#ClaudeCode500KCodeLeak

1 апреля 2026 года компания Anthropic, разработчик моделей семейства Claude, случайно обнародовала почти полный исходный код своего флагманского продукта для разработчиков — Claude Code. Инцидент не был результатом кибератаки, злонамеренного инсайдера или сложной взлома. Это была ошибка при упаковке. Одна неправильно размещённая файл была отправлена в публичный реестр, и в течение нескольких часов мир ИИ изучал полумиллион строк закрытого кода.

Как это произошло

Когда Anthropic опубликовала версию 2.1.88 пакета @anthropic-ai/claude-code в публичный реестр npm, процесс сборки случайно включил 59,8 МБ файла карты исходного кода JavaScript, конкретно cli.js.map, вместе с остальной частью пакета. Файлы карт исходного кода — это артефакты отладки. Они предназначены для связывания минифицированного, скомпилированного или упакованного кода с его читаемым исходником. Это строго внутренние инструменты, и они никогда не предназначены для отправки конечным пользователям или размещения в публичных реестрах пакетов.

Проблема заключалась в том, что этот конкретный файл карты исходного кода не указывал на зашифрованный или скомпилированный код — он ссылался на необфусцированные файлы исходного кода TypeScript. Любой, кто скачал пакет npm и умел работать с картами исходного кода, мог восстановить исходную базу кода TypeScript в читаемой, полностью навигируемой форме. Именно это и произошло.

Исследователь безопасности, связанный с Solayer Labs, публиковавший под псевдонимом @Fried_rice в X, был, по сообщениям, первым, кто обнаружил и распаковал утечку. В короткое время появился репозиторий на GitHub, содержащий то, что было представлено как восстановленный исходный код — около 512 000 строк кода на TypeScript, разбросанных по примерно 1 900 файлам. Репозиторий был быстро форкнут до того, как Anthropic смогла отреагировать.

Что на самом деле внутри

Утечка не раскрыла веса модели Claude, обучающие данные или учетные данные клиентов. Anthropic подтвердили это напрямую. Но что было раскрыто — это, пожалуй, следующий по чувствительности аспект: подробный взгляд на архитектуру Claude Code, как он обрабатывает пользовательские намерения, как взаимодействует с моделями и что создается за кулисами.

Несколько находок быстро распространились среди разработчиков и исследователей, анализировавших код.

Обнаружены ссылки на неанонсированные модели. В коде встречались названия Opus 4.7 и Sonnet 4.8, а также внутренние кодовые имена Capybara и Mythos — последний уже был частично раскрыт за несколько дней до этого через отдельный инцидент, когда неопубликованные посты в блоге и документация случайно оказались доступны в публичном кэше данных. Названия Mythos и Capybara, судя по всему, относятся к одной и той же будущей модели, и утекший код подтвердил, что запуск модели активно готовится.

В коде обнаружена внутренняя функция под названием ultraplan. Это, по всей видимости, асинхронный режим работы нескольких агентов, предназначенный для более длительных исследовательских сессий, с предполагаемым временем выполнения от десяти до тридцати минут. Это означает, что Claude Code создавался для координации нескольких экземпляров агентов при выполнении длительных задач — важная архитектурная возможность, ранее не раскрытая публично.

Также были ссылки на нечто под названием Kairos, описываемое в коде как всегда включённый проактивный агент — фоновый процесс, который может инициировать действия без явного запроса пользователя. Кроме того, в коде обнаружена функция autoDream, которая, судя по всему, является системой консолидации памяти, предназначенной для автоматического сохранения контекста или суммирования истории сессий.

Самым неожиданным открытием стало внутреннее название Buddy System, которое, судя по всему, моделирует поведение AI-компаньона, с атрибутами, отслеживающими уровни хаоса и сарказма. Является ли это полноценной функцией продукта или внутренним экспериментом — неизвестно, но это привлекло значительное внимание в сети.

Что касается безопасности и телеметрии, код показал, что Claude Code регистрирует определённые пользовательские выражения, включая ругательства типа wtf и ffs, и отмечает их как is_negative в аналитической системе. Более важным было обнаружение, что меры кибербезопасности Claude Code реализованы в виде простых строк подсказок, а не жестко закодированной логики, что в принципе позволяет их заменять или изменять без глубоких системных изменений. В коде также содержится более 44 флагов функций, большинство из которых скрыты от публичной документации.

Также было показано, что более 120 названий инструментов для разработчиков жестко зашиты в код для особого обращения внутри продукта, что говорит о том, что Claude Code был специально настроен на распознавание и взаимодействие с определёнными интеграциями.

Реакция сообщества и форки

Сообщество разработчиков среагировало быстро. В течение нескольких часов после публикации репозитория появились многочисленные производные проекты.

Один из форков, названный OpenCode, предназначен для удаления зависимостей от модели Claude и замены их на модульную бекенд-систему, способную маршрутизировать запросы к любой крупной языковой модели, включая GPT, Llama и другие. Цель — использовать архитектурные шаблоны Claude Code, делая систему модель-нейтральной.

Другой форк, под названием free-code, пошел дальше. Он удалил телеметрию, отключил слои безопасности и включил экспериментальные функции. Чтобы избежать нарушений DMCA, он распространялся через IPFS, а не через централизованные платформы хостинга.

Оба форка сразу вызвали юридические вопросы. Код — это интеллектуальная собственность. Перераспределение и создание производных без лицензии — нарушение авторских прав в большинстве юрисдикций. Некоторые участники сообщества отметили, что даже детальный анализ кода может нести юридические риски в зависимости от обстоятельств. Несмотря на это, код продолжал быстро распространяться.

Контекст и предыдущие инциденты

Время инцидента не могло быть хуже для Anthropic. За несколько дней до утечки исходного кода компания уже столкнулась с другим инцидентом — случайным раскрытием неопубликованной документации и постов в блоге о модели Mythos, которые оказались доступны в публичном кэше данных. Этот инцидент был неловким. Этот же оказался значительно более вредным с точки зрения интеллектуальной собственности.

На начало 2026 года Anthropic демонстрирует годовой доход около 19 миллиардов долларов, а Claude Code, по оценкам, приносит около 2,5 миллиарда долларов ежегодных повторяющихся доходов — цифра, которая, по сообщениям, более чем удвоилась за первые месяцы года. Этот продукт является ключевым для коммерческой стратегии компании.

Ирония, отмеченная несколькими комментаторами, заключается в том, что руководитель Claude Code в Anthropic публично заявил в конце 2025 года, что 100% его недавних вкладов в продукт были сделаны самим Claude Code. В сообществе возникла версия, что ошибка при упаковке, приведшая к включению файла карты исходного кода, могла быть результатом автоматизированных процессов сборки, работающих без достаточного человеческого контроля — другими словами, продукт, частично созданный ИИ, мог быть разрушен той же автоматизацией. Это предположение, не подтвержденное официально, но оно получило широкое распространение.

Автоматизированный обзор кода с помощью GPT-5.4 и высокоуровневой модели Claude, по сообщениям, оценил его в 6.5 из 10, характеризуя как «спагетти-код с учетом производительности» — то есть код, показывающий признаки оптимизации под давлением и итеративных исправлений, а не чистого базового дизайна.
Ответ Anthropic

Представитель Anthropic подтвердил инцидент коротким заявлением: сегодня утром выпуск Claude Code включал внутренний исходный код. Компания заявила, что данные клиентов или учетные данные не были задействованы или раскрыты. Уязвимая версия пакета npm была быстро удалена. На вопрос о намерениях компании преследовать юридические меры против тех, кто опубликовал или форкнул раскрытые репозитории, Anthropic отказалась комментировать, кроме своего первоначального заявления.

На начало апреля 2026 года в публичных релизных заметках всё еще указывалась версия 2.1.88 как последняя версия Claude Code, а путь распространения через npm в документации был обозначен как устаревший, что свидетельствует о начале перехода на другие механизмы распространения.