Wyciek kodu źródłowego Anthropic w 2026 r.: Kod interfejsu CLI Claude'a ujawniony w wyniku błędu mapy źródłowej npm

Wyciek Claude Code npm ujawnia niepublikowane funkcje, w tym KAIROS, BUDDY i Agent Swarms

Firma potwierdziła ten incydent 31 marca 2026 r. w rozmowie z Venture Beat, przypisując go błędowi ludzkiemu w procesie pakowania wydania. Wersja 2.1.88 @anthropic-ai/claude-code została dostarczona wraz z plikiem mapy źródłowej JavaScript o rozmiarze 59,8 MB. Zasadniczo był to artefakt debugowania, który mapował zminimalizowany kod produkcyjny z powrotem do oryginalnego Typescriptu, co wskazywało bezpośrednio na publicznie dostępny archiwum zip znajdujące się w zasobniku Cloudflare R2 należącym do Anthropic.

Nikt nie musiał niczego hakować. Plik po prostu tam był.

Badacz bezpieczeństwa Chaofan Shou, stażysta w firmie Fuzzland zajmującej się bezpieczeństwem blockchain, zauważył ten problem i opublikował bezpośredni link do zasobnika na X. W ciągu kilku godzin na Githubie pojawiły się kopie repozytorium, a niektóre z nich zgromadziły dziesiątki tysięcy gwiazdek, zanim Anthropic zdążył je usunąć na podstawie ustawy DMCA. Członkowie społeczności zaczęli już usuwać dane telemetryczne, przełączać ukryte flagi funkcji i tworzyć nowe implementacje w językach Python i Rust, aby ominąć problemy związane z prawami autorskimi.
Przyczyna była prosta: pakiet Bun domyślnie generuje mapy źródłowe, a żaden etap kompilacji nie wykluczał ani nie wyłączał artefaktu debugowania przed publikacją. Brak wpisu w pliku .npmignore lub w polu files w pliku package.json zapobiegłby całej tej sytuacji.

To, co programiści znaleźli w środku, było bardzo szczegółowe. Około 1900 plików Typescript obejmowało logikę działania narzędzia, schematy uprawnień, systemy pamięci, telemetrię, monity systemowe i flagi funkcji — pełny obraz inżynieryjny tego, jak Anthropic buduje narzędzie do kodowania agentowego na poziomie produkcyjnym. Telemetria skanuje monity pod kątem wulgaryzmów jako sygnału frustracji, ale nie rejestruje pełnych rozmów użytkowników ani kodu. „Tryb tajny” nakazuje AI usuwanie odniesień do wewnętrznych nazw kodowych i szczegółów projektu z commitów gitowych i pull requestów.

Za flagami kryło się kilka niewydanych funkcji. KAIROS jest opisany jako zawsze aktywny demon działający w tle, który monitoruje pliki, rejestruje zdarzenia i uruchamia proces konsolidacji pamięci „dreaming” w czasie bezczynności. BUDDY to terminalowe zwierzątko domowe z 18 gatunkami — w tym kapibarą — posiadające statystyki takie jak DEBUGGING, PATIENCE i CHAOS. COORDINATOR MODE pozwala pojedynczemu agentowi tworzyć i zarządzać równoległymi agentami roboczymi. ULTRAPLAN planuje 10- do 30-minutowe zdalne sesje planowania wieloagentowego.

Firma Anthropic poinformowała serwis Venture Beat, że incydent nie dotyczył żadnych wrażliwych danych klientów, danych uwierzytelniających ani nie naruszył wag modeli ani infrastruktury wnioskowania. „Był to problem z pakietem wydania spowodowany błędem ludzkim” — stwierdziła firma, dodając, że wdraża środki zapobiegające powtórzeniu się takiej sytuacji.

Środki te mogą wymagać szybkiego wdrożenia. To już drugi raz, kiedy popełniono ten sam błąd. Niemal identyczny wyciek mapy źródłowej miał miejsce w przypadku wcześniejszej wersji Claude Code w lutym 2025 r.

Incydent z 31 marca zbiegł się również z oddzielnym atakiem na łańcuch dostaw npm na pakiet axios, który miał miejsce między 00:21 a 03:29 czasu UTC. Deweloperom, którzy zainstalowali lub zaktualizowali Claude Code za pośrednictwem npm w tym okresie, zaleca się sprawdzenie swoich zależności i zmianę danych uwierzytelniających. Firma Anthropic zaleca w przyszłości korzystanie z własnego instalatora zamiast npm.

W tym przypadku istotny jest kontekst. Pięć dni wcześniej, 26 marca, nieprawidłowa konfiguracja systemu CMS w firmie Anthropic spowodowała ujawnienie około 3000 plików wewnętrznych zawierających szczegóły dotyczące niepublikowanego modelu „Claude Mythos”, co również przypisano błędowi ludzkiemu. Dwa znaczące przypadkowe ujawnienia w ciągu niecałego tygodnia budzą wątpliwości co do standardów bezpieczeństwa w firmie, której narzędzia są aktywnie wykorzystywane do pisania i dostarczania kodu na dużą skalę.

Wyciekły kod źródłowy pozostaje dostępny w formie archiwizowanej i lustrzanej pomimo aktywnych działań mających na celu jego usunięcie. Firma Anthropic nie opublikowała szerszej analizy przyczyn zdarzenia ani publicznego oświadczenia poza komentarzem przekazanym serwisowi Venture Beat.

Nie doszło do ujawnienia danych użytkowników. Nie ma to wpływu na podstawowe modele Claude. Jednak plan stworzenia konkurenta dla Claude Code jest teraz znacznie łatwiejszy do zrealizowania.

FAQ 🔎

• P: Czy wyciek kodu źródłowego Claude Code był wynikiem ataku hakerskiego? Nie — firma Anthropic potwierdziła, że ujawnienie było wynikiem błędu pakowania, a nie naruszenia bezpieczeństwa lub nieuprawnionego dostępu.
• P: Co faktycznie zostało ujawnione w wyniku wycieku z npm firmy Anthropic? Około 512 000 linii kodu TypeScript obejmujących interfejs CLI Claude Code, w tym telemetrię, flagi funkcji, ukryte funkcje i architekturę agenta — nie dotyczyło to wag modeli ani danych klientów.
• P: Czy moje dane są zagrożone w wyniku incydentu z npm Claude Code? Firma Anthropic twierdzi, że żadne dane użytkowników ani dane uwierzytelniające nie zostały ujawnione; programiści, którzy zainstalowali oprogramowanie za pośrednictwem npm w czasie trwania ataku na łańcuch dostaw axios, powinni przeprowadzić audyt zależności i zmienić dane uwierzytelniające.
• P: Czy firma Anthropic ujawniła już wcześniej kod źródłowy? Tak — w lutym 2025 r. doszło do niemal identycznego wycieku mapy źródłowej dotyczącej wcześniejszej wersji Claude Code, co sprawia, że jest to drugi taki incydent w ciągu około 13 miesięcy.