Подія витоку коду Claude: ефект метелика, викликаний файлом .map

Автор: Claude

I. Причина виникнення

О 0:00 31 березня 2026 року у нічний час твіт у девелоперській спільноті спричинив хвилю обурення.

Chaofan Shou, стажер компанії з безпеки блокчейнів, виявив у офіційному npm-пакеті Anthropic файл source map, який розкривав повний вихідний код Claude Code у відкритому доступі. Після цього він одразу опублікував цю знахідку в X і додав посилання для прямого завантаження.

Цей допис розірвав девелоперську спільноту, мов сигнальна ракета. Протягом кількох годин понад 512 000 рядків коду TypeScript були віддзеркалені на GitHub, і тисячі розробників у реальному часі провадили аналіз.

Це другий випадок великого витоку конфіденційної інформації, який стався в Anthropic менш ніж за тиждень.

Ровно за п’ять днів до того (26 березня) помилка в налаштуваннях CMS в Anthropic спричинила публікацію майже 3000 внутрішніх файлів, серед яких були чорнові блоги майбутньої моделі під назвою “Claude Mythos”.

II. Як стався витік?

Технічна причина цієї пригоди до сміху абсурдна — базова причина в тому, що в npm-пакеті помилково був включений файл source map (.map).

Такі файли використовуються для зіставлення стисненого й заплутаного (обфускованого) виробничого коду з початковим вихідним кодом, щоб під час налагодження можна було визначати номери рядків помилок. А цей .map-файл містить посилання на zip-архів у фірмовому сховищі Anthropic Cloudflare R2.

Shou та інші розробники просто завантажили цей zip-архів — без будь-яких хакерських методів. Файли були там, повністю у відкритому доступі.

Постраждала версія — v2.1.88 пакета @anthropic-ai/claude-code, що постачалася з 59,8MB файлом JavaScript source map.

У відповіді на заяву The Register Anthropic визнав: “Раніше, у лютому 2025 року, аналогічний витік вихідного коду вже траплявся в одній із попередніх версій Claude Code”. Це означає, що та сама помилка сталася двічі за 13 місяців.

Іронічно, що всередині Claude Code є система під назвою “Undercover Mode (режим під прикриттям)”, спеціально створена, щоб запобігти випадковому витоку внутрішніх кодових назв Anthropic у записах git-комітів… а потім інженери упакували весь вихідний код у .map-файл.

Ще одним можливим рушієм інциденту може бути сам інструментарій: наприкінці року Anthropic придбав Bun, і Claude Code якраз і збудований на Bun. 11 березня 2026 року хтось подав звіт про bug у системі відстеження issue в Bun (#28001), вказавши, що Bun у production-режимі все ще генерує та виводить source map, що суперечить твердженням в офіційній документації. Цей issue досі залишається відкритим.

Офіційна відповідь Anthropic була короткою й стриманою: “Жодні дані користувачів або облікові дані (credentials) не були задіяні чи витікли. Це людська помилка в процесі пакування релізу, а не вразливість безпеки. Ми впроваджуємо заходи, щоб запобігти таким інцидентам у майбутньому”.

III. Що було витікнуто?

Масштаб коду

Обсяг витоку охоплював близько 1900 файлів і понад 500 000 рядків коду. Це не ваги моделі, а реалізація всього “програмного шару” Claude Code — включно з фреймворком виклику інструментів, оркестрацією мультиагентів, системою прав, системою пам’яті та іншими ключовими компонентами архітектури.

Дорожня карта невипущених функцій

Це найбільш стратегічно цінна частина цього витоку.

Автономний процес захисту KAIROS: ця функціональна назва, яку згадували понад 150 разів, походить із давньогрецької мови — “вчасний момент” — і відображає принципову зміну Claude Code до “агента, що постійно працює у фоновому режимі”. KAIROS включає процес під назвою autoDream, який у час, коли користувач бездіяльний, виконує “інтеграцію пам’яті” — об’єднання фрагментованих спостережень, усунення логічних суперечностей і перетворення нечітких інсайтів на визначені факти. Коли користувач повертається, контекст Agent уже чистий і надзвичайно релевантний.

Внутрішні кодові назви моделей і дані щодо продуктивності: вміст витоку підтвердив, що Capybara — це внутрішня кодова назва варіанта Claude 4.6, Fennec відповідає Opus 4.6, а ще не випущений Numbat усе ще тестується. Коментарі в коді також розкрили, що Capybara v8 має 29–30% частку неправдивих тверджень, що є погіршенням у порівнянні з v4 (16,7%).

Механізм проти дистиляції (Anti-Distillation): у коді присутній прапорець функціональності під назвою ANTI_DISTILLATION_CC. Після увімкнення Claude Code ін’єктує фіктивні визначення інструментів у запити API — мета полягає в тому, щоб зіпсувати дані про потік API, які потенційні конкуренти можуть використати для тренування моделей.

Перелік beta-функцій API: файл constants/betas.ts розкрив усі beta-функції Claude Code у переговорах з API, включно з вікном контексту на 1 млн токенів (context-1m-2025-08-07), режимом AFK (afk-mode-2026-01-31), керуванням бюджетом завдань (task-budgets-2026-03-13) та низкою інших можливостей, які ще не були оприлюднені.

Вбудована система віртуальних партнерів у стилі покемонів: у коді навіть схована повна система віртуальних партнерів (Buddy), що включає рідкісність видів, блискучі варіанти, процедурно згенеровані атрибути, а також “опис душі”, написаний Claude під час першого вилуплення. Типи партнерів визначаються детермінованим генератором псевдовипадкових чисел на основі хешу user ID: один і той самий користувач назавжди отримує одного й того самого партнера.

IV. Конкурентна атака через ланцюг постачання

Ця подія не була ізольованою. У той самий часовий інтервал, що й витік вихідного коду, пакет axios на npm зазнав незалежної атаки через ланцюг постачання.

Між 00:21 та 03:29 UTC 31 березня 2026 року, якщо встановити чи оновити Claude Code через npm, можна було ненавмисно додати шкідливу версію, що містила троянку віддаленого доступу (RAT) (axios 1.14.1 або 0.30.4).

Anthropic порадив розробникам, яких це торкнулося, вважати хост повністю скомпрометованим, виконати ротацію всіх ключів і заново встановити операційну систему.

Часове накладання цих двох інцидентів зробило ситуацію ще більш заплутаною та небезпечною.

V. Вплив на індустрію

Прямі збитки для Anthropic

Для компанії з річним темпом доходів 19 мільярдів доларів США, яка перебуває у фазі швидкого зростання, цей витік — це не просто проблема з безпековою недбалістю, а фактична втрата стратегічної інтелектуальної власності.

Принаймні частина можливостей Claude Code не походить від базової великої мовної моделі як такої, а від програмного “фреймворку”, побудованого навколо неї — він підказує моделі, як використовувати інструменти, і забезпечує важливі запобіжники та інструкції для регламентації поведінки моделі.

Ці запобіжники та інструкції тепер видно всім конкурентам.

Попередження для всього екосистемного середовища інструментів AI Agent

Цей витік не зруйнує Anthropic, але він дає всім конкурентам безкоштовний інженерний підручник — як будувати production-рівневого AI програмування Agent, і в якому напрямі інструментів варто зосередити пріоритетні інвестиції.

Справжня цінність витоку не в самому коді, а в дорожній карті продукту, яку розкривають позначки функцій. KAIROS, механізм проти дистиляції — це стратегічні деталі, які конкуренти тепер можуть передбачити й реагувати першими. Код можна переробити, але стратегічні сюрпризи, якщо вони розкриті, вже неможливо повернути назад.

VI. Глибинні висновки для Agent Coding

Цей витік — це дзеркало, яке відображає кілька ключових тез сучасної інженерії AI Agent:

1. Межі можливостей Agent значною мірою визначаються “рівнем фреймворку”, а не самою моделлю

Розкриття 500 000 рядків коду Claude Code показує факт, важливий для всієї індустрії: та сама базова модель, але в поєднанні з різними фреймворками оркестрації інструментів, механізмами керування пам’яттю та системами прав дає принципово різні можливості Agent. Це означає, що “у кого модель найсильніша” більше не є єдиним виміром конкуренції — “у кого фреймворкова інженерія більш вишукана” також має вирішальне значення.

2. Далекоглядна автономність — наступне ключове поле бою

Наявність процесу захисту KAIROS свідчить, що наступний етап конкуренції в індустрії зосередиться на “забезпеченні того, щоб Agent без нагляду залишався постійно ефективним у роботі”. Інтеграція пам’яті у фоновому режимі, міграція знань між сесіями, автономне міркування під час простою — щойно ці можливості дозріють, вони повністю змінять базову модель співпраці Agent і людей.

3. Anti-Distillation і захист інтелектуальної власності стануть новими базовими темами для AI-інженерії

Anthropic реалізував механізм проти дистиляції на рівні коду. Це натякає на те, що формується нова інженерна сфера: як не допустити, щоб власні AI-системи конкурентів використовувалися для збирання тренувальних даних. Це буде не лише технічним питанням, а й перетвориться на нове поле юридичної та комерційної боротьби.

4. Безпека ланцюга постачання — ахіллесова п’ята AI-інструментів

Коли інструменти для AI-програмування поширюються через публічні менеджери пакетів на кшталт npm, вони, як і будь-яке інше open-source програмне забезпечення, стикаються з ризиком атак на ланцюг постачання. А особливість AI-інструментів у тому, що після вбудування бекдору атакувальник отримує не лише право на виконання коду, а глибоке проникнення в увесь цикл розробки.

5. Чим складніші системи, тим більше потрібна автоматизація сторожів релізу

“Помилково налаштоване .npmignore або поле files у package.json може розкрити все.” Для будь-якої команди, що будує продукт на основі AI Agent, цей урок не потрібно здобувати такою дорогою ціною — введення автоматизованої перевірки контенту релізу в CI/CD пайплайнах має стати стандартною практикою, а не заходом для ліквідації наслідків після біди.

Епілог

Сьогодні 1 квітня 2026 року — День дурня. Але це не жарт.

За тринадцять місяців Anthropic двічі припустився тієї самої помилки. Вихідний код уже віддзеркалений по всьому світу, а запити на видалення через DMCA не встигають за швидкістю fork. Та дорожня карта продукту, яку мали зберігати глибоко у внутрішній мережі, тепер є довідником для всіх.

Для Anthropic це болісний урок.

Для всієї індустрії це момент несподіваної прозорості — давайте ж подивимось, як саме найпровідніші AI програмні Agent на сьогодні будуються рядок за рядком.