Подія витоку коду Claude: ефект метелика, викликаний файлом .map

Написано: Claude

I. Передумови

В ніч на 31 березня 2026 року твіт у спільноті розробників спричинив справжню бурю.

Chaofan Shou, стажер у компанії з безпеки блокчейнів, виявив, що в офіційному npm-пакеті Anthropic додається файл source map, який виставив у відкритий доступ повний вихідний код Claude Code. Після цього він одразу опублікував цю знахідку в X і додав посилання для прямого завантаження.

Цей допис, наче сигнальна ракета, вибухнув у спільноті розробників. За лічені години понад 512 тис. рядків коду TypeScript було віддзеркалено на GitHub, і тисячі розробників у режимі реального часу виконували аналіз.

Це другий великий інцидент із витоком важливої інформації, який стався в Anthropic менш ніж за тиждень.

Рівно за п’ять днів до того (26 березня) помилка в конфігурації CMS в Anthropic призвела до оприлюднення майже 3000 внутрішніх файлів, серед яких були чернетки блог-постів із моделлю, що має вийти, під назвою “Claude Mythos”.

II. Як саме стався витік?

Технічна причина цього інциденту виглядає принизливо смішною — базова проблема полягала в тому, що в npm-пакеті помилково був включений файл source map (.map).

Такі файли призначені для відображення стисненого, обфускованого production-коду назад на вихідний код, щоб під час дебагу можна було знаходити рядки з помилками. А цей .map-файл містить посилання на zip-архів у власному сховищі Anthropic Cloudflare R2.

Shou та інші розробники просто завантажили цей zip-архів — без будь-яких хакерських прийомів. Файл був там і повністю доступний публічно.

Проблемна версія — v2.1.88 пакета @anthropic-ai/claude-code, який постачався разом із JavaScript source map-файлом обсягом 59,8 МБ.

У своїй відповіді на заяву The Register Anthropic визнав: “Раніше, ще в лютому 2025 року, сталася схожа витікальна подія з версією Claude Code”. Це означає, що та сама помилка повторилася двічі за 13 місяців.

Іронічно, що всередині Claude Code існує система під назвою “Undercover Mode (режим під прикриттям)”, спеціально розроблена, щоб запобігати випадковому витоку внутрішніх кодових назв Anthropic у записах git-підтверджень… а потім інженер просто запакував увесь вихідний код у .map-файл.

Ще одним можливим поштовхом до інциденту могла бути сама інструментальна підсистема: наприкінці року Anthropic придбав Bun, а Claude Code якраз і створений на базі Bun. 11 березня 2026 року хтось подав звіт про баг у системі відстеження проблем Bun (issue #28001), вказавши, що Bun у production-режимі все одно генерує й виводить source map, що суперечить офіційній документації. Цей issue досі залишається відкритим.

Офіційна відповідь Anthropic була короткою й стриманою: “Немає даних користувачів або облікових даних/засобів доступу, які були б задіяні або витекли. Це людська помилка в процесі пакування під реліз, а не вразливість безпеки. Ми просуваємо заходи, щоб запобігти таким подіям у майбутньому”.

III. Що саме витекло?

Масштаб коду

Вміст цього витоку охоплює приблизно 1900 файлів і понад 500 тис. рядків коду. Це не ваги моделі, а весь інженерний “програмний рівень” Claude Code — зокрема каркас для викликів інструментів, оркестрація багатьох агентів, система прав доступу, система пам’яті та інші ключові компоненти архітектури.

Дорожня карта непублічних функцій

Це найбільш стратегічно цінна частина цього витоку.

Автономний захисний процес KAIROS: ця функціональна назва, згадана понад 150 разів, походить від давньогрецького слова “влучний час” і відображає фундаментальний перехід Claude Code до “агента, який постійно працює у фоні”. KAIROS містить процес під назвою autoDream, який у час, коли користувач не активний, виконує “інтеграцію пам’яті” — об’єднує фрагментовані спостереження, усуває логічні суперечності та перетворює нечіткі інсайти на визначені факти. Коли користувач повертається, контекст Agent уже очищений і є максимально релевантним.

Внутрішні кодові назви моделей і дані про продуктивність: витік підтверджує, що Capybara — це внутрішня кодова назва варіанта Claude 4.6, Fennec відповідає Opus 4.6, а непублічний Numbat і досі перебуває на тестуванні. У коментарях до коду також було розкрито наявність 29–30% частки фальшивих тверджень у Capybara v8 — це гірше, ніж у v4, де показник становив 16,7%.

Механізм протидії дистиляції (Anti-Distillation): у коді присутній прапорець функції з назвою ANTI_DISTILLATION_CC. Після його увімкнення Claude Code додає у запити API фальшиві визначення інструментів, щоб забруднити потокові дані API, які конкуренти потенційно можуть використовувати для тренування моделей.

Список бета-функцій API: файл constants/betas.ts розкриває всі бета-функції, які узгоджує Claude Code з API, зокрема вікно контексту на 1 млн токенів (context-1m-2025-08-07), AFK-режим (afk-mode-2026-01-31), керування бюджетами завдань (task-budgets-2026-03-13) та низку інших можливостей, які ще не оприлюднювалися.

Вбудована система віртуальних партнерів у стилі покемонів: у коді навіть захована цілісна система віртуальних партнерів (Buddy), що включає рідкісність видів, блискучі варіанти, процедурно згенеровані атрибути, а також “опис душі”, написаний Claude під час першого вилуплення. Типи партнерів визначаються детермінованим псевдовипадковим генератором на основі хешу user ID: один і той самий користувач завжди отримує одного й того самого партнера.

IV. Паралельна атака на ланцюг постачання

Ця подія не сталася ізольовано. У той самий часовий проміжок, коли витікнув вихідний код, пакет axios на npm зазнав незалежної атаки на ланцюг постачання.

У період з 00:21 до 03:29 UTC 31 березня 2026 року, якщо встановити або оновити Claude Code через npm, можна було ненавмисно підхопити зловмисну версію, що містить remote access trojan (RAT) (axios 1.14.1 або 0.30.4).

Anthropic радить розробникам, яких це торкнулося, вважати хости повністю скомпрометованими, ротувати всі ключі та перевстановити операційну систему.

Накладання цих двох інцидентів у часі зробило ситуацію ще більш заплутаною та небезпечною.

V. Вплив на галузь

Безпосередня шкода для Anthropic

Для компанії з річною виручкою 19 млрд доларів США, яка перебуває в фазі швидкого зростання, цей витік — це не лише халатність у сфері безпеки, а й втрата стратегічної інтелектуальної власності.

Принаймні частина можливостей Claude Code походить не від базової великої мовної моделі як такої, а від “фреймворку” програмного шару, збудованого навколо неї — він підказує моделі, як використовувати інструменти, і забезпечує важливі запобіжники та інструкції, щоб регламентувати поведінку моделі.

Ці запобіжники й інструкції тепер конкуренти бачать цілком чітко.

Попередження для всього екосередовища інструментів AI Agent

Цей витік не знищить Anthropic, але він дає всім конкурентам безкоштовний інженерний навчальний матеріал — як будувати production-рівня AI programming Agent і які напрямки інструментів варто вкладати в першу чергу.

Справжня цінність витоку полягає не в самому коді, а в продуктній дорожній карті, яку розкривають функціональні прапорці. KAIROS, механізм протидії дистиляції — це стратегічні деталі, які конкуренти вже можуть передбачити й діяти на випередження. Код можна переробити, але стратегічні сюрпризи, якщо їх розкрили, вже не повернути.

VI. Глибинні висновки для Agent Coding

Цей витік — як дзеркало, яке відображає кілька ключових тез сучасної інженерії AI Agent:

1. Межі можливостей Agent багато в чому визначаються “рівнем фреймворку”, а не самою моделлю

Оприлюднення 500 тис. рядків коду Claude Code виявило факт, який має значення для всієї галузі: той самий базовий підхід/модель, доповнений різними фреймворками оркестрації інструментів, механізмами керування пам’яттю та системами прав доступу, породжує принципово різні можливості Agent. Це означає, що “у кого модель найсильніша” вже не є єдиним виміром конкуренції — “у кого фреймворк інженерно вивіреніший” теж критично важливо.

2. Довготривала автономність — наступне поле бою

Наявність захисного процесу KAIROS показує, що наступний етап конкуренції в галузі зосередиться на тому, щоб “Agent міг безперервно та ефективно працювати навіть без нагляду”. Інтеграція пам’яті у фоні, перенесення знань між сесіями, автономне міркування у часі без активності — ці можливості, щойно дозріють, повністю змінять базову модель співпраці Agent і людини.

3. Протидія дистиляції та захист інтелектуальної власності стануть новою базовою темою AI-інженерії

Anthropic реалізував механізм протидії дистиляції на рівні коду — це натякає, що формується нова інженерна сфера: як не допустити, щоб власні AI-системи були використані конкурентами для збору навчальних даних. Це не лише технічне питання — воно перетвориться на нове поле боротьби в юридичному й комерційному вимірах.

4. Безпека ланцюга постачання — ахіллесова п’ята інструментів AI

Коли інструменти для AI-програмування поширюються самими собою через публічні менеджери пакетів на кшталт npm, вони так само, як і інші open-source компоненти, піддаються ризику атак на ланцюг постачання. А специфіка AI-інструментів у тому, що якщо зловмисники закладають бэкдор, атакувальник отримує не просто право виконувати код, а глибоке проникнення у весь робочий процес розробки.

5. Чим складніші системи, тим більше потрібні автоматизовані “запобіжники” для релізів

“Одна конфігураційна помилка в .npmignore або поле files у package.json може оголити все”. Для будь-якої команди, яка будує продукт на базі AI Agent, цей урок не вимагає такої дорогої ціни — у CI/CD-пайплайнах має стати стандартною практикою впровадження автоматизованої перевірки контенту, який випускають у реліз, а не постфактум-ремонт після того, як біда сталася.

Епілог

Сьогодні 1 квітня 2026 року — День дурня. Але це не жарт.

За 13 місяців Anthropic двічі припустився тієї самої помилки. Вихідний код уже віддзеркалено по всьому світу, а запити на видалення за DMCA не встигають за швидкістю fork. Та дорожня карта продукту, яку мали приховати у внутрішній мережі, тепер є довідником для всіх.

Для Anthropic це болісний урок.

Для всієї галузі це несподіваний момент прозорості — давайте подивимось, як саме сьогоднішні найбільш передові AI programming Agent збудовані по одній стрічці за раз.