Утечка исходного кода Anthropic в 2026 году: код Claude CLI стал доступен из-за ошибки в карте исходного кода npm

Компания Anthropic случайно разместила полный исходный код своего CLI-интерфейса Claude Code в общедоступном пакете npm, в результате чего около 512 000 строк кода на Typescript стали доступны любому желающему.

Утечка Claude Code npm раскрывает невыпущенные функции, включая KAIROS, BUDDY и Agent Swarms

Компания подтвердила инцидент 31 марта 2026 года в разговоре с Venture Beat, объяснив его человеческой ошибкой в процессе упаковки релиза. Версия 2.1.88 @anthropic-ai/claude-code была отправлена с файлом карты исходного кода Javascript объемом 59,8 МБ. По сути, это был артефакт отладки, который сопоставлял минимизированный производственный код с исходным Typescript, что указывало прямо на общедоступный zip-архив, находящийся в собственном хранилище Cloudflare R2 компании Anthropic.

Никому не пришлось ничего взламывать. Файл просто был там.

Исследователь в области безопасности Чаофан Шоу, стажер в компании Fuzzland, занимающейся безопасностью блокчейнов, обнаружил проблему и опубликовал прямую ссылку на хранилище в X. В течение нескольких часов на Github появились зеркальные репозитории, некоторые из которых набрали десятки тысяч звездочек, прежде чем Anthropic удалила их по требованию DMCA. Члены сообщества уже начали извлекать телеметрию, переключать скрытые флаги функций и разрабатывать «чистые» переимиплементации на Python и Rust, чтобы обойти проблемы с авторским правом.

Основная причина была проста: упаковщик Bun по умолчанию генерирует карты исходного кода, и ни один этап сборки не исключал или не отключал этот отладочный артефакт перед публикацией. Отсутствующая запись в .npmignore или поле files в package.json предотвратило бы всю эту ситуацию.

То, что разработчики обнаружили внутри, было подробным. Около 1900 файлов Typescript охватывали логику выполнения инструментов, схемы разрешений, системы памяти, телеметрию, системные подсказки и флаги функций — полное инженерное представление о том, как Anthropic создает агентский инструмент кодирования производственного уровня. Телеметрия сканирует подсказки на наличие нецензурной лексики как сигнала разочарования, но не регистрирует полные разговоры пользователей или код. «Режим скрытности» дает ИИ указание удалять ссылки на внутренние кодовые имена и детали проекта из коммитов git и запросов на слияние.
За флагами скрывались несколько нерелизных функций. KAIROS описывается как постоянно работающий фоновый демон, который следит за файлами, регистрирует события и запускает процесс «сновидения» — консолидацию памяти — во время простоя. BUDDY — это терминальный питомец, представленный 18 видами, включая капибару, с такими характеристиками, как DEBUGGING, PATIENCE и CHAOS. COORDINATOR MODE позволяет одному агенту создавать и управлять параллельными рабочими агентами. ULTRAPLAN планирует 10–30-минутные сеансы удаленного многоагентного планирования.

Anthropic сообщила Venture Beat, что инцидент не затронул конфиденциальные данные клиентов, учетные данные, а также не привел к компрометации весов моделей или инфраструктуры инференции. «Это была проблема с упаковкой релиза, вызванная человеческой ошибкой», — заявила компания, добавив, что принимает меры для предотвращения повторения подобного инцидента.

Эти меры, возможно, необходимо принять в срочном порядке. Это уже второй раз, когда происходит одна и та же ошибка. Почти идентичная утечка исходного кода произошла с более ранней версией Claude Code в феврале 2025 года.

Инцидент 31 марта также произошел одновременно с отдельной атакой на цепочку поставок npm на пакет axios, которая продолжалась с 00:21 до 03:29 по UTC. Разработчикам, которые установили или обновили Claude Code через npm в течение этого периода, рекомендуется проверить свои зависимости и сменить учетные данные. В будущем Anthropic рекомендует использовать свой собственный установщик вместо npm.

Здесь важен контекст. Пятью днями ранее, 26 марта, в результате неправильной настройки CMS в Anthropic были раскрыты около 3000 внутренних файлов, содержащих подробности о невыпущенной модели «Claude Mythos», что также было связано с человеческой ошибкой. Два значительных случая случайного раскрытия информации менее чем за неделю вызывают вопросы о безопасности релизов в компании, чьи инструменты активно используются для написания и доставки кода в больших масштабах.

Утечка исходного кода остается доступной в архивированном и зеркальном виде, несмотря на активные меры по ее устранению. Anthropic не опубликовала более подробного отчета о случившемся или публичного заявления, помимо своего комментария для Venture Beat.

Пользовательские данные не были раскрыты. Основные модели Claude не затронуты. Однако теперь значительно проще собрать чертеж для создания конкурента Claude Code.

Часто задаваемые вопросы 🔎

• В: Была ли утечка исходного кода Claude Code результатом взлома? Нет — Anthropic подтвердила, что утечка произошла из-за ошибки в упаковке, а не в результате нарушения безопасности или несанкционированного доступа.
• В: Что на самом деле было раскрыто в результате утечки Anthropic npm? Примерно 512 000 строк TypeScript, охватывающих CLI Claude Code, включая телеметрию, флаги функций, скрытые функции и архитектуру агента — но не веса моделей или данные клиентов.
• В: Подвергаются ли мои данные риску из-за инцидента с npm Claude Code? Anthropic заявляет, что данные пользователей или учетные данные не были раскрыты; разработчикам, которые установили программу через npm во время одновременной атаки на цепочку поставок axios, следует проверить зависимости и сменить учетные данные.
• В: Были ли у Anthropic утечки исходного кода ранее? Да — почти идентичная утечка source-map, касающаяся более ранней версии Claude Code, произошла в феврале 2025 года, что делает этот инцидент вторым подобным за примерно 13 месяцев.