Подія витоку коду Claude: ефект метелика, викликаний файлом .map

Авторська стаття: Claude

I. Витоки

31 березня 2026 року, ранній ранок. Одна публікація в X (твіті) спричинила справжню бурю в спільноті розробників.

Чаофань Шоу (Chaofan Shou), стажер компанії з безпеки блокчейну, виявив, що в офіційному npm-пакеті Anthropic додається файл source map, який повністю розкриває вихідний код Claude Code назовні. Після цього він одразу опублікував це в X і додав пряме посилання на завантаження.

Цей допис розірвав спільноту розробників, наче сигнал-прапорець. За кілька годин понад 512k рядків TypeScript було віддзеркалено на GitHub, і тисячі розробників у реальному часі провели аналіз.

Це був другий великий інцидент витоку інформації, який стався в Anthropic менш ніж за тиждень.

Рівно п’ять днів тому (26 березня) помилка конфігурації CMS в Anthropic призвела до оприлюднення майже 3000 внутрішніх файлів, серед яких були чернетки блогу про модель “Claude Mythos”, що ось-ось мала бути випущена.

II. Як стався витік?

Технічна причина цієї пригоди виглядає навіть кумедно — головна суть у тому, що в npm-пакеті помилково було включено файл source map (.map).

Такі файли призначені для зіставлення стисненого й обфускованого коду виробничого середовища з початковим вихідним кодом, щоб під час налагодження можна було визначати номери рядків із помилками. А цей .map-файл містить посилання на zip-архів у власному сховищі Cloudflare R2 від Anthropic.

Шоу та інші розробники просто завантажили цей zip-архів — без жодних хакерських методів. Файл був там, повністю у відкритому доступі.

Проблемна версія — v2.1.88 пакета @anthropic-ai/claude-code, який постачався разом із JavaScript source map-файлом обсягом 59.8MB.

У відповіді The Register Anthropic визнав: “Раніше одна з версій Claude Code у лютому 2025 року вже стикалася з подібним витоком вихідного коду.” Це означає, що та сама помилка сталася двічі за 13 місяців.

Іронічно, що всередині Claude Code є система під назвою “Undercover Mode (режим під прикриттям)”, спеціально розроблена, щоб не допустити випадкового розкриття внутрішніх кодових назв Anthropic у записах git-комітів… а потім інженери просто упакували весь вихідний код у .map-файл.

Ще одним можливим поштовхом до інциденту могла бути сама інструментальна екосистема: наприкінці року Anthropic придбав Bun, а Claude Code якраз створений на базі Bun. 11 березня 2026 року хтось подав баг-репорт у трекері issue-системи Bun (#28001), вказавши, що Bun у production-режимі все одно генерує та виводить source map, що суперечить твердженням в офіційній документації. Станом на зараз цей issue залишається відкритим.

Офіційна відповідь Anthropic була короткою й стриманою: “Жодні користувацькі дані або облікові дані (credentials) не були залучені чи розкриті. Це людська помилка в процесі пакування релізу, а не вразливість безпеки. Ми впроваджуємо заходи, щоб запобігти таким інцидентам у майбутньому.”

III. Що саме було розкрито?

Масштаб коду

Цей витік охоплював приблизно 1900 файлів і понад 500k рядків коду. Це не ваги моделі, а реалізація цілого “програмного рівня” Claude Code — зокрема каркас для викликів інструментів, оркестрація мультиагентів, система дозволів, система пам’яті та інші ключові елементи базової архітектури.

Дорожня карта функцій, що не були випущені

Це найбільш стратегічно цінна частина цього витоку.

Автономний процес-захисник KAIROS: кодова назва функції згадується понад 150 разів. Вона походить від давньогрецького вислову “доречний час” і означає фундаментальний перехід Claude Code до “агентів, що постійно працюють у фоні”. KAIROS містить процес із назвою autoDream, який у періоди простою користувача виконує “інтеграцію пам’яті” — об’єднує фрагментовані спостереження, усуває логічні суперечності та перетворює нечіткі інсайти на визначені факти. Коли користувач повертається, контекст Agent уже очищений і максимально релевантний.

Внутрішні кодові назви моделей та дані про продуктивність: у витоку підтверджено, що Capybara — це внутрішня кодова назва варіанта Claude 4.6, Fennec відповідає Opus 4.6, а ще не випущений Numbat усе ще проходить тестування. У коментарях до коду також розкрито, що для Capybara v8 частка хибних тверджень становить 29–30%, що є гіршим результатом, ніж 16.7% для v4.

Механізм протидистиляції (Anti-Distillation): у коді присутній прапорець функції з назвою ANTI_DISTILLATION_CC. Після увімкнення Claude Code вставляє в запити API фіктивні визначення інструментів — мета полягає в тому, щоб забруднити дані трафіку API, які потенційно можуть бути використані конкурентами для тренування моделей.

Перелік Beta-функцій API: файл constants/betas.ts розкриває всі бета-функції для узгодження між Claude Code та API, зокрема вікно контексту на 1M tokens (context-1m-2025-08-07), режим AFK (afk-mode-2026-01-31), керування бюджетами завдань (task-budgets-2026-03-13) та низку інших можливостей, які ще не були оприлюднені.

Вбудована система віртуальних партнерів у стилі покемонів: навіть у коді заховано повноцінну систему віртуальних партнерів (Buddy), що включає рідкісність видів, блискучі варіанти (shiny), процедурно згенеровані атрибути, а також “опис душі”, написаний Claude під час першого виведення (інкубації). Типи партнерів визначаються детермінованим псевдовипадковим генератором на основі хешу ID користувача — один і той самий користувач завжди отримує того самого партнера.

IV. Паралельна атака на ланцюжок постачання

Ця подія не була одиничною. У той самий часовий проміжок, коли стався витік вихідного коду, пакет axios на npm зазнав незалежної атаки на ланцюжок постачання.

Між 2026-03-31 00:21 і 03:29 UTC, якщо під час встановлення або оновлення Claude Code через npm ви ненавмисно додали шкідливу версію, яка містила троянця для віддаленого доступу (RAT) (axios 1.14.1 або 0.30.4).

Anthropic радив розробникам, яких це стосується, вважати хост повністю скомпрометованим, виконати ротацію всіх ключів і переінсталювати операційну систему.

Накладання цих двох інцидентів у часі зробило ситуацію ще більш хаотичною та небезпечною.

V. Вплив на галузь

Прямі збитки для Anthropic

Для компанії з річною виручкою 512k доларів (annualized) і, що перебуває в періоді швидкого зростання, цей витік — це не просто прорахунок у безпеці, а відтік стратегічної інтелектуальної власності.

Принаймні частина можливостей Claude Code походить не лише від базової великої мовної моделі, а від “фреймворку” — програмного “каркасу”, побудованого навколо моделі: він підказує моделі, як використовувати інструменти, і надає важливі запобіжники та інструкції, щоб нормувати поведінку моделі.

Ці запобіжники й інструкції тепер конкурентам видно абсолютно чітко.

Попередження для всієї екосистеми інструментів AI Agent

Цей витік не знищить Anthropic, але він надає всім конкурентам безкоштовний інженерний підручник — як будувати production-рівневі AI-програмуючі агенти, і в які напрямки інструментів варто вкладатися насамперед.

Справжня цінність витоку полягає не в самому коді, а в тому, що прапорці функцій розкривають продуктову дорожню карту. KAIROS, механізм протидистиляції — це стратегічні деталі, які конкуренти тепер можуть передбачити та відреагувати завчасно. Код можна переробити, але як тільки стратегічний сюрприз розкрито — його вже неможливо повернути.

VI. Глибинні висновки для Agent Coding

Цей витік — наче дзеркало, що відображає кілька ключових тез сучасної інженерії AI Agent:

1. Межі можливостей Agent значною мірою визначає “рівень фреймворку”, а не сама модель

Розкриття 500k рядків коду Claude Code показує факт, важливий для всієї галузі: одна й та сама базова модель, доповнена різними фреймворками оркестрації інструментів, механізмами керування пам’яттю та системами дозволів, дає Agent із принципово різними можливостями. Це означає, що “у кого модель найсильніша” більше не є єдиною конкурентною перевагою — “у кого фреймворкова інженерія вишуканіша” також має критичне значення.

2. Довготривала автономність — наступне поле бою

Наявність процесу-захисника KAIROS вказує, що наступний етап конкуренції в галузі зосередиться на тому, щоб “Agent міг ефективно працювати без нагляду людей”. Інтеграція пам’яті у фоні, перенесення знань між сесіями, автономне міркування у період простою — коли ці можливості дозріють, вони повністю змінять базову модель співпраці Agent і людей.

3. Протидистиляція та захист інтелектуальної власності стануть новою базовою темою в AI-інженерії

Anthropic реалізував механізм протидистиляції на рівні коду — це натякає на формування нового інженерного напряму: як не допустити, щоб власні AI-системи були використані конкурентами для збору тренувальних даних. Це буде не тільки технічне питання, а й нове поле протистояння в юридичній та комерційній площині.

4. Безпека ланцюжка постачання — ахіллесова п’ята AI-інструментів

Коли інструменти програмування на AI самі розповсюджуються через публічні менеджери пакетів на кшталт npm, вони, як і будь-яке інше open-source ПЗ, ризикують бути атакованими по ланцюжку постачання. А специфіка AI-інструментів така: якщо у них унісно (вбудовано) бекдор, атакувальник отримує не лише право на виконання коду, а й глибоке проникнення в увесь розробницький робочий процес.

5. Чим складніша система, тим більше потрібні автоматизовані запобіжники релізів

“Усього лише помилковий .npmignore або поле files у package.json може розкрити все.” Для будь-якої команди, що створює продукти з AI Agent, цей урок не потрібно здобувати такою дорогою ціною — у CI/CD конвеєрі впровадження автоматичної перевірки вмісту релізу має стати стандартною практикою, а не запізнілим “латанням дірок” після біди.

Епілог

–

Сьогодні 1 квітня 2026 року, День дурня. Але це не жарт.

Протягом тринадцяти місяців Anthropic двічі припустився тієї самої помилки. Вихідний код вже віддзеркалено по всьому світу, а запити на видалення за DMCA не встигають за швидкістю fork-ів. Та дорожня карта продукту, яка мала бути схована у внутрішній мережі, тепер стала довідником для всіх.

Для Anthropic це болючий урок.

Для всієї галузі це був випадковий момент прозорості — давайте подивимось, як саме сьогоднішні найпередовіші AI-програмуючі агенти насправді збираються рядок за рядком.