#ClaudeCode500KCodeLeak

1 квітня 2026 року компанія Anthropic, що займається безпекою штучного інтелекту та розробляє модельний ряд Claude, випадково оприлюднила майже повний вихідний код свого флагманського продукту для розробників, Claude Code. Інцидент не був результатом кібернападу, зловмисного внутрішнього співробітника або складної зломної атаки. Це була помилка у пакуванні. Один неправильно розміщений файл, який потрапив до публічного реєстру, і вже за кілька годин світ штучного інтелекту розглядав понад півмільйона рядків приватного коду.

Як це сталося

Коли Anthropic опублікувала версію 2.1.88 пакету @anthropic-ai/claude-code у публічний реєстр npm, процес збірки випадково зібрав 59,8 мегабайтний файл JavaScript source map, зокрема cli.js.map, разом із рештою пакету. Файли source map — це артефакти налагодження. Вони існують для зв’язку зібраного, мінімізованого або скомпільованого коду з людським читабельним оригіналом. Це внутрішні інструменти, які ніколи не призначені для кінцевих користувачів або для публічних реєстрів пакетів.

Проблема полягала в тому, що цей конкретний файл source map не вказував на зашифрований або скомпільований код — він посилався на незашифровані файли TypeScript. Ті, хто завантажив npm-пакет і знав, як працювати з source map, могли відновити оригінальну базу коду TypeScript у читабельній, навігаційній формі. Саме так і сталося.

Дослідник безпеки, який співпрацює з Solayer Labs і публікував під псевдонімом @Fried_rice у X, був, за повідомленнями, першим, хто ідентифікував і розпакував цю витік. За короткий час з’явився репозиторій на GitHub, у якому був представлений відновлений вихідний код — близько 512 000 рядків TypeScript, розподілених приблизно по 1900 файлах. Репозиторій швидко зробили форком, перш ніж Anthropic зміг відреагувати.

Що насправді було всередині

Витік не розкрив ваги моделі Claude, дані тренування або облікові дані клієнтів. Anthropic прямо підтвердили це. Але що було оприлюднено — це, можливо, найчутливіша інформація: детальний огляд архітектури Claude Code, його обробки намірів користувача, комунікації з моделями та того, що створювалося за лаштунками.

Кілька знахідок швидко поширилися серед розробників і дослідників, які аналізували код.

У кодовій базі знайдені посилання на нерелізовані моделі. З’явилися назви Opus 4.7 і Sonnet 4.8, а також внутрішні кодові імена Capybara і Mythos — останнє вже частково розкривалося раніше через інцидент, коли неопубліковані пости у блозі та документація випадково стали доступними у публічному кеші даних. Назви Mythos і Capybara, ймовірно, стосувалися однієї й тієї ж майбутньої моделі, і витік підтвердив, що запуск активно готувався.

У коді було знайдено функцію, яка називалася ultraplan. Це, ймовірно, асинхронний режим роботи кількох агентів для довших дослідницьких сесій із приблизним часом завершення від десяти до тридцяти хвилин. Це означає, що Claude Code створювався для координації кількох агентів у довгих завданнях — важлива архітектурна можливість, яка раніше не була публічно оголошена.

Також були посилання на щось під назвою Kairos, описане у коді як постійно активний проактивний агент — фоновий процес, який може ініціювати дії без явного запиту користувача. Крім того, з’явилася функція autoDream, яка, ймовірно, є системою консолідації пам’яті, щоб допомогти агенту автоматично зберігати контекст або підсумовувати історію сесії.

Можливо, найнеочікуванішим відкриттям стала внутрішня назва Buddy System, яка, ймовірно, моделює поведінку AI-компаньйона з атрибутами, що відстежують хаос і рівень сарказму. Чи була це серйозна функція продукту, чи внутрішній експеримент — невідомо, але вона привернула значну увагу онлайн.

Що стосується безпеки та телеметрії, код показав, що Claude Code фіксує конкретні вирази користувачів, включно з матюками, такими як wtf і ffs, і позначає їх як is_negative у своїй аналітичній системі. Більш структурно важливим було виявлення, що засоби захисту кібербезпеки Claude Code реалізовані у вигляді простих текстових рядків підказок, а не жорстко закодованої логіки, тобто їх можна замінювати або модифікувати без глибоких змін системи. У кодовій базі також було понад 44 прапорці функцій, більшість із яких були приховані від публічної документації.

Код також показав, що понад 120 імен інструментів для розробників були закодовані у системі для особливого ставлення, що свідчить про цілеспрямоване налаштування Claude Code для розпізнавання та взаємодії з конкретними інтеграціями.

Реакція спільноти та форки

Розробницька спільнота діяла швидко. За кілька годин після публікації репозиторію з’явилися кілька похідних проектів.

Один із них, під назвою OpenCode, був створений для видалення залежностей від конкретної моделі Claude і заміни їх на модульний бекенд, здатний маршрутизувати запити до будь-якої великої мовної моделі, включно з GPT, Llama та іншими. Мета — використати архітектурні патерни Claude Code, зробивши систему модель-нейтральною.

Ще один форк, під назвою free-code, пішов далі. Він видалив телеметрію, вимкнув засоби безпеки та додав експериментальні функції. Щоб уникнути DMCA, він розповсюджувався через IPFS, а не через централізовану платформу хостингу.

Обидва форки одразу підняли юридичні питання. Код є інтелектуальною власністю. Перерозподіл і похідне використання без ліцензії порушують авторські права у більшості юрисдикцій. Деякі учасники спільноти зауважили, що навіть детальний аналіз коду може створити юридичний ризик залежно від обставин. Незважаючи на це, код швидко поширювався.

Контекст і попередні інциденти

Часовий проміжок був надзвичайно невигідним для Anthropic. За кілька днів до інциденту з source map компанія зазнала ще одного витоку — неопубліковану документацію та пости у блозі про модель Mythos, які випадково залишилися доступними у публічно сканованому кеші даних. Це був сором’язливий інцидент. Цей був значно більш руйнівним з точки зору інтелектуальної власності.

На початку 2026 року Anthropic працює з приблизним річним доходом у 19 мільярдів доларів, а Claude Code, за оцінками, приносить близько 2,5 мільярдів доларів щорічного повторюваного доходу — ця цифра, за повідомленнями, більш ніж подвоїлася за перші місяці року. Продукт є ключовим для комерційної стратегії компанії.

Іронія, яку відзначили кілька коментаторів, полягає в тому, що власний керівник Claude Code Anthropic публічно заявив наприкінці 2025 року, що 100% його останніх внесків у продукт були написані самим Claude Code. Висновок спільноти — помилка у пакуванні, яка призвела до включення файлу source map, можливо, стала результатом автоматизованих процесів збірки без достатнього людського контролю. Іншими словами, продукт, частково сформований штучним інтелектом, міг бути зіпсований тією ж автоматизацією. Це спекуляція і не підтверджено, але ця версія отримала широке поширення.

Автоматизований огляд коду, проведений за допомогою GPT-5.4 і високорівневого Claude, оцінив його у 6.5 з 10, характеризуючи як «спагетті з урахуванням продуктивності» — тобто код показував ознаки оптимізації під тиском і ітеративного виправлення, а не чистого базового дизайну.
Реакція Anthropic

Представник Anthropic підтвердив інцидент короткою заявою: сьогодні раніше випуск Claude Code містив внутрішній вихідний код. Компанія заявила, що дані клієнтів або облікові дані не були залучені або оприлюднені. Випущений раніше пакет npm було швидко відкликано. На запит щодо можливого юридичного переслідування тих, хто опублікував або зробив форк витеклого репозиторію, Anthropic відмовилася коментувати окрім своєї початкової заяви.

На початку квітня 2026 року у публічних нотатках до релізу все ще зазначалася версія 2.1.88 як остання версія Claude Code, а шлях розповсюдження через npm був у документації позначений як застарілий, що свідчить про початок міграції на інші механізми розповсюдження.

Більше значення

Цей інцидент став перетином кількох актуальних дискусій у галузі штучного інтелекту.

По-перше, він підкреслює ризики поширення інструментів для розробки AI через публічні реєстри пакетів без посилених процесів збірки. Екосистема npm має довгу історію випадкових витоків, але масштаб і чутливість цього витоку є незвичайними.

По-друге, він ставить питання про баланс між швидкістю розробки та безпекою. Claude Code розвивався з неймовірною швидкістю, і ця швидкість, ймовірно, сприяла тому, що процес збірки не виявив артефакт налагодження у публічному релізі.

По-третє, присутність прихованих функцій, замінних строків безпеки та розширеної телеметрії у витеклому коді, ймовірно, посилить увагу до того, як інструменти для кодування AI обробляють дані користувачів і як безпека реалізована на рівні інженерії, а не політики.

По-четверте, поява форків, які видаляють телеметрію та засоби безпеки — навіть якщо це юридично сумнівно — демонструє, що після витоку пропрієтарних інструментів AI практично зменшується можливість контролю за їхнім подальшим використанням.

Для конкурентів цей витік відкриває рідкісний і детальний погляд на один із найуспішніших у комерційному плані продуктів для кодування AI. Для Anthropic тепер головне — не лише виправити процес збірки, а й оцінити, який стратегічний перевага було назавжди передано у публічний доступ.