Полная хроника утечки исходного кода Claude Code: эффект бабочки, вызванный одним файлом .map

Публикация: Клод

I. Происхождение

31 марта 2026 года, ранним утром, один твит в сообществе разработчиков вызвал настоящую бурю.

Chaofan Shou, стажёр блокчейн-компании по кибербезопасности, обнаружил, что в официальном npm-пакете Anthropic прилагается файл source map, полностью выставивший исходный код Claude Code в публичный доступ. Затем он сразу же опубликовал это в X и добавил прямую ссылку на скачивание.

Эта публикация разорвалась в сообществе разработчиков, словно сигнальная ракета. В течение нескольких часов более 512 000 строк кода на TypeScript были зеркально отражены на GitHub и в режиме реального времени анализировались тысячами разработчиков.

Это было второе крупное событие утечки информации у Anthropic менее чем за неделю.

Ровно пять дней назад (26 марта) ошибка конфигурации CMS в Anthropic привела к раскрытию почти 3000 внутренних файлов, включая черновые материалы блог-поста о модели «Claude Mythos», которая должна была выйти.

II. Как произошла утечка?

Техническая причина этого инцидента вызывает иронию — основной корень проблемы в том, что в npm-пакете ошибочно был включён файл source map (.map).

Подобные файлы нужны, чтобы сопоставлять сжатый/обфусцированный производственный код с исходным кодом — это упрощает поиск строк с ошибками при отладке. А в этом .map-файле содержалась ссылка на zip-архив в собственном хранилище Anthropic Cloudflare R2.

Shou и другие разработчики напрямую скачали этот zip-архив — без каких-либо действий со стороны хакеров. Файл просто лежал там, полностью в открытом доступе.

Пострадавшая версия — v2.1.88 пакета @anthropic-ai/claude-code, в комплекте с файлом JavaScript source map объёмом 59,8 MB.

В ответе на заявление The Register Anthropic признала: «В более ранней версии Claude Code такая же утечка исходного кода произошла и в феврале 2025 года». Это означает, что тот же тип ошибки повторился дважды за 13 месяцев.

Ирония в том, что внутри Claude Code есть система, называемая «Undercover Mode (режим инкогнито)», специально разработанная, чтобы не допустить случайного раскрытия внутренних кодовых обозначений Anthropic в истории git-коммитов… а затем инженеры упаковали весь исходный код в один .map-файл.

Ещё одним возможным «триггером» мог быть сам инструментарий: в конце года Anthropic приобрела Bun, а Claude Code как раз и собран на основе Bun. 11 марта 2026 года кто-то подал баг-репорт в системе трекинга issue Bun (#28001), указав, что в production-режиме Bun всё равно генерирует и выводит source map, что противоречит утверждениям официальной документации. Этот issue до сих пор открыт.

Официальный ответ Anthropic на это был кратким и сдержанным: «Никакие пользовательские данные или учётные данные не были затронуты или раскрыты. Это человеческая ошибка в процессе сборки и публикации, а не уязвимость безопасности. Мы продвигаем меры, чтобы не допустить повторения подобных инцидентов».

III. Что именно утекло?

Масштаб кода

Содержимое утечки охватывает около 1900 файлов и более 500 000 строк кода. Это не веса модели — это инженерная реализация всего «программного слоя» Claude Code, включая каркас фреймворка для вызова инструментов, оркестрацию мультиагентов, систему прав, систему памяти и другие ключевые элементы архитектуры.

Дорожная карта ещё не выпущенных функций

Это наиболее ценная в стратегическом смысле часть утечки.

Самостоятельный охранный процесс KAIROS: этот функциональный код, упомянутый более 150 раз, происходит от древнегреческой фразы «в подходящий момент» и обозначает фундаментальный переход Claude Code к «постоянно работающему в фоне Agent». В KAIROS есть процесс под названием autoDream, который в моменты простоя пользователя выполняет «интеграцию памяти» — объединяет фрагментированные наблюдения, устраняет логические противоречия и фиксирует расплывчатые инсайты в виде определённых фактов. Когда пользователь возвращается, контекст Agent уже очищен и крайне релевантен.

Внутренние кодовые обозначения моделей и данные о производительности: содержимое подтверждает, что Capybara — это внутреннее обозначение варианта Claude 4.6, Fennec соответствует Opus 4.6, а ещё не выпущенный Numbat всё ещё находится на тестировании. В комментариях к коду также раскрывается, что у Capybara v8 уровень ложных утверждений составляет 29–30%, что по сравнению с v4 (16,7%) выглядит как ухудшение.

Механизм против дистилляции (Anti-Distillation): в коде присутствует флаг функции под названием ANTI_DISTILLATION_CC. После включения Claude Code внедряет в API-запросы ложные определения инструментов — цель состоит в том, чтобы испортить данные потоков API, которые потенциальные конкуренты могут использовать для обучения моделей.

Список beta-функций: файл constants/betas.ts раскрывает все бета-функции, по которым Claude Code согласовывает работу с API, включая окно контекста на 1 млн токенов (context-1m-2025-08-07), AFK-режим (afk-mode-2026-01-31), управление бюджетами задач (task-budgets-2026-03-13) и целый ряд ещё не раскрытых возможностей.

Встроенная система виртуальных напарников в стиле «покемонов»: в коде даже спрятана полностью укомплектованная система виртуальных напарников (Buddy), включающая редкость видов, блестящие варианты, процедурно генерируемые характеристики и «описание души», написанное Claude во время первой инкубации. Тип напарника определяется детерминированным псевдослучайным генератором на основе хеширования user ID: один и тот же пользователь всегда получает одного и того же напарника.

IV. Скоординированная атака на цепочку поставок

Этот инцидент не был изолирован. В то же временное окно, когда утекал исходный код, на npm-пакет axios была совершена отдельная атака на цепочку поставок.

В период с 00:21 до 03:29 UTC 31 марта 2026 года, если установить или обновить Claude Code через npm, можно было непреднамеренно внедрить вредоносную версию, содержащую Remote Access Trojan (RAT) (axios 1.14.1 или 0.30.4).

Anthropic посоветовала затронутым разработчикам считать хост полностью скомпрометированным, ротировать все ключи и заново установить операционную систему.

Наложение по времени этих двух событий добавило ситуации хаоса и опасности.

V. Влияние на отрасль

Прямой ущерб для Anthropic

Для компании с годовой выручкой 19,0 млрд долларов США, находящейся в фазе быстрого роста, эта утечка — не просто промах в безопасности, а утечка стратегической интеллектуальной собственности.

По меньшей мере часть возможностей Claude Code происходит не от базовой большой языковой модели самой по себе, а от «фреймворка» — программной «надстройки», построенной вокруг модели: он подсказывает модели, как использовать инструменты, и обеспечивает важные ограждения и инструкции, которые нормируют поведение модели.

Эти ограждения и инструкции теперь видны конкурентам как на ладони.

Предупреждение для всей экосистемы инструментов AI Agent

Эта утечка не «утопит» Anthropic, но даёт всем конкурентам бесплатный инженерный учебник — как строить production-уровневые AI-программирующие Agent и какие направления инструментов заслуживают приоритетных вложений.

Настоящая ценность утекшего контента заключается не в коде как таковом, а в продуктовой дорожной карте, которую раскрывают функциональные флаги. KAIROS, механизмы против дистилляции — это стратегические детали, которые конкуренты теперь могут предсказать и заранее отреагировать. Код можно переписать, но стратегические «сюрпризы» после утечки уже не вернуть.

VI. Глубокие выводы для Agent Coding

Эта утечка — зеркало, в котором отражаются несколько ключевых тезисов текущей инженерии AI Agent:

1. Границы возможностей Agent во многом определяются «уровнем фреймворка», а не самой моделью

Раскрытие 500 000 строк кода Claude Code показывает факт, важный для всей отрасли: одна и та же базовая модель в сочетании с разными фреймворками оркестрации инструментов, механизмами управления памятью и системами прав приводит к совершенно разным возможностям Agent. Это означает, что «у кого модель сильнее» больше не является единственным измерением конкуренции — так же важно, «чей фреймворк лучше спроектирован как инженерный продукт».

2. Дальняя автономность — следующий ключевой фронт

Наличие охранного процесса KAIROS указывает, что следующий этап конкуренции отрасли будет сосредоточен на том, чтобы «Agent мог продолжать эффективно работать и без надзора». Интеграция памяти в фоне, перенос знаний между сессиями, автономные рассуждения в моменты бездействия — когда эти способности созреют, они радикально изменят базовую модель сотрудничества Agent и людей.

3. Anti-Distillation и защита интеллектуальной собственности станут новой базовой темой в AI-инженерии

Anthropic реализовала механизмы против дистилляции на уровне кода — это предвещает формирование нового инженерного направления: как не допустить, чтобы собственные AI-системы конкуренты использовали для сбора обучающих данных. Это будет не только техническая проблема, но и новая арена правовых и коммерческих противостояний.

4. Безопасность цепочки поставок — «ахиллесова пята» AI-инструментов

Когда инструменты для программирования на AI распространяются через публичные менеджеры пакетов ПО вроде npm, они сталкиваются с риском атак на цепочку поставок так же, как и любая другая экосистема open source. А особенность AI-инструментов в том, что после внедрения бэкдора атакующий получает не только право выполнять код, но и глубокое проникновение во весь процесс разработки.

5. Чем сложнее система, тем больше нужна автоматизация «сторожей» публикаций

«Один ошибочный .npmignore или поле files в package.json — и можно раскрыть всё». Для любой команды, создающей продукты с AI Agent, этот урок не требует столь дорогой платы, чтобы быть усвоенным: внедрение автоматизированной проверки публикуемого контента в CI/CD-пайплайне должно стать стандартной практикой, а не мерой по «латанию дыр» после того, как уже поздно.

Эпилог

Сегодня 1 апреля 2026 года — день дурака. Но это не шутка.

В течение 13 месяцев Anthropic дважды допустила ту же ошибку. Исходный код уже зеркалирован по всему миру, а запросы на удаление по DMCA не успевают за скоростью fork. Та дорожная карта продукта, которую должны были держать глубоко во внутренней сети, теперь является справочным материалом для всех.

Для Anthropic это был болезненный урок.

Для всей отрасли — неожиданный момент прозрачности: давайте взглянем, как именно сегодня наиболее передовые AI-программирующие Agent собираются по одной строке за раз.