Утечка исходного кода Anthropic 2026: CLI Claude Code раскрыт через ошибку source map в npm

Антропик случайно опубликовал полный исходный код своего CLI Claude Code в публичном пакете npm, открыв примерно 512 000 строк Typescript любому, кто обратит внимание.

Утечка npm с Claude Code раскрывает невыпущенные функции, включая KAIROS, BUDDY и рои агентов

Компания подтвердила инцидент 31 марта 2026 года, общаясь с Venture Beat, и объяснила его человеческой ошибкой в процессе упаковки релиза. Версия 2.1.88 пакета @anthropic-ai/claude-code вышла с файлом source map для Javascript размером 59,8 МБ. По сути, это отладочный артефакт, который сопоставлял минифицированный производственный код с исходным Typescript, прямо указывая на публично доступный zip-архив, размещённый в собственном облачном хранилище Anthropic на Cloudflare R2.

Никому не нужно было что-то взламывать. Файл просто был там.

Исследователь безопасности Чаофань Шоу, стажёр в блокчейн-компании по кибербезопасности Fuzzland, заметил проблему и опубликовал прямую ссылку на бакет в X. В течение нескольких часов на Github появились зеркалированные репозитории: некоторые набирали десятки тысяч звёзд до того, как меры DMCA Anthropic сработали. Члены сообщества уже начали удалять телеметрию, переключать скрытые флажки функций и готовить кросс-проектные реимплементации на Python и Rust, чтобы обойти вопросы авторского права.

Корневая причина была проста: бандлер Bun по умолчанию генерирует source maps, и ни один шаг сборки не исключил или не отключил этот отладочный артефакт перед публикацией. Отсутствие записи в .npmignore или поля files в package.json предотвратило бы всю эту историю.

То, что разработчики нашли внутри, было подробно описано. Примерно 1 900 файлов на Typescript охватывали логику выполнения инструментов, схемы прав, системы памяти, телеметрию, системные промпты и флажки функций — полную инженерную картину того, как Anthropic строит агентский инструмент для кода уровня production. Телеметрия сканирует промпты на наличие неприличной лексики как сигнал фрустрации, но не ведёт логирование полных пользовательских разговоров или кода. «Режим под прикрытием» предписывает ИИ удалять упоминания внутренних кодовых имён и деталей проекта из git-коммитов и pull requests.

Несколько невыпущенных функций находились за флажками. KAIROS описывается как постоянно работающий фоновый демон, который следит за файлами, логирует события и запускает процесс «dreaming» для консолидации памяти в периоды простоя. BUDDY — терминальный питомец с 18 видами — включая капибару — с параметрами вроде DEBUGGING, PATIENCE и CHAOS. Режим COORDINATOR MODE позволяет одному агенту порождать и управлять параллельными агентами-работниками. ULTRAPLAN планирует удалённые многоагентные сессии продолжительностью от 10 до 30 минут.

Anthropic сообщила Venture Beat, что инцидент не затронул конфиденциальные данные клиентов, не включал учётные данные и не было скомпрометировано веса моделей или инфраструктура для инференса. «Это была проблема упаковки релиза, вызванная человеческой ошибкой», — сказала компания, добавив, что она внедряет меры для предотвращения повторения.

Этим мерам, возможно, придётся действовать быстро. Это второй раз, когда случилась та же самая ошибка. Практически идентичная утечка source-map произошла с более ранней версией Claude Code в феврале 2025 года.

Инцидент 31 марта также пришёлся на отдельную атаку в цепочке поставок npm на пакет axios, активную с 00:21 до 03:29 UTC. Разработчикам, которые устанавливали или обновляли Claude Code через npm в течение этого окна, рекомендуется проверить зависимости и сменить учётные данные. Anthropic рекомендует использовать нативный установщик вместо npm в дальнейшем.

Контекст здесь важен. Пятью днями ранее, 26 марта, из-за ошибки в конфигурации CMS в Anthropic были раскрыты примерно 3 000 внутренних файлов, содержащих детали про невыпущенную модель «Claude Mythos» — тоже, как сообщается, из-за человеческой ошибки. Два серьёзных случайных раскрытия менее чем за неделю вызывают вопросы о релизной гигиене в компании, чьи инструменты активно используются для написания и поставки кода в масштабе.

Утекший исходный код остаётся доступным в архивированных и зеркалированных формах, несмотря на активное применение мер по удалению. Anthropic не опубликовала более широкий пост-мортем или публичное заявление помимо своего комментария для Venture Beat.

Никакие пользовательские данные не были раскрыты. Базовые модели Claude не затронуты. Однако чертёж для сборки конкурента к Claude Code теперь существенно проще собрать.

FAQ 🔎

• В: Утечка исходного кода Claude Code была взломом? Нет — Anthropic подтвердила, что раскрытие было ошибкой упаковки, а не нарушением безопасности или несанкционированным доступом.
• В: Что именно было раскрыто в утечке npm от Anthropic? Примерно 512 000 строк TypeScript, описывающих CLI Claude Code, включая телеметрию, флажки функций, скрытые функции и агентскую архитектуру — не веса моделей и не данные клиентов.
• В: Под угрозой ли мои данные из-за инцидента с Claude Code в npm? Anthropic говорит, что не было раскрыто ни пользовательских данных, ни учётных данных; разработчикам, которые устанавливали через npm во время параллельной атаки в цепочке поставок axios, следует проверить зависимости и сменить учётные данные.
• В: Утекал ли исходный код Anthropic раньше? Да — в феврале 2025 произошла почти идентичная утечка source-map с более ранней версией Claude Code, что делает это вторым таким инцидентом примерно за 13 месяцев.