Anthropic раскрывает исходный код Claude Code в результате неверной конфигурации в npm

Антропик непреднамеренно опубликовал полный исходный код своего ИИ-агента Claude Code 31 марта 2026 года после того, как неправильно настроенный файл source map был размещён в реестре npm в рамках версии 2.1.88 пакета @anthropic-ai/claude-code.

Файл объёмом 59,8 МБ содержал примерно 512 000 строк TypeScript в 1 906 файлах, раскрывая трёхуровневую архитектуру памяти агента, упоминания об автономном daemon-режиме под названием KAIROS, внутренние названия моделей, включая Capybara (Claude 4.6) и Fennec (Opus 4.6), а также функцию, позволяющую «подпольные» взносы в репозитории open source без раскрытия факта участия ИИ.

Утечка исходного кода раскрывает трёхуровневую архитектуру памяти Claude Code

В утекшем исходном коде было подробно описано, как Anthropic создала Claude Code, чтобы управлять длительными сеансами кодинга с помощью сложной системы памяти. В основе — лёгкий файл под названием MEMORY.md, который хранит краткие ссылки, а не полную информацию; более подробные заметки по проектам сохраняются отдельно и подтягиваются только при необходимости. История прошлых сеансов ищется выборочно, а не загружается целиком за раз. Система также сверяет свою память с фактическим кодом перед тем, как предпринимать действия — проектное решение, направленное на снижение ошибок и ложных предположений.

Утечка показала, что агенту предписано относиться к собственной памяти как к «подсказке», требующей проверки по кодовой базе перед продолжением. Такой подход, описанный как «Strict Write Discipline», не позволяет модели загрязнять контекст неудачными попытками. Архитектура памяти разработана, чтобы решать то, что разработчики называли «контекстной энтропией» — тенденцией ИИ-агентов путаться или «галлюцинировать» по мере усложнения длительных сеансов.

Автономный режим KAIROS и скрытая функция Undercover Exposed

В исходном коде упоминалась функция, неоднократно обозначенная под именем KAIROS, описываемая как daemon-режим, в котором агент может продолжать работу в фоне вместо ожидания прямых запросов. Связанный процесс под названием autoDream выполняет консолидацию памяти в периоды простоя, примиряя противоречия и преобразуя предварительные наблюдения в проверенные факты.

Одно из самых чувствительных раскрытий касалось функции, описанной как Undercover Mode. Восстановленный системный prompt предписывает Claude Code делать вклад в публичные репозитории open source, не раскрывая, что ИИ был задействован; при этом даны конкретные инструкции избегать раскрытия внутренних идентификаторов, включая codenames Anthropic, в сообщениях commit или публичных git-логах. Разработчики, просматривавшие утечку, также обнаружили десятки скрытых feature flags, включая ссылки на автоматизацию браузера через Playwright.

Раскрыты внутренние метрики производительности модели и дорожная карта разработки

Утечка раскрыла внутренние названия моделей и данные о производительности. Согласно исходному тексту, Capybara относится к варианту Claude 4.6, Fennec соответствует релизу Opus 4.6, а Numbat остаётся в тестировании перед запуском. Внутренние бенчмарки показали, что в актуальной версии Capybara уровень ложных утверждений составляет 29%–30%, что выше, чем 16,7% в более ранней итерации. Также в источнике упоминался счётчик-«противовес» настойчивости, разработанный для того, чтобы модель не становилась чрезмерно агрессивной при рефакторинге пользовательского кода.

Утекшие материалы также раскрыли permission engine Anthropic, логику оркестрации для многоагентных рабочих процессов, bash-системы валидации и архитектуру MCP-сервера, предоставив конкурентам подробный обзор того, как работает Claude Code. Как сообщалось, Claude Code достигла ежегодно рассчитываемой recurring revenue в размере $2,5 миллиарда по состоянию на март 2026 года, при этом внедрение в корпоративном секторе обеспечивало 80% её выручки.

Одновременная атака в цепочке поставок npm усугубляет риски безопасности

Экспонирование исходника совпало с отдельной атакой в цепочке поставок: были распространены вредоносные версии пакета axios npm 31 марта в период между 00:21 и 03:29 UTC. Разработчики, установившие или обновившие Claude Code через npm в течение этого времени, могли подхватить скомпрометированную версию axios (1.14.1 или 0.30.4), содержащую троян удалённого доступа.

Anthropic подтвердила утечку в заявлении, указав, что релиз Claude Code включал часть внутреннего исходного кода и что не было ни вовлечено, ни раскрыто никаких чувствительных данных клиентов или учётных данных. Компания объяснила проблему человеческой ошибкой при упаковке релиза, а не нарушением безопасности, и заявила, что она внедряет меры для предотвращения повторения. После взлома Anthropic обозначила автономный установщик (standalone binary installer) как предпочтительный способ установки Claude Code, поскольку он обходит цепочку зависимостей npm.

FAQ

Какой исходный код Anthropic случайно раскрыла?

Anthropic раскрыла примерно 512 000 строк исходного кода TypeScript для Claude Code — её ИИ-агента по написанию кода — через файл source map, неправильно настроенный для публикации в npm. Утечка раскрыла архитектуру памяти агента, автономный daemon-режим под названием KAIROS, внутренние названия моделей и функцию, позволяющую «подпольные» взносы в репозитории open source.

Какие риски безопасности ждут пользователей после утечки?

Пользователи, которые установили или обновили Claude Code через npm в трёхчасовое окно 31 марта, могли непреднамеренно установить вредоносную зависимость axios, содержащую троян удалённого доступа. Исследователи безопасности рекомендуют проверять lockfiles на наличие скомпрометированных версий, ротировать учётные данные и рассмотреть полную переустановку ОС на затронутых машинах.

Как пользователям Claude Code следует снижать риски?

Anthropic рекомендует использовать автономный установщик вместо установки через npm, поскольку он обходит цепочку зависимостей npm. Пользователям на npm следует удалить версию 2.1.88 и закрепиться (pin) на проверенных безопасных версиях. Кроме того, пользователям следует избегать запуска агента в ненадёжных репозиториях до проверки конфигурационных файлов и пользовательских hooks.