Эпический слив: 512 000 строк исходного кода Claude Code открыт для общего доступа

Автор: Ян Чэнь, наблюдения с Уолл-стрит

Anthropic столкнулась с поистине крупнейшим в отрасли инцидентом утечки кода. Полный исходный код Claude Code оказался полностью раскрыт из‑за элементарной ошибки на уровне упаковки. Свыше 510000 строк TypeScript‑кода, более 40 модулей инструментов и несколько ключевых функций, которые еще не были выпущены, — все это “обнажилось” для разработчиков по всему миру.

Это была случайность, но и предупреждение. Хотя утечка не затронула веса основной модели Claude или пользовательские данные, она полностью раскрыла внутреннюю архитектурную логику Claude Code, дизайн системных подсказок (system prompts) и механизм вызовов инструментов, а также вместе с этим представила публике несколько функций, которые еще не были выпущены, и потенциальные логики безопасности.

Инсайдеры считают, что этот инцидент существенно сожмет порог входа в сферу инженерной разработки AI Agent, ускорив эволюцию конкурентной борьбы во всем сообществе разработчиков.

Важно отметить, что это не первый подобный промах Anthropic. В феврале 2025 года ранняя версия Claude Code уже была раскрыта из‑за аналогичной оплошности с source map: а эта утечка, в дальнейшем вызвала у внешнего сообщества сомнения в зрелости безопасности программной цепочки поставок у этой AI‑звезды с оценкой более 18 миллиардов долларов США.

Один .map‑файл, который “взорвал” 510000 строк кода

Исследователь компании по блокчейн‑безопасности Fuzzland, Чаофань Шу (Chaofan Shou), первым раскрыл этот инцидент в X. В официальном npm‑пакете Anthropic @anthropic-ai/claude-code версии 2.1.88 случайно оказался файл cli.js.map объемом около 60MB.

В файле cli.js.map содержатся два ключевых массива: sources (список путей файлов) и sourcesContent (соответствующее полное содержимое исходников); индексы у них один‑в‑один. Это означает, что любому достаточно скачать этот JSON‑файл, чтобы полностью извлечь весь исходный код — порог доступа крайне низкий.

据分析，该source map文件总计包含4756个源文件内容，其中1906个为Claude Code自身的TypeScript/TSX源文件，其余2850个为node_modules依赖。整体代码量超过51.2万行。

事件曝光后数小时内，GitHub上的镜像仓库星标数量急速突破5000。Anthropic已将该source map从npm包中移除。然而，npm包的早期版本已被多方存档，相关内容持续在开发者社区流传。

Полная картина архитектуры впервые раскрыта

Восстановленный исходный код дает внешнему миру на сегодняшний день самое полное представление об архитектуре Claude Code.

Код показывает, что Claude Code построен с использованием React и фреймворка Ink для терминального интерфейса, работает в рантайме Bun, а ядро представляет собой REPL‑цикл: он поддерживает ввод на естественном языке и команды со слэшем, а на нижнем уровне взаимодействует с LLM API через систему инструментов.

На уровне инструментов код включает более 40 независимых модулей: они охватывают чтение/запись файлов, выполнение Bash‑команд, интеграцию протокола LSP и генерацию дочерних агентов; все это формирует функционально полноценный “универсальный набор инструментов”.

На уровне рассуждений ключевой файл QueryEngine.ts содержит до 4.6万行 кода и выполняет всю работу по обработке логики рассуждений, подсчету токенов и циклу “цепочки мыслей” (思维链).

На уровне многoагентной системы в утекшем коде присутствуют модули coordinator (координатор многoагентной системы) и bridge: последний отвечает за соединение VS Code и JetBrains и других популярных IDE, демонстрируя, что Claude Code уже обладает инженерными возможностями для совместной работы на нескольких машинах и глубокой встраиваемости в среду разработки.

Неопубликованные функции неожиданно появились

В этой утечке, вероятно, самым пристальным вниманием пользуются несколько функций, которые никогда не публиковались.

Под кодовым названием Kairos — режим, который, пожалуй, наиболее заметен. Код показывает, что это режим представляет собой автономный защитный процесс с постоянным жизненным циклом: он поддерживает фоновые сессии и интеграцию памяти. Это означает, что Claude может выступать как ИИ‑агент, постоянно работающий в фоне, непрерывно обрабатывающий задачи и накапливающий понимание проекта.

Кроме того, в код встроена наборная электронная система питомцев под названием “Buddy System”: она включает 18 видов, уровни редкости, светящиеся (glow) варианты и статистику атрибутов. Очевидно, эта задумка — от игривости инженеров Anthropic и существует в кодовой базе параллельно с ядром архитектуры.

На уровне проектирования режимов код также раскрывает “Coordinator Mode” (режим координатора), который позволяет Claude планировать параллельное выполнение подчиненных интеллектуальных агентов, а также “Auto Mode” — AI‑классификатор, который автоматически утверждает права на использование инструментов; цель — упростить процесс подтверждения действий.

Также один функционал, названный “Undercover Mode” (режим под прикрытием), вызвал споры — согласно описанию в коде, когда сотрудники Anthropic выполняют действия в публичном репозитории, этот режим будет автоматически активироваться, стирая AI‑связанные следы в истории коммитов, и при этом его нельзя отключить вручную.

Риски безопасности и предупреждение по цепочке поставок

Исследователи безопасности отмечают, что хотя утечка не затронула напрямую веса моделей или данные конфиденциальности пользователей, потенциальные риски нельзя игнорировать.

Согласно сообщениям, утекшее содержимое полностью раскрывает внутренние логики безопасности и может выявить векторы атак, такие как подделка запросов на стороне сервера (SSRF), что дает точку входа для последующих исследований безопасности. Открытое сообщество уже начало изучать fork‑версии на основе утекшего кода и попытки сочетать их с другими агентными фреймворками.

С точки зрения отраслевого фона: npm — крупнейший в мире репозиторий пакетов JavaScript, который ежедневно обрабатывает миллионы загрузок. Такие ошибки при упаковке подсказывают компаниям, что при стремлении к быстрому темпу релизов необходимо усилить механизм проверки исходных файлов в CI/CD‑конвейере.

Прямое предупреждение всем разработчикам, публикующим npm‑пакеты, таково: перед публикацией обязательно проверьте, включен ли файл .map в артефакты релиза. Одна строка поля sourcesContent достаточно, чтобы полностью обнародовать исходный код.

Возможно, экосистема Agent встретит ускоряющий перелом

Если смотреть на значение инцидента с точки зрения влияния на индустрию, его смысл может выходить за рамки самой технической аварии.

Полное инженерное решение реализации топовых AI Agent неожиданно оказалось раскрыто, что существенно снизит планку знания в этой области. Разработчики получили возможность напрямую учиться и черпать идеи, сверяясь с архитектурой Claude Code, логикой подсказок и механизмом вызовов инструментов, тем самым сокращая цикл исследований для самостоятельной разработки.

При этом этот инцидент также неожиданно подтверждает технологические накопления Anthropic в направлении агентной инженерии: будь то механизмы координации многoагентной системы или дизайн постоянных фоновых защитных процессов — все это демонстрирует инженерную глубину, превосходящую продукты схожего класса.

Claude Code как инструмент расширения экосистемы Anthropic ориентирован в первую очередь на профессиональных разработчиков и конкурирует с такими AI‑помощниками для кодинга, как GitHub Copilot и Cursor. Сможет ли открытие исходного кода в условиях усиления конкурентного давления, наоборот, ускорить коллективные инновации индустрии в архитектуре AI Agent — сейчас в отрасли внимательно следят за его дальнейшим реагированием.