Исходный код Claude Code от Anthropic случайно утёк в сеть

Компания Anthropic случайно раскрыла внутреннее устройство своего популярного ИИ-продукта Claude Code. Это произошло 31 марта 2026 года, когда в публичный репозиторий npm попал файл JavaScript source map объемом 59.8 МБ. Файл предназначался для внутренней отладки, но был включен в версию 2.1.88 пакета @anthropic-ai/claude-code. Обнаружил утечку Чаофань Шоу из Solayer Labs, который сообщил об этом в X к 11:23 по московскому времени.

Утечка стала серьезным ударом по интеллектуальной собственности Anthropic. Рыночные данные показывают, что только Claude Code приносит компании $2.5 миллиарда годового дохода, что более чем удвоилось с начала года. 80% этого дохода приходится на корпоративных клиентов. Теперь конкуренты, от крупных компаний до стартапов вроде Cursor, получили подробный план по созданию высокоэффективных и коммерчески успешных ИИ-агентов.

Конкуренты получили ценную информацию о том, как Anthropic решила проблему "контекстной энтропии". Это путаница или галлюцинации ИИ-агентов при длительных и сложных сессиях. Исходный код раскрывает сложную трехуровневую архитектуру памяти, отличающуюся от традиционного хранения всех данных. Система "самовосстанавливающейся памяти" использует легкий индекс MEMORY.md с указателями на данные. Знания проекта хранятся в "файлах тем", загружаемых по запросу. Необработанные стенограммы не читаются целиком, их сканируют по идентификаторам. Принцип "строгой дисциплины записи" обязывает агента обновлять индекс только после успешной записи, избегая ошибок. Агенты Anthropic используют свою память как "подсказку", проверяя факты по кодовой базе.

Утечка также раскрыла "KAIROS" — функцию автономного режима демона. KAIROS позволяет Claude Code работать как постоянно активный фоновый агент. Он управляет фоновыми сессиями и использует процесс autoDream. В этом режиме агент "консолидирует память", когда пользователь неактивен. Логика autoDream объединяет разрозненные наблюдения, устраняет логические противоречия и превращает расплывчатые идеи в факты. Это фоновое обслуживание гарантирует, что контекст агента будет чистым и актуальным при возвращении пользователя. Использование отдельного субагента для этих задач демонстрирует зрелый инженерный подход. Это предотвращает искажение основного "хода мыслей" агента его же рутинами обслуживания.

Исходный код дал редкую возможность взглянуть на внутреннюю дорожную карту моделей Anthropic. Утечка подтверждает, что Capybara — это кодовое имя для варианта Claude 4.6, Fennec соответствует Opus 4.6, а невыпущенный Numbat еще тестируется. Внутренние комментарии показывают, что Anthropic уже работает над Capybara v8, но модель сталкивается с серьезными трудностями. Код отмечает 29-30% ложных утверждений в v8, что является регрессом по сравнению с 16.7% в v4. Разработчики также упомянули "противовес напористости", призванный не дать модели стать слишком агрессивной в рефакторинге. Эти метрики бесценны для конкурентов, они показывают "потолок" текущей производительности агентов и указывают на конкретные слабые места, которые Anthropic еще пытается решить.

Возможно, самая обсуждаемая техническая деталь — это "режим под прикрытием". Эта функция показывает, что Anthropic использует Claude Code для "скрытых" вкладов в публичные репозитории с открытым исходным кодом. Системная подсказка, обнаруженная в утечке, прямо предупреждает модель: "Вы работаете ПОД ПРИКРЫТИЕМ... Ваши сообщения коммитов... НЕ ДОЛЖНЫ содержать НИКАКОЙ внутренней информации Anthropic. Не раскрывайте себя." Хотя Anthropic может использовать это для внутреннего тестирования, это предоставляет техническую основу для любой организации, желающей использовать ИИ-агентов для публичной работы без раскрытия. Логика гарантирует, что названия моделей или атрибуция ИИ не попадут в публичные логи Git. Корпоративные клиенты, ценящие анонимность в разработке с помощью ИИ, вероятно, сочтут такую возможность обязательной.

Утечка фактически уравнивает игровое поле для оркестровки агентов. Конкуренты теперь могут изучить более 2500 строк логики bash-валидации Anthropic и ее многоуровневые структуры памяти. Это позволит им создавать "подобных Claude" агентов с гораздо меньшими затратами на исследования и разработки. "Капибара" покинула лабораторию, и гонка за создание следующего поколения автономных агентов получила незапланированный импульс в коллективном интеллекте на $2.5 миллиарда.

Утечка исходного кода — серьезный удар по интеллектуальной собственности Anthropic, но она также создает повышенный риск безопасности для пользователей. Раскрытие "чертежей" Claude Code дало исследователям и злоумышленникам дорожную карту для обхода защитных механизмов и запросов разрешений. Поскольку утечка показала точную логику оркестровки серверов Hooks и MCP, злоумышленники могут создавать вредоносные репозитории. Они могут "обмануть" Claude Code, заставив его выполнять фоновые команды или эксфильтровать данные до того, как пользователь увидит запрос доверия.

Непосредственная опасность связана с параллельной атакой на цепочку поставок пакета axios npm. Она произошла за несколько часов до утечки. Если вы установили или обновили Claude Code через npm 31 марта 2026 года между 03:21 и 06:29 по московскому времени, возможно, вы получили вредоносную версию axios (1.14.1 или 0.30.4) или зависимость plain-crypto-js. В этом случае рекомендуется следующее:

1. Проверьте файлы блокировки проекта: Немедленно ищите в package-lock.json, yarn.lock или bun.lockb эти версии axios или зависимость plain-crypto-js.
2. При обнаружении: Считайте хост-машину полностью скомпрометированной. Смените все секреты и выполните чистую переустановку операционной системы.
3. Перейдите на Native Installer: Рекомендуется полностью отказаться от установки через npm. Используйте официальный Native Installer: curl -fsSL https://claude.ai/install.sh | bash. Этот метод использует автономный бинарный файл, не зависящий от цепочки зависимостей npm.
4. Оставаясь на npm: Если вы должны использовать npm, убедитесь, что удалили скомпрометированную версию 2.1.88. Закрепите установку на проверенной безопасной версии, например 2.1.86.
5. Примите принцип нулевого доверия: Избегайте запуска агента в недавно клонированных или ненадежных репозиториях, пока не проверите вручную .claude/config.json и любые пользовательские хуки.
6. Обновите API-ключи: В качестве дополнительной меры защиты смените свои API-ключи Anthropic через консоль разработчика и отслеживайте использование на предмет аномалий.