Витік вихідного коду Anthropic 2026: CLI Claude Code, розкритий через помилку в source map npm

Anthropic випадково опублікувала повний вихідний код свого CLI Claude Code у публічному npm-пакеті, розкривши приблизно 512,000 рядків Typescript для всіх, хто звернув увагу.

витік npm Claude Code розкриває незаплановані (unreleased) можливості, зокрема KAIROS, BUDDY та агентні рої

Компанія підтвердила інцидент 31 березня 2026 року, поспілкувавшись із Venture Beat, та пояснила це людською помилкою в процесі пакування релізу. Версія 2.1.88 @anthropic-ai/claude-code вийшла з файлом Javascript source map обсягом 59.8 MB. По суті, це налагоджувальний артефакт, який зіставляв мінімізований production-код назад із вихідним Typescript, що напряму вказував на публічно доступний zip-архів, розміщений у власному хмарному сховищі Anthropic Cloudflare R2.

Нікому не потрібно було зламувати щось. Файл просто був там.

Дослідник безпеки Chaofan Shou, стажер у блокчейн-компанії з безпеки Fuzzland, помітив проблему та опублікував пряме посилання на бакет в X. Протягом кількох годин у Github з’явилися дзеркальні репозиторії, деякі накопичили десятки тисяч зірок, перш ніж закрили їх DMCA-повідомленнями від Anthropic. Учасники спільноти вже почали видаляти телеметрію, вмикати приховані перемикачі функцій і готувати чисторетельні (clean-room) переписування англійською в Python і Rust, щоб обійти питання авторського права.

Первинна причина була простою: збирач (bundler) Bun за замовчуванням генерує source map-и, і жоден крок збірки не виключив або не вимкнув цей налагоджувальний артефакт перед публікацією. Відсутній запис у .npmignore або поле files у package.json зупинили б весь цей інцидент.

Те, що розробники знайшли всередині, було детально описано. Близько 1,900 файлів Typescript охоплювали логіку виконання інструментів, схеми дозволів, системи пам’яті, телеметрію, системні промпти та перемикачі функцій — повний інженерний огляд того, як Anthropic будує production-рівневий агентний інструмент для програмування. Сканування телеметрії перевіряє промпти на нецензурну лексику як сигнал розчарування, але не логують повні розмови користувача чи код. «Undercover mode» (режим під прикриттям) вказує ШІ прибирати посилання на внутрішні кодові назви та деталі про проєкти з git-комітів і pull request’ів.

Кілька незапланованих можливостей були сховані за перемикачами. KAIROS описується як постійно увімкнений фоновий демон (daemon), який стежить за файлами, логуватиме події та виконує процес «dreaming» для консолідації пам’яті під час простою. BUDDY — це термінальний домашній улюбленець із 18 видами — зокрема капібара — що несе статистики на кшталт DEBUGGING, PATIENCE та CHAOS. COORDINATOR MODE дозволяє одному агенту породжувати й керувати паралельними агентами-працівниками. ULTRAPLAN планує віддалені сесії багатьох агентів тривалістю 10–30 хвилин.

Anthropic повідомила Venture Beat, що інцидент не стосувався жодних чутливих даних клієнтів, жодних облікових даних (credentials), і не було компрометації ваг моделей чи інфраструктури для інференсу. «Це була проблема пакування релізу, спричинена людською помилкою», — сказала компанія, додавши, що вони впроваджують заходи, аби запобігти повторенню.

Ці заходи, можливо, потрібно буде реалізувати швидко. Це вже другий випадок, коли та сама помилка трапилася. Майже ідентичний витік source-map відбувся з попередньою версією Claude Code у лютому 2025 року.

Інцидент 31 березня також стався паралельно з окремою атакою на ланцюжок постачання (supply-chain) у пакеті axios, яка була активна між 00:21 і 03:29 UTC. Розробникам, які встановлювали або оновлювали Claude Code через npm у цей проміжок часу, радять перевірити (audit) свої залежності й ротацію (rotate) облікових даних. Anthropic рекомендує власний інсталятор замість npm у майбутньому.

Тут важливий контекст. За п’ять днів до цього, 26 березня, неправильна конфігурація CMS в Anthropic розкрила приблизно 3,000 внутрішніх файлів із деталями про незаплановану (unreleased) модель «Claude Mythos», що також приписують людській помилці. Два значні випадкові розкриття менш ніж за тиждень ставлять запитання щодо гігієни релізів у компанії, чиї інструменти активно використовують, щоб писати й відправляти код у масштабі.

Розкритий вихідний код залишається доступним у архівованих і дзеркальних формах попри активне виконання takedown-заборон. Anthropic не опублікувала ширшого пост-мортему або публічної заяви, окрім свого коментаря для Venture Beat.

Жодних даних користувачів не було розкрито. Основні Claude-моделі не постраждали. Проте «блакитний план» (blueprint) для створення конкурента до Claude Code тепер значно легше зібрати.

FAQ 🔎

• Q: Витік вихідного коду Claude Code був хаком? Ні — Anthropic підтвердила, що розкриття сталося через пакувальну помилку, а не через порушення безпеки або несанкціонований доступ.
• Q: Що саме було розкрито у витоку Anthropic npm? Приблизно 512,000 рядків TypeScript, що охоплюють CLI Claude Code, включно з телеметрією, перемикачами функцій, прихованими функціями та архітектурою агентів — не вагами моделей і не даними клієнтів.
• Q: Чи є ризик для моїх даних через інцидент з npm Claude Code? Anthropic каже, що не було розкрито жодних даних користувачів або credentials; розробникам, які встановлювали через npm під час паралельного вікна атаки supply-chain на axios, слід проаналізувати (audit) залежності та здійснити ротацію (rotate) credentials.
• Q: Чи раніше Anthropic розкривала вихідний код? Так — майже ідентичний витік source-map, що стосувався попередньої версії Claude Code, стався у лютому 2025 року, що робить це другим таким інцидентом приблизно за 13 місяців.