Витік вихідного коду Anthropic у 2026 році: код Claude CLI став доступним через помилку у карті джерел npm

Витік Claude Code npm розкриває невипущені функції, включаючи KAIROS, BUDDY та Agent Swarms

Компанія підтвердила інцидент 31 березня 2026 року в розмові з Venture Beat, пояснивши його людською помилкою в процесі пакування релізу. Версія 2.1.88 @anthropic-ai/claude-code була відправлена разом із файлом карти вихідного коду Javascript розміром 59,8 МБ. По суті, це артефакт налагодження, який зіставляв мініфікований виробничий код з оригінальним Typescript, що вказував безпосередньо на загальнодоступний zip-архів, розміщений у власному сховищі Cloudflare R2 компанії Anthropic.
Ніхто нічого не зламав. Файл просто був там.

Дослідник безпеки Чаофан Шоу, стажист у компанії з безпеки блокчейнів Fuzzland, виявив проблему та опублікував пряме посилання на сховище на X. За кілька годин на Github з’явилися дзеркальні репозиторії, деякі з яких набрали десятки тисяч зірок, перш ніж Anthropic встигла видалити їх за DMCA. Члени спільноти вже почали вилучати телеметрію, перемикати приховані прапорці функцій та розробляти «чисті» реалізації на Python та Rust, щоб уникнути проблем з авторським правом.

Основна причина була простою: пакувальник Bun за замовчуванням генерує карти джерел, і жоден етап збірки не виключав або не вимикав цей артефакт налагодження перед публікацією. Відсутність запису в .npmignore або в полі files у package.json запобігла б усьому цьому.

Те, що розробники знайшли всередині, було дуже детальним. Близько 1900 файлів Typescript охоплювали логіку виконання інструменту, схеми дозволів, системи пам'яті, телеметрію, системні підказки та прапорці функцій — повний інженерний огляд того, як Anthropic будує агентський інструмент кодування виробничого рівня. Телеметрія сканує підказки на наявність нецензурної лексики як сигналу розчарування, але не реєструє повні розмови користувачів або код. «Режим прихованої роботи» наказує ШІ видаляти з git-коммітів та pull-запитів посилання на внутрішні кодові імена та деталі проєкту.
За прапорцями ховалося кілька невипущених функцій. KAIROS описується як постійно активний фоновий демон, який стежить за файлами, реєструє події та запускає процес консолідації пам’яті під назвою «мріяння» під час простою. BUDDY — це термінальний вихованець із 18 видами, серед яких капібара, що має такі характеристики, як DEBUGGING, PATIENCE та CHAOS. COORDINATOR MODE дозволяє одному агенту створювати та керувати паралельними робочими агентами. ULTRAPLAN планує 10-30-хвилинні сесії віддаленого планування з участю декількох агентів.

Anthropic повідомила Venture Beat, що інцидент не стосувався конфіденційних даних клієнтів, облікових даних та не спричинив компрометації ваг моделей або інфраструктури інференції. «Це була проблема з пакетом релізу, спричинена людською помилкою», — заявила компанія, додавши, що вживає заходів для запобігання повторенню.

Ці заходи, можливо, потрібно вжити швидко. Це вже другий випадок, коли сталася та сама помилка. Майже ідентичний витік source-map стався з попередньою версією Claude Code у лютому 2025 року.

Інцидент 31 березня також збігся з окремою атакою на ланцюжок постачання npm на пакет axios, яка тривала з 00:21 до 03:29 за UTC. Розробникам, які встановили або оновили Claude Code через npm у цей проміжок часу, рекомендується перевірити свої залежності та змінити облікові дані. Надалі Anthropic рекомендує використовувати власний інсталятор замість npm.

Тут важливий контекст. П'ять днів тому, 26 березня, через неправильну конфігурацію CMS в Anthropic було оприлюднено приблизно 3 000 внутрішніх файлів, що містили деталі про невипущену модель «Claude Mythos», що також було пов'язано з людською помилкою. Два значні випадкові витоки інформації менш ніж за тиждень викликають питання щодо гігієни випуску в компанії, інструменти якої активно використовуються для написання та постачання коду в великих обсягах.

Витік вихідного коду залишається доступним в архівних та дзеркальних формах, незважаючи на активні заходи з його видалення. Anthropic не опублікувала більш детального аналізу інциденту або публічної заяви, окрім коментаря для Venture Beat.

Дані користувачів не були викриті. Основні моделі Claude не зазнали впливу. Однак план створення конкурента Claude Code тепер значно простіший у реалізації.

FAQ 🔎

• З: Чи був витік вихідного коду Claude Code результатом хакерської атаки? Ні — Anthropic підтвердила, що витік стався через помилку в упаковці, а не через порушення безпеки чи несанкціонований доступ.
• Питання: Що саме було оприлюднено під час витоку з npm компанії Anthropic? Приблизно 512 000 рядків TypeScript, що охоплюють Claude Code CLI, включаючи телеметрію, прапорці функцій, приховані функції та архітектуру агента — але не ваги моделей чи дані клієнтів.
• Питання: Чи наражаються мої дані на ризик через інцидент з npm Claude Code? Anthropic заявляє, що дані користувачів та облікові дані не були викриті; розробники, які встановили програму через npm під час одночасного вікна атаки на ланцюжок постачання axios, повинні перевірити залежності та змінити облікові дані.
• Питання: Чи траплялися раніше витоки вихідного коду з Anthropic? Так — майже ідентичний витік source-map, пов'язаний із попередньою версією Claude Code, стався в лютому 2025 року, що робить цей інцидент другим за останні приблизно 13 місяців.