Полная хроника утечки исходного кода Claude Code: эффект бабочки, вызванный одним файлом .map

Автор: Claude

I. Причина

31 марта 2026 года глубокой ночью в сообществе разработчиков одна твит-новость вызвала бурю негодования.

Chaofan Shou, стажёр в компании по блокчейн-безопасности, обнаружил, что официальный npm-пакет от Anthropic содержит файл source map, из‑за чего полный исходный код Claude Code оказался выложен в открытый доступ. Затем он сразу же опубликовал это на X и приложил ссылку для прямой загрузки.

Этот пост взорвался в сообществе разработчиков, как сигнальная ракета. За несколько часов более 512k строк TypeScript-кода были зеркально отражены на GitHub и тысячи разработчиков в реальном времени их анализировали.

Это уже второе крупное происшествие со значительной утечкой информации, произошедшее у Anthropic менее чем за неделю.

Ровно пять дней назад (26 марта) ошибка в настройке CMS в Anthropic привела к публичному раскрытию почти 3000 внутренних файлов, среди которых были черновые статьи в блоге с подготовкой к выпуску модели «Claude Mythos».

II. Как произошла утечка?

Техническая причина этого инцидента вызывает почти смех — корень проблемы в том, что в npm-пакет ошибочно был включён файл source map (.map).

Назначение таких файлов — сопоставлять сжатый, замутнённый производственный код с исходными текстами, чтобы при отладке находить номера строк ошибок. А в этом .map-файле содержится ссылка на zip-архив, размещённый в хранилище Anthropic в собственном Cloudflare R2.

Shou и другие разработчики просто скачали этот zip-архив — без каких-либо хакерских действий. Файлы были там, полностью в открытом доступе.

Пострадавшая версия — @anthropic-ai/claude-code v2.1.88, в комплекте шёл файл JavaScript source map объёмом 59,8 MB.

В ответе на заявление The Register Anthropic признала: «Ещё более ранняя версия Claude Code также столкнулась с аналогичной утечкой исходного кода в феврале 2025 года». Это означает, что та же ошибка произошла дважды за 13 месяцев.

Ирония в том, что внутри Claude Code есть система под названием «Undercover Mode (режим под прикрытием)», специально предназначенная для того, чтобы внутренние коды Anthropic случайно не раскрывались в истории git-коммитов… а затем инженеры упаковали весь исходный код в .map-файл.

Ещё одним возможным толчком для инцидента могла стать сама цепочка инструментов: в конце года Anthropic приобрела Bun, а Claude Code как раз построен на Bun. 11 марта 2026 года кто-то подал отчёт об ошибке в системе отслеживания issues Bun (#28001), указав, что Bun в производственном режиме всё равно генерирует и выводит source map, что противоречит формулировкам в официальной документации. На данный момент этот issue всё ещё открыт.

Официальный ответ Anthropic был кратким и сдержанным: «Нет данных пользователей или учётных данных, которые были бы затронуты или утекли. Это человеческая ошибка в процессе упаковки релиза, а не уязвимость безопасности. Мы продвигаем меры, чтобы предотвращать подобные инциденты в будущем».

III. Что утекло?

Масштаб кода

Содержимое этой утечки охватывает примерно 1900 файлов и более 500k строк кода. Это не веса модели, а инженерная реализация всего «слойного» ПО Claude Code — включая каркас фреймворка вызова инструментов, оркестрацию мультиагентов, систему прав, систему памяти и другие ключевые архитектурные компоненты.

Дорожная карта не выпущенных функций

Это наиболее стратегически ценная часть утечки.

Автономный охранный процесс KAIROS: этот функциональный код, упомянутый более 150 раз, происходит от древнегреческого «надлежащее время» и отражает коренной сдвиг Claude Code к «постоянно работающему в фоне Agent». В состав KAIROS входит процесс под названием autoDream, который в периоды бездействия пользователя выполняет «интеграцию памяти» — объединяет фрагментированные наблюдения, устраняет логические противоречия и закрепляет расплывчатые инсайты в детерминированные факты. Когда пользователь возвращается, контекст Agent уже очищен и максимально релевантен.

Внутренние коды моделей и данные о производительности: содержимое утечки подтверждает, что Capybara — это внутренний код варианта Claude 4.6, Fennec соответствует Opus 4.6, а ещё не выпущенный Numbat по‑прежнему находится на стадии тестирования. В комментариях к коду также раскрывается, что у Capybara v8 вероятность ложных утверждений составляет 29–30%, что по сравнению с v4 (16,7%) является ухудшением.

Механизм анти-дистилляции (Anti-Distillation): в коде присутствует флажок функции с именем ANTI_DISTILLATION_CC. При его включении Claude Code вставляет в API-запросы ложные определения инструментов — цель состоит в том, чтобы испортить данные API-трафика, который конкуренты могут использовать для обучения модели.

Список бета-возможностей API: файл constants/betas.ts раскрывает все бета-функции, по которым Claude Code согласовывается с API, включая окно контекста на 1M token (context-1m-2025-08-07), AFK-режим (afk-mode-2026-01-31), управление бюджетами задач (task-budgets-2026-03-13) и ряд других возможностей, которые ещё не были опубликованы.

Встроенная система виртуальных партнёров в стиле «покемонов»: даже в коде спрятана полноценная система виртуальных партнёров (Buddy), включающая редкость видов, блестящие варианты, программно генерируемые параметры, а также «описание души», написанное Claude при первом «высиживании». Типы партнёров определяются детерминированным псевдослучайным генератором, использующим хэш User ID: один и тот же пользователь всегда получает одного и того же партнёра.

IV. Одновременная атака на цепочку поставок

Этот инцидент не был одиночным. В то же временное окно, когда происходила утечка исходного кода, на npm-пакет axios была совершена отдельная атака на цепочку поставок.

В период с 2026 года 31 марта 00:21 до 03:29 UTC, если через npm устанавливать или обновлять Claude Code, можно было непреднамеренно подхватить вредоносную версию, содержащую удалённый троян-шпион (RAT) (axios 1.14.1 или 0.30.4).

Anthropic посоветовала затронутым разработчикам считать хост полностью скомпрометированным, выполнить ротацию всех ключей и переустановить операционную систему.

Наложение этих двух событий по времени сделало ситуацию ещё более запутанной и опасной.

V. Влияние на отрасль

Прямой ущерб для Anthropic

Для компании с годовой выручкой 19 миллиардов долларов и находящейся в фазе быстрого роста эта утечка — не просто просчёт в сфере безопасности, а истощение стратегической интеллектуальной собственности.

По крайней мере часть возможностей Claude Code берётся не самим базовым large language model, а из программного «фреймворка», построенного вокруг модели — он подсказывает модели, как использовать инструменты, и обеспечивает важные ограничители и инструкции, чтобы нормировать поведение модели.

Эти ограничители и инструкции теперь видны конкурентам как на ладони.

Предупреждение для всей экосистемы инструментов AI Agent

Эта утечка не похоронит Anthropic, но даст всем конкурентам бесплатный инженерный учебник — как строить production-level AI programming Agent и в каком направлении инструментов стоит вкладываться в первую очередь.

Истинная ценность утекшего контента заключается не в самом коде, а в продуктовой дорожной карте, которую раскрывают функциональные флаги. KAIROS, механизм анти-дистилляции — это стратегические детали, которые конкуренты уже могут предсказать и на которые могут отреагировать первыми. Код можно рефакторить, но стратегические сюрпризы, однажды раскрытые, уже не вернёшь.

VI. Глубокие выводы для Agent Coding

Эта утечка стала зеркалом, отражающим несколько ключевых тезисов современной инженерии AI Agent:

1. Границы возможностей Agent во многом определяются «фреймворк-слоем», а не самой моделью

Публикация 500k строк кода Claude Code показывает факт, значимый для всей отрасли: та же базовая модель, но с разными фреймворками оркестрации инструментов, механизмами управления памятью и системами прав, даёт принципиально разные способности Agent. Это означает, что «у кого модель самая сильная» больше не является единственным измерением конкурентоспособности — «у кого лучше налажена фреймворк-инженерия» тоже критически важно.

2. Дальнобойная автономность — следующее ключевое поле битвы

Наличие охранного процесса KAIROS говорит о том, что следующая стадия конкуренции в отрасли будет сосредоточена на том, чтобы «Agent оставался устойчиво эффективным даже без надзора». Интеграция памяти в фоне, перенос знаний между сессиями, автономное рассуждение в период простоя — как только эти функции созреют, они радикально изменят базовый режим взаимодействия Agent и людей.

3. Анти-дистилляция и защита интеллектуальной собственности станут новым фундаментальным вопросом в AI-инженерии

Anthropic реализовала механизм анти-дистилляции на уровне кода, что сигнализирует: формируется новая инженерная область — как не позволить конкурентам использовать свои AI-системы для сбора обучающих данных. Это не только техническая проблема, но и новая сцена для юридической и коммерческой борьбы.

4. Безопасность цепочек поставок — ахиллесова пята AI-инструментов

Когда инструменты для AI-программирования распространяются самими по себе через публичные менеджеры пакетов ПО вроде npm, они сталкиваются с рисками атак на цепочку поставок так же, как и любые другие open-source проекты. А особенность AI-инструментов в том, что после внедрения бэкдора атакующий получает не только право на выполнение кода, но и глубокое проникновение в весь рабочий процесс разработки.

5. Чем сложнее система, тем больше нужна автоматизация защиты релизов

«Ошибка в конфигурации .npmignore или поле files в package.json может раскрыть всё». Для любой команды, которая собирает продукты с AI Agent, этот урок не обязательно получать ценой таких затрат — внедрение автоматизированной проверки публикуемого контента в CI/CD-пайплайны должно стать стандартной практикой, а не мерой по «залатыванию дыр» после того, как беда уже случилась.

Послесловие

Сегодня 1 апреля 2026 года, День смеха. Но это не шутка.

В течение тринадцати месяцев Anthropic дважды совершила ту же ошибку. Исходники уже зеркалированы по всему миру, запросы на удаление по DMCA не успевают за скоростью форков. Та продуктовая дорожная карта, которую должны были хранить глубоко во внутренней сети, теперь — справочный материал для всех.

Для Anthropic — это болезненный урок.

Для всей отрасли — неожиданно прозрачный момент: давайте посмотрим, как именно сегодня ведущие AI programming Agent собираются по строкам.