Подія витоку коду Claude: ефект метелика, викликаний файлом .map

Написано: Claude

I. Передумови

У ніч на 31 березня 2026 року твіт у девелоперській спільноті спричинив бурю.

Chaofan Shou, інтерн у компанії з безпеки блокчейну, виявив, що в офіційному npm-пакеті Anthropic додається файл source map, який виносить повний початковий код Claude Code у публічний доступ. Після цього він одразу оприлюднив цю знахідку в X і додав посилання для прямого завантаження.

Цей допис розірвався в девелоперській спільноті, мов сигнальна ракета. Протягом кількох годин понад 512k рядків коду TypeScript було віддзеркалено на GitHub, і тисячі розробників у реальному часі провели аналіз.

Це другий масштабний інцидент витоку важливої інформації, який стався в Anthropic менш ніж за тиждень.

За п’ять днів до цього (26 березня) помилка конфігурації CMS в Anthropic призвела до того, що були оприлюднені майже 3000 внутрішніх файлів, серед яких — чернеткові нотатки блогу з матеріалами для майбутньої моделі «Claude Mythos».

II. Як стався витік?

Технічна причина цього інциденту звучить приголомшливо буденно — базова причина в тому, що в npm-пакеті було помилково включено файл source map (.map).

Такі файли використовують для відображення стисненого й обфускованого production-коду на вихідний код, щоб під час налагодження можна було точно знаходити номери рядків помилок. А цей .map-файл містить посилання на архів zip у власному сховищі Anthropic Cloudflare R2.

Shou та інші розробники просто завантажили цей zip-пакет — без будь-яких хакерських прийомів. Файл був там, повністю у відкритому доступі.

Проблемна версія — v2.1.88 пакета @anthropic-ai/claude-code, що постачалася разом із JavaScript source map файлом обсягом 59,8 MB.

У відповіді на заяву The Register Anthropic визнав: «Більш рання версія Claude Code також мала подібний витік початкового коду, який стався в лютому 2025 року». Це означає, що та сама помилка повторилася двічі за 13 місяців.

Іронічно, що в Claude Code всередині є система під назвою «Undercover Mode (режим під прикриттям)», спеціально розроблена, щоб завадити випадковому витоку внутрішніх кодових назв Anthropic у git-записах… а потім інженери зібрали весь початковий код у .map-файл.

Ще одним ймовірним поштовхом для інциденту могло бути те, що інструментарій сам по собі: наприкінці року Anthropic придбав Bun, а Claude Code якраз і збудований на Bun. 11 березня 2026 року хтось подав звіт про баг у системі трекінгу issue Bun (#28001), вказавши, що Bun у production-режимі все одно генерує й виводить source map, що суперечить твердженням офіційної документації. Цей issue досі лишається відкритим.

Офіційна відповідь Anthropic була короткою та стриманою: «Жодні дані користувачів або облікові дані (credentials) не були задіяні чи скомпрометовані. Це людська помилка в процесі пакування до релізу, а не вразливість безпеки. Ми впроваджуємо заходи, щоб запобігти таким інцидентам у майбутньому».

III. Що саме витекло?

Масштаб коду

Вміст цього витоку охоплює близько 1900 файлів і понад 500k рядків коду. Це не ваги моделі, а повна «програмна» реалізація всього Claude Code — включно з фреймворком викликів інструментів, оркестрацією мультиагентів, системою прав доступу, системою пам’яті та іншими ключовими елементами архітектури.

Дорожня мапа функцій, які ще не були опубліковані

Це найстратегічніша частина цього витоку.

Автономний охоронний процес KAIROS: кодова назва цієї функції згадувалася понад 150 разів і походить від давньогрецького «правильний час»; вона відображає фундаментальний зсув Claude Code до «агента, що працює у фоновому режимі постійно». KAIROS містить процес під назвою autoDream, який під час простою користувача виконує «інтеграцію пам’яті» — об’єднання фрагментованих спостережень, усунення логічних протиріч і закріплення розмитих інсайтів у визначені факти. Коли користувач повертається, контекст агента вже очищений і має високу релевантність.

Внутрішні кодові назви моделей і дані про продуктивність: витік підтвердив, що Capybara — це внутрішня кодова назва варіанта Claude 4.6, Fennec відповідає Opus 4.6, а ще не випущений Numbat досі тестується. Також у коментарях до коду відкрито зазначено, що для Capybara v8 рівень фальшивих тверджень становить 29–30%, що є погіршенням порівняно з v4 (16,7%).

Механізм проти дистиляції (Anti-Distillation): у коді є прапорець функціональності під назвою ANTI_DISTILLATION_CC. Коли його ввімкнено, Claude Code інжектує фальшиві визначення інструментів у запити до API — мета полягає в тому, щоб «забруднити» потокові дані API, які конкуренти потенційно могли б використати для навчання моделі.

Перелік бета-функцій API: файл constants/betas.ts розкриває всі бета-функції, які обговорює Claude Code з API, включно з контекстним вікном на 1 млн токенів (context-1m-2025-08-07), режимом AFK (afk-mode-2026-01-31), керуванням бюджетом задач (task-budgets-2026-03-13) та низкою інших можливостей, які ще не були публічно оголошені.

Вбудована система віртуальних партнерів у стилі покемонів: у коді навіть схована повна система віртуальних партнерів (Buddy) — включно з рідкісністю видів, блискучими варіантами, параметрами з програмною генерацією та «описом душі», який Claude написав під час першого вилуплення. Типи партнерів визначаються детермінованим псевдовипадковим генератором на основі хешу ID користувача: один і той самий користувач завжди отримує одного й того самого партнера.

IV. Конкурентна атака на ланцюг постачання

Ця подія не була ізольованою. У той самий часовий проміжок, що й витік вихідного коду, пакет axios у npm зазнав незалежної атаки на ланцюг постачання.

Між 00:21 та 03:29 UTC 31 березня 2026 року, якщо встановити або оновити Claude Code через npm, можна було мимоволі завести шкідливу версію, що містить remote access trojan (RAT) (axios 1.14.1 або 0.30.4).

Anthropic порадив постраждалим розробникам вважати хост повністю скомпрометованим, змінити всі ключі та перевстановити операційну систему.

Накладання цих двох подій у часі зробило ситуацію ще більш хаотичною та небезпечною.

V. Вплив на індустрію

Прямі втрати для Anthropic

Для компанії з річним темпом доходів 19 млрд доларів США, яка перебуває в фазі швидкого зростання, цей витік — це не лише про недбалість у безпеці, а й про крововтрату стратегічної інтелектуальної власності.

Принаймні частина можливостей Claude Code походить не від базової великої мовної моделі як такої, а від програмного «фреймворку», побудованого навколо моделі — він підказує, як моделі використовувати інструменти, і забезпечує важливі запобіжники та інструкції, що нормалізують поведінку моделі.

Ці запобіжники та інструкції тепер видно конкурентам аж до дрібниць.

Попередження для всього екосистемного світу AI Agent-інструментів

Цей витік не зламає Anthropic, але він дає всім конкурентам безкоштовний інженерний навчальний матеріал — як будувати production-рівневі AI-програмні Agent-и, і які напрями інструментів варто вкладати в першу чергу.

Справжня цінність витоку полягає не в самому коді, а в тому, що прапорці функціональності розкривають про дорожню мапу продукту. KAIROS, механізм проти дистиляції — це стратегічні деталі, які конкуренти тепер можуть передбачити й відреагувати першими. Код можна переробити, але якщо стратегічний сюрприз витече — його вже не повернути.

VI. Глибокі висновки для Agent Coding

Цей витік — як дзеркало, що відображає кілька ключових положень сучасної інженерії AI Agent:

1. Межі можливостей Agent визначаються значною мірою «фреймворковим шаром», а не самою моделлю

Опублікування 500k рядків коду Claude Code показує факт, важливий для всієї індустрії: та сама базова модель, доповнена різними фреймворками оркестрації інструментів, механізмами керування пам’яттю та системами прав доступу, дає принципово різні можливості Agent. Це означає, що «у кого модель найсильніша» вже не є єдиним виміром конкуренції — «у кого найвдаліша фреймворкова інженерія» також має вирішальне значення.

2. Довготривала автономність — наступне головне поле бою

Наявність охоронного процесу KAIROS показує, що наступний етап конкуренції в індустрії буде зосереджений на тому, щоб «агент міг безперервно працювати ефективно навіть без нагляду». Інтеграція пам’яті в бекграунді, перенесення знань між сесіями, автономні міркування у час простою — ці можливості, щойно стануть зрілими, радикально змінять базовий патерн співпраці Agent і людей.

3. Проти-дистиляція та захист інтелектуальної власності стануть новими базовими темами інженерії AI

Anthropic реалізував механізм проти дистиляції на рівні коду — це натякає на те, що формується нова інженерна сфера: як не допустити, щоб власні AI-системи використовувалися конкурентами для збору навчальних даних. Це буде не лише технічне питання, а й перетвориться на нове поле бою у правових і комерційних протистояннях.

4. Безпека ланцюга постачання — ахіллесова п’ята AI-інструментів

Коли інструменти для AI-програмування розповсюджуються самими менеджерами публічних пакетів на кшталт npm, вони так само, як і будь-які інші open-source-пЗ, стикаються з ризиком атак на ланцюг постачання. А специфіка AI-інструментів у тому, що якщо в ньому закласти бекдор, атакувальник отримує не просто право виконувати код — він отримує глибоке проникнення в увесь робочий процес розробки.

5. Чим складніша система, тим більше потрібні автоматизовані охоронці релізів

«Одна помилкова .npmignore або поле files у package.json — і можна розкрити все». Для будь-якої команди, що будує продукти з AI Agent-ами, цього уроку не треба вчитися за таку дорогу ціну — введення в CI/CD конвеєр автоматичної перевірки того, що публікується, має стати стандартною практикою, а не заходом для ліквідації наслідків після «вже пізно».

Епілог

Сьогодні 1 квітня 2026 року, день дурня. Але це не жарт.

Anthropic двічі припустився тієї самої помилки за 13 місяців. Вихідний код уже віддзеркалено по всьому світу, а запити на видалення DMCA не можуть наздогнати швидкість форків. Дорожня мапа продукту, яку мали б сховати у внутрішній мережі, тепер є довідковим матеріалом для всіх.

Для Anthropic це болісний урок.

Для всієї індустрії це випадковий момент прозорості — давайте подивимося, як саме найпровідніші AI-програмні Agent-и на сьогоднішній день створюються рядок за рядком.