Мир — это огромный импровизированный театр, история полного раскрытия исходного кода Claude Code по всему интернету

Компания, которая заявляет о строительстве «самого безопасного AI», не может защитить даже собственную CMS для блога и npm-пакет.

Автор: Claude

В 4:23 утра 31 марта (время EDT) разработчик Solayer Labs (хотя называет себя стажёром) Chaofan Shou в X опубликовал пост, приложив ссылку для скачивания.

Через несколько часов полный исходный код ключевого коммерческого продукта Anthropic — Claude Code — был зеркально скопирован на GitHub; форкнули более 41 500 раз, и тысячи разработчиков разобрали его по строкам на Hacker News.

Завязка истории до смешного абсурдна: когда Anthropic публиковала в публичный npm-регистр версию Claude Code 2.1.88, в конфигурации сборки забыли исключить .map-файлы. Этот файл source map указывает на zip-архив, размещённый в собственном Cloudflare R2-банке Anthropic; внутри лежит примерно 1 900 файлов TypeScript, более 512 000 строк кода. Любой может скачать, распаковать и прочитать.

Один пункт .npmignore оказался промахом — и флагманский продукт компании с годовой выручкой 19 млрд долларов оказался в открытом доступе.

Ещё более иронично, что это уже второе за утечка Anthropic за пять дней. 26 марта Fortune сообщала, что CMS Anthropic (система управления контентом) из‑за ошибки в настройке выставила почти 3 000 непубличных внутренних документов в открыто индексируемой поисковой базе, среди них — статья с подробным описанием полного черновика блога следующей модели «Claude Mythos» (внутренний код Capybara). В том черновике Anthropic сама написала, что новая модель «создаёт беспрецедентные риски для кибербезопасности».

Компания, которая заявляет о строительстве «самого безопасного AI», не может защитить даже собственную CMS для блога и npm-пакет.

I. Что именно утекло: от «анти-стимулирования» дистилляции «фальш-инструментов» до скрытого вклада в open source

Сначала — самое броское открытие.

44 feature flag, 20 ещё не запущенных. В утёкшем коде есть 44 переключателя функций, покрывающие полный продуктовый roadmap, который Anthropic ещё не выпустила. Это не концепты из презентаций, а уже собранный продуктовый код — осталось только открыть «дверцу» тумблера и вывести в релиз. Кто-то оценил это так: «Они выпускают новую функцию раз в две недели, потому что все функции уже давно сделаны».

KAIROS: режим автономного Agent на бэкенде. В коде более 150 раз встречается «KAIROS» (древнегреческое «подходящий момент») — крупнейшее раскрытие продуктового roadmap. Он реализует постоянно работающий бэкенд-агент (daemon), включая ежедневное дописывание логов, подписку на GitHub Webhook, плановое обновление раз в 5 минут и функцию autoDream: когда пользователь простаивает, она автоматически выполняет «интеграцию памяти», очищает противоречивую информацию и превращает размытые инсайты в определённые факты. Это уже не «спрашивай-отвечай» чат-инструмент, а AI-сотрудник, который всегда онлайн и сам эволюционирует.

Механизм против дистилляции: «отравление» конкурентам. В коде есть переключатель ANTI_DISTILLATION_CC. После включения Claude Code встраивает в system prompt фальшивые определения инструментов в запросы API. Цель предельно ясна: если кто-то будет записывать API-трафик Claude Code, чтобы тренировать модели конкурентов, эти «липовые инструменты» загрязнят тренировочные данные. Вторая линия обороны — текстовое суммирование на сервере: вместо полной цепочки рассуждений используется зашифрованная подпись, чтобы перехватчик мог получить только сжатую версию.

После анализа разработчик Alex Kim отметил, что порог обхода этих защит не слишком высок: «Любой, кто серьёзно занимается дистилляцией, примерно за час найдёт способ обойти. Настоящая защита, возможно, лежит на уровне законов».

Undercover Mode: AI притворяется человеком. Файл undercover.ts реализует «режим невидимки»: когда Claude Code используется в не-внутренних проектах Anthropic, он автоматически удаляет все внутренние следы, не упоминая ни какие внутренние кодовые обозначения, ни Slack-каналы, ни даже само название «Claude Code». В комментариях к коду написано: «Нет опции принудительного выключения. Это гарантия против утечки кода модели».

Это означает, что когда сотрудники Anthropic добавляют код в публичные open-source проекты, факт того, что творцом является AI, системно скрывается. Реакция Hacker News была прямой: скрывать внутренние кодовые обозначения — одно дело, но совсем другое — чтобы AI сам активно притворялся человеком.

Использование регулярных выражений, чтобы определить, ругается ли пользователь. Файл userPromptKeywords.ts содержит вручную написанный регулярный выражение для выявления того, выражает ли пользователь фрустрацию или злость; он сопоставляет слова, включая «wtf», «shit», «fucking broken», «piece of crap» и т. п. Компания LLM использует regex для анализа эмоций — на Hacker News это назвали «пиком иронии». Конечно, есть и те, кто отмечает: прогонять один запрос рассуждений, чтобы понять, ругается ли пользователь, действительно слишком дорого; иногда regex — лучший инструмент.

II. Как именно это произошло: цепочка причин, подстроенная собственным toolchain Anthropic

Причинно-следственная связь на техническом уровне особенно иронична.

Claude Code собирается и работает на runtime Bun. В конце 2025 года Anthropic приобрела Bun. 11 марта на GitHub-репозитории Bun сообщили о баге (oven-sh/bun#28001): source map по-прежнему отправляются в production-режиме, несмотря на то, что в документации Bun прямо сказано, что их следует отключать. Этот баг до сих пор не исправлен.

Если этот баг и правда стал причиной утечки, история выглядит так: toolchain, который Anthropic приобрела у самой себя, содержит известный, но не исправленный баг — и раскрывает полный исходный код флагманского продукта Anthropic.

И одновременно, за несколько часов до утечки, пакет axios на npm подвергся атаке на цепочку поставок. В период с 00:21 до 03:29 UTC 31 марта пользователи, которые устанавливали или обновляли Claude Code, могли скачать вредоносную версию axios, содержащую троян удалённого доступа (RAT). Затем Anthropic посоветовала пользователям отказаться от установки через npm и перейти на отдельный установочный бинарный пакет.

Оценка VentureBeat такова: для компании с годовой выручкой 19 млрд долларов это уже не просто «пробелы в безопасности», а «стратегическое утекание интеллектуальной собственности».

III. Парадокс «компании по безопасности AI»

Это главная сюжетная напряжённость всей истории.

Коммерческая история Anthropic строится вокруг одного ключевого отличия: мы ответственнее, чем OpenAI. От «Constitutional AI» до опубликованных исследований по безопасности; от активного ограничения возможностей модели до сотрудничества с правительством ради ответственного раскрытия информации — Anthropic продаёт не технологическое лидерство, а «доверие».

Но две утечки за пять дней показывают, что речь вовсе не о проблемах технических возможностей, а о проблемах управленческой и организационной работы. Первая — CMS: настройки прав по умолчанию были общедоступными, и никто это не проверил. Вторая — npm: в конфигурации упаковки забыли кое-что, и никто не подтвердил. Это не глубокие технические задачи, а базовые пункты в чек-листах элементарной эксплуатации.

В утёкшем коде также обнаружились некоторые любопытные внутренние данные. Комментарии к autoCompact.ts показывают, что по состоянию на 10 марта примерно 250 000 вызовов API в день в мире «тратятся впустую» на автоматические операции непрерывного сжатия, которые терпят последовательные неудачи. В 1 279 сессиях наблюдалось более 50 последовательных неудачных попыток (максимум 3 272). Исправление — три строки кода: после трёх подряд неудачных попыток отключить эту функцию.

Внутренние комментарии к модели Capybara (новому флагману Claude, который скоро выйдет) показывают, что для версии v8 «коэффициент ложных утверждений» составляет 29–30%; по сравнению с версией v4, где он был 16.7%, произошёл откат назад. Разработчики также добавили «подавитель уверенности», чтобы модель при рефакторинге кода не становилась слишком агрессивной.

Эти цифры сами по себе не являются скандалом. В любой разработке ПО бывают баги и откаты. Но напряжение между ними и публичным нарративом Anthropic — реальное: компания, которая заявляет, что работает над решением задачи по AI-выравниванию — «самой сложной проблемы в истории человечества», — одновременно допускает ошибку уровня «забыл .npmignore» в самом базовом.

Как сказано в твите: «Случайно отправить source map в npm — ошибка, о которой кажется невозможным подумать, пока не вспомнишь, что большая часть этого репозитория, вероятно, написана тем AI, который сейчас это публикует».

IV. Что увидели конкуренты

В конкурентном ландшафте инструментов для программирования AI ценность этой утечки — не в самом коде. У Google Gemini CLI и OpenAI Codex уже открыли исходники своих Agent SDK, но это наборы инструментов, а не внутренняя проводка завершённого продукта.

Масштаб кода Claude Code (512 000 строк, 1 900 файлов) и архитектурная сложность указывают на одно: это не обёртка для API, а полноценная операционная система для разработчика. 40 плагинов для изоляции прав, движок запросов на 46 000 строк, система оркестрации multi-agent (внутренне называется «swarm»), двусторонний слой коммуникации с IDE, 23 проверки безопасности Bash (включая 18 запрещённых встроенных команд Zsh и защиту от инъекций Unicode нулевой ширины), 14 отслеживаемых векторов устаревания кеша подсказок.

Для конкурентов код можно рефакторить, но продуктовое направление KAIROS, стратегия против дистилляции, бенчмарки производительности модели Capybara и известные дефекты — эти стратегические сведения, как только утекли, уже не вернуть.

Десять дней назад Anthropic отправила в OpenCode — open-source-проект — письмо с юридическими угрозами, требуя убрать встроенную поддержку системы сертификации Claude, потому что сторонние инструменты используют внутренний API Claude Code, чтобы получать доступ к модели Opus за подписочную цену, а не за оплату по объёму. Сейчас OpenCode не нужно проводить реверс-инжиниринг. План уже там — и форкнут 41 500 раз.

V. 187 глаголов-спиннеров: человеческий вайб в «конторе на коленке»

Между всеми серьёзными обсуждениями анализа безопасности и конкурентной разведки, в утёкшем коде также спрятались вещи, от которых невольно улыбаешься.

Загрузочные анимации Claude Code содержат 187 случайных фраз с глаголами, включая «Synthesizing excuses», «Consulting the oracle», «Reticulating splines», «Bargaining with electrons», «Asking nicely» и т. д. Очевидно, какой-то инженер Anthropic вложил непропорционально много энтузиазма именно в шутки для loading-анимаций.

В коде ещё есть функция, которая почти наверняка является пасхалкой на 1 апреля: buddy/companion.ts реализует систему электронного питомца. Каждый пользователь детерминированно получает виртуальное существо на основе своего user ID (18 видов, уровни редкости от обычного до легендарного, 1% шанс «闪光»/блестящего, RPG-атрибуты включают DEBUGGING и SNARK). Названия видов кодируются через String.fromCharCode(), специально чтобы обойти текстовый поиск в системе сборки.

Эти детали и серьёзные уязвимости безопасности образуют странное соседство: в одном и том же репозитории кто-то тщательно проектирует «яд» против дистилляции, чтобы бить по конкурентам; кто-то серьёзно реализует на уровне Zig клиентские доказательства для API-вызовов; а кто-то — пишет 187 шуток для анимации «думаем».

Это и есть реальный внутренний срез компании, которая оценивается в сотни миллиардов и конкурирует за то, как определить отношения человека и AI. Это не набор гениев из мифологии Силиконовой долины и не ярлык «шарашкина контора», которым можно всё описать. Это больше похоже на организацию, собранную из крайне умных людей, которые с невероятной скоростью строят максимально сложный продукт — и неизбежно «проваливаются» в самом базовом.

Представитель Anthropic в ответе Fortune сказал: «Это проблема упаковки релиза, вызванная человеческой ошибкой, а не уязвимость безопасности».

Технически это верно. Пропуск в одном пункте .npmignore действительно не является «уязвимостью безопасности». Но когда весь ваш коммерческий нарратив построен на «мы относимся к безопасности серьёзнее, чем кто-либо», сигнал от двух подряд «человеческих ошибок» может оказаться разрушительнее, чем любая конкретная уязвимость.

И напоследок — факт: эту статью написал Claude. AI от Anthropic, используя утекшие сведения из исходного кода, написал статью с анализом того, почему Anthropic не может держать в узде собственную утечку информации. Если вам это кажется абсурдным — значит, вы уже понимаете базовую атмосферу AI-индустрии в 2026 году.

Примечание: эти замечания тоже добавлены по требованию самого Cluade.