Утечка исходного кода Claude от Anthropic: глубокое погружение в исходный код и его последствия

Avatar
Лиза Эрнст · 01.04.2026 · Искусственный интеллект · 12 мин

Цифровой мир часто функционирует в иллюзии контроля, тщательно созданном фасаде за сложными системами. 31 марта 2026 года этот фасад на мгновение рухнул для Anthropic, одной из ведущих компаний в области ИИ, когда весь исходный код их инструмента командной строки (CLI) Claude Code оказался непреднамеренно опубликованным. Это была не злонамеренная атака, а скорее простая недоработка, усиленная естественным любопытством разработчиков и повсеместной взаимосвязанностью онлайн-платформ.

Краткое изложение: Ключевые выводы из утечки кода Claude

Случайная утечка исходного кода Claude от Anthropic позволила получить ценные сведения и вызвала важные вопросы. Вот краткий обзор:

Анализ утечки исходного кода Claude от Anthropic

31 марта 2026 года исходный код инструмента CLI от Anthropic, Claude Code, был случайно опубликован, что было широко освещено такими изданиями, как The Register. Суть проблемы заключалась в файле Source Map, который был непреднамеренно опубликован в реестре npm, как подробно описано в The Decoder. Об этом открытии первым публично сообщил эксперт по безопасности Чаофан Шоу в X (ранее Twitter).

Портрет Чаофана Шоу

Источник: usethebitcoin.com

Эксперт по безопасности Чаофан Шоу первым сообщил о случайном публичном выпуске исходного кода Claude от Anthropic, привлекая общественное внимание к этому инциденту.

Сразу после этого откровения в общедоступном репозитории GitHub под названием instructkr/claude-codeпоявился полный снимок кодовой базы, что было подтверждено dev.to. этот зеркальный код был значительным: он содержал примерно 1900 файлов и более 512 000 строк кода, по данным Heise.

Claude Code разработан как инструмент командной строки, позволяющий разработчикам взаимодействовать с моделями ИИ Anthropic, используя естественный язык, как сообщает Silicon Republic. Он помогает в таких задачах, как редактирование файлов или выполнение команд. Source Maps, обычно используемые для отладки, помогают связать сжатый код с его исходными файлами, как объясняет dev.to. Когда эти файлы случайно включаются в опубликованные пакеты, они могут раскрыть полный, неограниченный исходный код. В данном конкретном инциденте JavaScript Source Map файл (.map) размером 59,8 МБ внутри пакета `@anthropic-ai/claude-code` версии 2.1.88 указывал непосредственно на его неограниченные источники TypeScript, согласно dev.to. Считается, что причиной этого раскрытия была ошибочная конфигурация пакета в процессе публикации npm.

Anthropic отреагировал оперативно, удалив проблемную версию пакета из реестра npm и заменив ее чистой версией, в которой отсутствовали раскрытые Source Maps. Представитель компании подтвердил непреднамеренную утечку кода, заверив общественность, что никакие конфиденциальные данные клиентов или учетные данные для входа не были скомпрометированы. Anthropic охарактеризовал инцидент как проблему упаковки, вызванную человеческой ошибкой, а не как уязвимость безопасности, и заявил, что принимаются меры для предотвращения подобных случаев в будущем.

Особенно примечательно, что это уже третий раз, когда Anthropic допускает такую же ошибку с Source Maps в реестре npm, как сообщает The Register. Более ранняя версия Claude Code столкнулась с подобным раскрытием в феврале 2025 года; Anthropic устранил его, удалив старую версию и Source Map. Однако проблема вновь возникла в версии 2.1.88 в 2026 году. Техническая корневая причина, по-видимому, заключается в документированной ошибке (oven-sh/bun#28001) в бандлере Bun, который по умолчанию создает Source Maps, если они явно не отключены, что приводит к повторным инцидентам при неправильной настройке.

Последствия и неожиданные открытия в исходном коде Claude от Anthropic

Обширный утекший код, включающий 1906 проприетарных исходных файлов TypeScript, предоставил беспрецедентное представление о внутренней архитектуре Anthropic. Он раскрыл сложные детали дизайна их API, систем анализа телеметрии, инструментов шифрования и протоколов межпроцессного взаимодействия. Хотя пользовательские данные и веса моделей ИИ остались нераскрытыми, эта новообретенная прозрачность внутренних механизмов Anthropic дает ценные сведения конкурентам и создает новые соображения безопасности для пользователей.

Самовосстанавливающаяся память и демон KAIROS

Одно из самых поразительных откровений утечки — это сложная трехуровневая архитектура памяти Anthropic, специально разработанная для решения проблемы «энтропии контекста». В отличие от традиционных методов выборки «сохранить все», Claude Code использует уникальную систему «Самовосстанавливающейся памяти», как подробно описано в dev.to. Эта система полагается на `MEMORY.md`, легкий индекс указателей (примерно 150 символов на строку), который постоянно загружается в контекст модели. Важно отметить, что этот индекс хранит местоположение памяти, а не сами данные. Реальные знания проекта распределены по «тематическим файлам», которые извлекаются только при необходимости. Необработанные стенограммы никогда не читаются полностью заново; вместо этого они «grep'ятся» на предмет конкретных идентификаторов. «Строгая дисциплина записи» гарантирует, что агент обновляет свой индекс только после успешной операции записи файла, предотвращая загрязнение контекста модели неудачными попытками. Код также явно подтверждает, что агентам Anthropic предписывается рассматривать свою собственную память только как «подсказку», требующую проверки с фактической кодовой базой перед выполнением любого действия.

Утечка также выявила «KAIROS», автономный режим демона, упомянутый более 150 раз в исходном коде, как подробно описано в dev.to. KAIROS работает как постоянно активный фоновый агент, тщательно управляющий фоновыми сессиями и использующий процесс под названием «autoDream». Пока пользователь неактивен, «autoDream» выполняет «консолидацию памяти», сложный процесс, который объединяет разрозненные наблюдения, разрешает логические противоречия и преобразует расплывчатые выводы в конкретные факты. Это фоновое обслуживание гарантирует, что контекст агента остается чистым и высокорелевантным для возвращения пользователя. Для выполнения этих задач используется ответвленный под-агент, что критически важно предотвращает повреждение «цепочки мыслей» основного агента этими рутинными операциями обслуживания.

Внутренняя дорожная карта моделей

Утекший код также позволил заглянуть во внутреннюю дорожную карту моделей Anthropic. «Capybara» был раскрыт как внутреннее кодовое название варианта Claude 4.6, в то время как «Fennec» связан с Opus 4.6. «Numbat» представляет модель, находящуюся на стадии тестирования. Внутренние комментарии в коде указывали на то, что Anthropic уже работал над Capybara v8, которая показала значительный процент ложных утверждений — 29-30% — регрессия по сравнению с 16,7%, наблюдавшимся в v4. Чтобы противодействовать этому, функция «Counterweight Assertiveness» (Противовес настойчивости) направлена на предотвращение чрезмерной агрессивности модели во время процессов рефакторинга, подчеркивая усилия Anthropic по сбалансированию производительности и точности.

Вот краткий обзор раскрытых кодовых имен моделей:

Кодовое имя Связанная модель/статус Примечания
Capybara Вариант Claude 4.6 Внутренние комментарии указывают, что v8 имеет 29-30% ложных утверждений (регрессия с 16,7% в v4).
Fennec Opus 4.6
Numbat Модель на этапе тестирования
Tengu Функциональность аттестации

Режим скрытности и система Buddy

Одна из этически сомнительных функций, ставших известными, — это «Режим скрытности», как подчеркнуто в dev.to. Этот режим предполагает, что Anthropic использует Claude Code для «скрытых» вкладов в общедоступные репозитории с открытым исходным кодом. Системная подсказка явно предупреждает модель: «Вы работаете в РЕЖИМЕ СКРЫТНОСТИ... Ваши сообщения коммита... НЕ ДОЛЖНЫ содержать никакой внутренней информации Anthropic. Не раскрывайте себя». Эта логика гарантирует, что никакие названия моделей (например, «Tengu» или «Capybara») или атрибуты ИИ не появляются в общедоступных логах Git, эффективно маскируя автоматизированный характер вкладов. Важно отметить, что у пользователя нет способа принудительно отключить эту функцию скрытности.

Вы работаете в РЕЖИМЕ СКРЫТНОСТИ... Ваши сообщения коммита... НЕ ДОЛЖНЫ содержать никакой внутренней информации Anthropic. Не раскрывайте себя.
Фрагмент кода системной подсказки режима скрытности

Источник: red-gate.com

Фрагмент кода явно предупреждает модель о ее работе в «Режиме скрытности», инструктируя ее не раскрывать какую-либо внутреннюю информацию Anthropic в общедоступных сообщениях коммита.

Кроме того, код раскрыл систему «Buddy», терминального питомца в стиле Тамагочи со статистикой, такой как CHAOS и SNARK, предназначенную для увеличения вовлеченности пользователей, также обнаруженную dev.to. Названия видов закодированы для обхода автоматизированных проверок кода, добавляя еще один уровень неясности к его внутренней функциональности.

Система Buddy — терминальный питомец в стиле Тамагочи

Источник: etsy.com

Система Buddy — это терминальный питомец в стиле Тамагочи, имеющий такие характеристики, как CHAOS и SNARK, предназначенный для повышения вовлеченности пользователей с Claude Code.

Риски безопасности и рекомендации для пользователей Claude Code

Утечка исходного кода Claude Code представляет повышенные риски безопасности как для отдельных пользователей, так и для корпоративных клиентов. Поскольку подробная схема внутренних механизмов инструмента теперь общедоступна, злоумышленники могут создавать злонамеренные репозитории, предназначенные для обмана Claude Code путем выполнения фоновых команд или даже утечки данных. Вдобавок к этому, примерно за несколько часов до утечки кода Claude, произошла отдельная атака на цепочку поставок на пакет npm `axios`. Это означает, что если Claude Code был установлен или обновлен через npm в период с 00:21 до 03:29 UTC 31 марта 2026 года, на системы пользователей могла быть установлена вредоносная версия `axios` (либо 1.14.1, либо 0.30.4), содержащая троян удаленного доступа (RAT).

Затронутые пользователи должны немедленно проверить файлы блокировки своих проектов (такие как `package-lock.json`, `yarn.lock` или `bun.lockb`) на наличие этих подозрительных версий `axios` или зависимости `plain-crypto-js`. Если что-либо из этого будет найдено, хост-машина должна считаться скомпрометированной. Все секреты должны быть обновлены, и для обеспечения полной ликвидации должна быть выполнена чистая переустановка операционной системы.

Лучшие практики установки

В дальнейшем настоятельно рекомендуется перейти от установки на основе npm к нативному установщику для Claude Code, который можно получить через `curl -fsSL https://claude.ai/install.sh | bash`. Нативный установщик использует автономный исполняемый файл, что делает его невосприимчивым к изменчивости цепочки зависимостей npm. Он также поддерживает автоматические фоновые обновления, что крайне важно для получения исправлений безопасности (вероятно, версии 2.1.89 или новее). Если поддержание установки npm неизбежно, пользователи должны удалить теперь скомпрометированную версию 2.1.88 и явно закрепить свою установку на проверенной безопасной версии, такой как 2.1.86.

install_claude.sh
curl -fsSL https://claude.ai/install.sh | bash

Кроме того, рекомендуется применять подход нулевого доверия при использовании Claude Code в незнакомых средах. Избегайте запуска агента в свежесклонированных или недоверенных репозиториях до тех пор, пока файл `.claude/config.json` и любые пользовательские хуки не будут вручную проверены на наличие подозрительных элементов. API-ключи Anthropic должны часто меняться через консоль разработчика, а шаблоны использования должны постоянно отслеживаться на предмет любых аномалий, обеспечивая дополнительный уровень безопасности.

Часто задаваемые вопросы (FAQ)

Что именно было утечено?

Утечка включала полный исходный код инструмента командной строки (CLI) Anthropic, Claude Code. Это включало 1906 проприетарных файлов TypeScript общим объемом более 512 000 строк кода, охватывающих внутренний дизайн API, системы телеметрии, инструменты шифрования и протоколы межпроцессного взаимодействия.

Были ли скомпрометированы конфиденциальные пользовательские данные или модели ИИ?

По данным Anthropic, в результате этого инцидента не были скомпрометированы никакие конфиденциальные данные клиентов, учетные данные для входа или основные веса моделей ИИ. Утечка в основном раскрыла клиентскую реализацию инструмента Claude Code.

Как произошла утечка?

Утечка произошла из-за непреднамеренно опубликованного файла Source Map в составе версии 2.1.88 пакета `@anthropic-ai/claude-code` в реестре npm. Считается, что корневой причиной была ошибочная конфигурация пакета в процессе публикации npm, возможно, связанная с ошибкой в бандлере Bun. Это уже третий раз, когда Anthropic допускает такую же ошибку.

Каковы наиболее значительные результаты из утекшего кода?

Ключевые открытия включают сложную трехуровневую архитектуру «Самовосстанавливающейся памяти», автономный режим демона «KAIROS» для фоновой консолидации памяти, внутренние кодовые имена моделей (например, «Capybara» для Claude 4.6) и «Режим скрытности», предназначенный для маскировки происхождения вкладов кода в общедоступные репозитории.

Каковы риски безопасности для пользователей?

Публичная доступность исходного кода может позволить злоумышленникам создавать злонамеренные репозитории, которые обманом заставят Claude Code выполнять команды или утекать данные. Кроме того, одновременная компрометация пакета npm `axios` означает, что пользователи, которые обновляли Claude Code через npm в определенный промежуток времени (31 марта 2026 г., с 00:21 до 03:29 UTC), могли установить вредоносную версию `axios`, содержащую троян удаленного доступа (RAT).

Что пользователи Claude Code должны сделать для защиты?

Пользователям следует перейти от установки на основе npm к нативному установщику. Немедленно проверьте файлы блокировки проектов на наличие вредоносных версий `axios` (1.14.1 или 0.30.4) или зависимости `plain-crypto-js`. Если они найдены, считайте машину скомпрометированной, смените все секреты и выполните чистую переустановку ОС. Применяйте подход нулевого доверия, проверяйте файлы конфигурации и часто меняйте API-ключи Anthropic.

Заключение

Случайное публичное раскрытие исходного кода Claude от Anthropic ярко подчеркивает постоянные проблемы, присущие разработке и развертыванию программного обеспечения, особенно в быстро развивающейся области ИИ. Хотя Anthropic утверждает, что никакие конфиденциальные пользовательские данные или критически важные веса моделей ИИ не были скомпрометированы, утечка предоставляет конкурентам исключительно подробную схему внутренних механизмов Claude Code, включая его сложную систему управления памятью и сложные рабочие процессы с несколькими агентами, как всесторонне сообщается в dev.to. Помимо конкурентных сведений, это также вызывает критические опасения по безопасности для конечных пользователей, подчеркивая абсолютную необходимость бдительности и соблюдения лучших практик в управлении зависимостями программного обеспечения. Этот инцидент служит суровым напоминанием о том, что даже один, казалось бы, незначительный просчет в файле конфигурации может привести к раскрытию месяцев проприетарной работы и вызвать значительный резонанс в техническом сообществе.

Поделитесь нашей статьёй!
Источники