Инцидент утечки исходного кода Claude: эффект бабочки, вызванный файлом .map

Автор текста: Claude

I. Истоки

Утром 31 марта 2026 года, в предрассветные часы, в сообществе разработчиков произошёл настоящий переполох из‑за одного твита.

Chaofan Shou, стажёр в компании по блокчейн-безопасности, обнаружил, что в официальном npm-пакете Anthropic прикреплён файл source map, который полностью раскрывает исходный код Claude Code в открытом доступе. Затем он сразу же опубликовал это в X и приложил прямую ссылку для скачивания.

Этот пост словно сигнальная ракета взорвался в сообществе разработчиков. За несколько часов более 512 тыс. строк кода на TypeScript были зеркально отражены на GitHub и тысячами разработчиков анализировались в реальном времени.

Это был второй крупный инцидент с утечкой важной информации, произошедший у Anthropic менее чем за неделю.

За пять дней до этого (26 марта) ошибка в конфигурации CMS Anthropic привела к публикации почти 3000 внутренних файлов, среди которых были черновые материалы блог-поста с набросками модели «Claude Mythos», которая должна была вот-вот выйти.

II. Как произошла утечка?

Техническая причина этого инцидента до смешного неуместна — фундаментальная ошибка заключается в том, что в npm-пакете по ошибке был включён файл source map (.map).

Подобные файлы предназначены для сопоставления сжатого, обфусцированного кода production с исходным кодом, чтобы при отладке можно было находить номера строк ошибок. А в этом .map-файле содержится ссылка на zip-архив, размещённый в собственном хранилище Anthropic Cloudflare R2.

Shou и другие разработчики просто скачали этот zip-архив — без каких-либо действий со стороны хакеров. Файл просто лежал там, полностью в открытом доступе.

Проблемный релиз — v2.1.88 пакета @anthropic-ai/claude-code, в комплекте с 59,8‑МБ JavaScript-файлом source map.

В ответе на заявление The Register Anthropic признала: «В более ранней версии Claude Code в феврале 2025 года тоже происходила похожая утечка исходного кода». Это означает, что та же самая ошибка случилась дважды за 13 месяцев.

Ирония в том, что внутри Claude Code есть система под названием «Undercover Mode (режим под прикрытием)», специально предназначенная для того, чтобы внутренние коды Anthropic не случайно раскрывались в истории git-коммитов… а затем инженер упаковал весь исходный код в один .map-файл.

Ещё одним возможным толчком к аварии мог стать сам инструментарий: в конце года Anthropic приобрела Bun, а Claude Code как раз построен на Bun. 11 марта 2026 года кто-то подал отчёт об ошибке в системе отслеживания issues Bun (#28001), указав, что Bun в production-режиме всё равно генерирует и выводит source map, что противоречит официальной документации. Этот issue по сей пор остаётся открытым.

Официальный ответ Anthropic был кратким и сдержанным: «Никакие пользовательские данные или учётные данные не были затронуты или раскрыты. Это человеческая ошибка в процессе сборки и упаковки релиза, а не уязвимость безопасности. Мы продвигаем меры, чтобы предотвратить подобные инциденты снова».

III. Что было утечено?

Масштаб кода

Содержимое этой утечки охватывает примерно 1900 файлов и более 500 тыс. строк кода. Это не веса модели, а инженерная реализация всего «программного слоя» Claude Code — включая фреймворк для вызова инструментов, оркестрацию мультиагентов, систему прав, систему памяти и другие ключевые элементы архитектуры.

Дорожная карта неанонсированных функций

Это наиболее стратегически ценная часть утечки.

Автономный защитный процесс KAIROS: этот код-нейм функции, упомянутый более 150 раз, происходит из древнегреческого выражения «подходящий момент» и отражает фундаментальный переход Claude Code к «постоянно работающему в фоне Agent». KAIROS включает процесс под названием autoDream, который в периоды простоя пользователя выполняет «интеграцию памяти» — объединяет фрагментированные наблюдения, устраняет логические противоречия и закрепляет расплывчатые инсайты в виде определённых фактов. Когда пользователь возвращается, контекст Agent уже очищен и максимально релевантен.

Внутренние коды моделей и данные о производительности: утечённое подтверждает, что Capybara — это внутренний код-нейм варианта Claude 4.6, Fennec соответствует Opus 4.6, а ещё не выпущенный Numbat всё ещё находится на тестировании. В комментариях к коду также раскрывается, что у Capybara v8 уровень ложных утверждений составляет 29–30%, что по сравнению с v4 (16,7%) является ухудшением.

Механизм против дистилляции (Anti‑Distillation): в коде присутствует флажок функции с названием ANTI_DISTILLATION_CC. При включении Claude Code вставляет в API-запросы ложные определения инструментов, чтобы загрязнить данные о трафике API, которые конкуренты могут использовать для обучения моделей.

Список beta-функций API: файл constants/betas.ts раскрывает все beta-функции, по которым Claude Code согласовывает взаимодействие с API, включая окно контекста на 1 млн токенов (context-1m-2025-08-07), AFK-режим (afk-mode-2026-01-31), управление бюджетами задач (task-budgets-2026-03-13) и ряд других возможностей, пока не раскрытых публично.

Встроенная система виртуальных партнёров в стиле покемонов: в коде даже спрятана целая система виртуальных партнёров (Buddy), включая редкость видов, блестящие варианты, атрибуты, сгенерированные программно, и «описание души», написанное Claude при первом «инкубировании». Типы партнёров определяются детерминированным псевдослучайным генератором, основанным на хешировании пользовательского ID; один и тот же пользователь всегда получает одного и того же партнёра.

IV. Вспышка атак на цепочку поставок параллельно

Этот инцидент произошёл не в вакууме. В то же окно времени, когда утек исходный код, на npm-пакет axios пришла самостоятельная атака на цепочку поставок.

С 00:21 до 03:29 UTC 31 марта 2026 года, если вы устанавливали или обновляли Claude Code через npm, вы могли непреднамеренно внедрить вредоносную версию с удалённым доступом через троян (RAT) (axios 1.14.1 или 0.30.4).

Anthropic рекомендует затронутым разработчикам считать хост полностью скомпрометированным, провести ротацию всех ключей и переустановить операционную систему.

Наложение по времени двух этих событий делает ситуацию ещё более запутанной и опасной.

V. Влияние на отрасль

Прямой ущерб для Anthropic

Для компании с годовой выручкой 19 млрд долларов США, находящейся в фазе быстрого роста, эта утечка — это не просто просчёт в сфере безопасности, а отток стратегически важной интеллектуальной собственности.

Как минимум часть возможностей Claude Code не берётся из базовой большой языковой модели сама по себе — а из «фреймворка» ПО, построенного вокруг модели: он подсказывает модели, как использовать инструменты, и предоставляет важные ограждения и инструкции, чтобы нормировать поведение модели.

Эти ограждения и инструкции теперь видны конкурентам как на ладони.

Предупреждение для всей экосистемы инструментов AI Agent

Эта утечка не отправит Anthropic на дно, но она даёт всем конкурентам бесплатный учебник по инженерии — как строить production-уровневые AI programming Agent и какие направления инструментов стоит сфокусированно развивать.

Настоящая ценность утекшего — не в самом коде, а в дорожной карте продукта, которую раскрывают флаги функций. KAIROS, механизм против дистилляции — это стратегические детали, которые конкуренты теперь могут предвидеть и отреагировать заранее. Код можно переписать заново, но если стратегические сюрпризы раскрыты, их уже нельзя вернуть.

VI. Глубокие выводы для Agent Coding

Эта утечка — как зеркало, отражающее несколько ключевых тезисов современной инженерии AI Agent:

1. Границы возможностей Agent во многом определяются «слоем фреймворка», а не самой моделью

Раскрытие 500 тыс. строк кода Claude Code показывает важный факт, значимый для всей отрасли: при одной и той же базовой модели, но с разными фреймворками оркестрации инструментов, механизмами управления памятью и системами прав получаются принципиально разные возможности Agent. Это означает, что «у кого модель сильнее всего» больше не является единственным измерением конкуренции — «у кого лучше инженерный фреймворк» тоже критически важно.

2. Долгосрочная автономность — следующий ключевой фронт

Существование защитного процесса KAIROS указывает, что следующий этап конкуренции в отрасли будет сосредоточен на том, чтобы «Agent мог продолжать эффективно работать и без надзора со стороны человека». Интеграция памяти в фоне, перенос знаний между сессиями, автономное рассуждение во время простоя — как только эти функции созреют, они полностью изменят базовую модель сотрудничества между Agent и людьми.

3. Против дистилляции и защита интеллектуальной собственности станут новыми базовыми темами в инженерии AI

Anthropic реализовала противодистилляционный механизм на уровне кода, что указывает на формирование нового инженерного направления: как не допустить, чтобы собственные AI-системы использовались конкурентами для сбора обучающих данных. Это не только техническая проблема — это будет развиваться в новый фронт правовой и коммерческой борьбы.

4. Безопасность цепочки поставок — ахиллесова пята AI-инструментов

Когда AI-инструменты для программирования распространяются через публичные менеджеры пакетов вроде npm, они так же, как и любая другая open-source-продукция, сталкиваются с риском атак на цепочку поставок. А уникальность AI-инструментов в том, что если в них встроен бэкдор, атакующий получает не только право выполнять код, а глубокое проникновение в весь процесс разработки.

5. Чем сложнее система, тем больше нужна автоматизация защиты релизов

«Одна ошибка в .npmignore или в поле files внутри package.json — и можно раскрыть всё». Для любой команды, которая строит продукт с AI Agent, этот урок не обязательно получать столь дорогой ценой — внедрение автоматизированной проверки публикуемого контента в CI/CD-конвейер должно стать стандартной практикой, а не мерой по «залатыванию дыр», когда уже поздно.

Эпилог

Сегодня 1 апреля 2026 года, день смеха. Но это не шутка.

За 13 месяцев Anthropic совершила одну и ту же ошибку дважды. Исходники уже зеркально отражены по всему миру, запросы на удаление по DMCA не успевают за скоростью форков. Та дорожная карта продукта, которая должна была храниться глубоко во внутренней сети, теперь стала справочником для всех.

Для Anthropic это болезненный урок.

Для всей отрасли это неожиданный момент прозрачности — давайте посмотрим, как именно самый передовой AI programming Agent на текущий момент создаётся строка за строкой.