того, щоб модель не ставала надто агресивною під час рефакторингу коду користувача.

Одна з найбільш чутливих розкриттів стосувалася функції, описаної як Undercover Mode. Відновлений системний промпт припускає, що Claude Code можна використати, щоб робити внески до публічних репозиторіїв відкритого коду, не розкриваючи, що в процесі була задіяна ШІ. Інструкції прямо наказують моделі уникати розкриття внутрішніх ідентифікаторів, включно з кодовими назвами Anthropic, у повідомленнях про коміти або в публічних git-логах.

Утеклі матеріали також розкрили «механізм дозволів» Anthropic, логіку оркестрації для робочих процесів за участі кількох агентів, системи валідації bash і архітектуру серверів MCP, даючи конкурентам детальний погляд на те, як працює Claude Code. Розкриття також може надати нападникам чіткіший план дій для створення репозиторіїв, розрахованих на експлуатацію моделі довіри агента. Вставлений текст каже, що один розробник уже розпочав переписування частин системи на Python і Rust під назвою Claw Code протягом кількох годин після витоку.

Поява витоку співпала з окремою атакою в ланцюжку постачання, що полягала в поширенні шкідливих версій пакета axios npm 31 березня. Розробники, які встановили або оновили Claude Code через npm у цей період, могли також підхопити скомпрометовану залежність, яка, як повідомляється, містила троян із віддаленим доступом. Дослідники з безпеки закликали користувачів перевірити свої lockfiles, ротацію облікових даних, а в деяких випадках — розглянути повне перевстановлення операційної системи на уражених машинах.

Інцидент позначає другий відомий випадок приблизно за тринадцять місяців, коли Anthropic розкрив чутливі внутрішні технічні деталі, після попереднього епізоду в лютому 2025 року, що стосувався непублічної інформації про моделі.

Після останнього витоку Anthropic призначила свій окремий інсталятор-бінарник як бажаний спосіб встановлення Claude Code, оскільки він обходить ланцюжок залежностей npm. Користувачам, які залишаються на npm, порадили фіксувати версії (pin) лише на перевірені безпечні релізи, опубліковані до скомпрометованого пакета.

                    **Розкриття:** Цю статтю відредагував Естефано Гомес. Щоб дізнатися більше про те, як ми створюємо та переглядаємо контент, дивіться нашу Редакційну політику.