Витік коду Claude розкрив таємні функції і плани Anthropic

Компанія Anthropic, відома як «найбезпечніша в індустрії» ШІ-лабораторія, стала жертвою власної людської помилки: 31 березня 2026 року у рутинному оновленні Claude Code опинився файл налагодження з посиланням на повний вихідний код інструменту. Як повідомляє Wall Street Journal, протягом кількох годин код був скопійований десятками тисяч разів по всьому інтернету — і Anthropic не встигла зупинити поширення. Це вже другий великий витік компанії за тиждень, і найгучніший з усіх.

Що відомо коротко

• Файл налагодження формату .map розміром 59,8 МБ потрапив у версію 2.1.88 пакету @anthropic-ai/claude-code у публічному реєстрі npm і вказував на архів із повним вихідним кодом.
• 512 000 рядків TypeScript-коду в 1 906 файлах охоплюють усю внутрішню архітектуру Claude Code — «агентний каркас», що перетворює мовну модель на повноцінний ШІ-агент.
• Репозиторій-дзеркало на GitHub набрав понад 41 500 форків за кілька годин; Anthropic оперативно надіслала DMCA-повідомлення, але код вже поширився необоротно.
• Витік розкрив 44 прихованих функції з внутрішніми перемикачами, кодові назви нових моделей і внутрішню дорожню карту продукту.
• Anthropic підтвердила інцидент: «Це була помилка пакування через людський фактор, а не порушення безпеки».

Що таке Claude Code і чому це важливо

Claude Code — це ШІ-асистент для розробників від Anthropic, що дозволяє писати, виправляти та автоматизувати код прямо в терміналі. Запущений у травні 2025 року для широкого загалу, він став одним із найпопулярніших інструментів у своєму класі: річний дохід від Claude Code перевищив 2,5 мільярда доларів, причому 80% виручки забезпечують великі корпоративні клієнти. На тлі цього успіху OpenAI, Google і xAI активно розвивають конкуруючі рішення.

Власне, те, що витекло, — не «мозок» ШІ (ваги моделі залишилися в безпеці), а саме цей «каркас»: програмний шар, що інструктує модель, як використовувати зовнішні інструменти, яких правил дотримуватися і як поводитися в різних сценаріях. Це — ноу-хау Anthropic, яке компанія роками будувала і яке конкуренти отримали безкоштовно.

Як стався витік

Причина виявилась прозаічною. Claude Code будується на основі Bun — JavaScript-інструментарію, який Anthropic придбала наприкінці 2025 року. Bun за замовчуванням генерує source map-файли під час збірки. Ще 11 березня — за 20 днів до витоку — у трекері Bun було зафіксовано баг: source map потрапляє у виробничий пакет, хоча не повинен. Баг залишився відкритим. Жоден інженер релізної команди не налаштував пакет на виключення цих файлів — і відлагоджувальний артефакт вирушив до публічного реєстру разом із готовим продуктом.

Дослідник безпеки Чаофань Шоу помітив аномалію першим і розповів про неї публічно. Протягом годин код був дзеркально скопійований, проаналізований та перенесений на мови програмування, відмінні від TypeScript. Інженер Anthropic Борис Черний прокоментував: «Помилки трапляються. Важливе не те, хто помилився, а процес, культура і інфраструктура».

Що розкрив витік

Масштаб інформації виявився значно більшим, ніж просто архітектура. Серед 44 прихованих функцій (реалізованих, але не випущених) найбільше уваги привернув KAIROS — автономний демон-агент, що продовжує роботу навіть після закриття термінала. KAIROS отримує «серцебиття»-підказки кожні кілька секунд і самостійно вирішує: чи варто зараз щось зробити — виправити помилку, оновити файл, відповісти на повідомлення — без участі користувача. Пов’язаний процес autoDream проводить «дистиляцію пам’яті» під час простою: об’єднує спостереження, усуває суперечності, перетворює гіпотези на факти.

Не менш резонансним виявився Undercover Mode — режим, що автоматично активується, коли співробітники Anthropic використовують Claude Code у зовнішніх публічних репозиторіях. Він видаляє з комітів та pull request-ів будь-які згадки про внутрішні кодові назви, Slack-канали і навіть сам факт участі ШІ. Режим не можна примусово вимкнути — це «однобічна двері». Дослідник Алекс Кім прямо назвав це проблемою: «Приховувати внутрішні кодові назви — розумно. Змушувати ШІ активно вдавати з себе людину — це вже зовсім інша річ».

Витік також підтвердив існування нової моделі з внутрішньою назвою Capybara (також відомої як Mythos) — вже на восьмій ітерації, з контекстним вікном у мільйон токенів і двома режимами швидкодії. Раніше Fortune повідомляла про Capybara після окремого витоку 3 000 внутрішніх файлів Anthropic — так само через людську помилку, за тиждень до цього інциденту.

Чому це важливо для індустрії ШІ

Витік дає конкурентам не лише технічне розуміння архітектури, а й дорожню карту продукту: чіткий перелік того, що Anthropic вже побудувала і куди рухається. Код можна переписати. Стратегічного сюрпризу не повернути.

Серед додаткових знахідок — механізм анти-дистиляції з прапором ANTI_DISTILLATION_CC: у системні промпти впроваджуються фіктивні інструменти-«приманки», щоб «отруїти» навчальні дані для будь-якого конкурента, який намагається дистилювати поведінку Claude Code у власну модель. Паралельно виявлена конкурентна атака на ланцюжок постачання: у годину витоку зловмисний пакет бібліотеки axios (версії 1.14.1 і 0.30.4) містив троян віддаленого доступу. Розробники, що оновлювали Claude Code через npm 31 березня між 00:21 і 03:29 UTC, мають перевірити свої lock-файли.

Це вже не перший випадок, коли компанія з претензією на лідерство у безпеці зіткнулася з операційними прорахунками. Відомо, що використання ШІ послаблює критичне мислення: іронічно, що найбільша компанія у сфері ШІ стала жертвою автоматизованого процесу, якому не вистачало людської уважності. Anthropic регулярно публікує нові функції Claude, але на цей раз незапланована «публікація» виявилась найбільш читаною з усіх. А питання про те, коли ШІ перевершить людський інтелект, отримало несподіваний контекст: навіть найпросунутіший ШІ-агент поки що зберігається людьми, яким властиво помилятися.

Цікаві факти

1. Витік розкрив існування функції BUDDY — повноцінної системи цифрового улюбленця-Тамагочі прямо в терміналі: 18 видів, рівні рідкісності та характеристики типу DEBUGGING, PATIENCE і CHAOS. Судячи з дати релізу 1 квітня, це, ймовірно, першоквітневий жарт — але цілком реалізований у коді. Детальне розбирання знахідок провів The Register.
2. Claude Code містить регулярний вираз для розпізнавання роздратування користувача: список із слів типу “wtf”, “horrible”, “awful” тощо — щоб агент міг скоригувати тон відповіді. Цей «детектор фрустрації» знайшов дослідник Алекс Кім у файлі userPromptKeywords.ts, про що повідомив у своєму аналізі витоку.
3. Унікальний механізм захисту інтелектуальної власності: у систему вбудований захист від «дистиляції» — конкуренти, що намагаються навчити свій ШІ на запитах до Claude Code, отримують у відповідь фіктивні інструменти-пастки. Тактику описав VentureBeat у детальному розборі.
4. Нова модель Capybara на 8-й версії все ще має відсоток помилкових тверджень 29–30% — гірше, ніж 16,7% у версії 4. Внутрішні коментарі у коді фіксують проблему «надмірного коментування» і «надмірної наполегливості», для якої розробники навіть запровадили «противагу асертивності». Про це повідомляє Fortune.

FAQ

Чи загрожує витік безпеці користувачів Claude Code? Безпосередньої загрози для більшості користувачів немає: паролі, дані клієнтів і ваги моделі не витекли. Однак розробники, що оновлювали Claude Code 31 березня між 00:21 і 03:29 UTC, мають перевірити залежності на наявність зараженої версії бібліотеки axios (1.14.1 або 0.30.4), яка містила троян.

Що Anthropic зробила після виявлення витоку? Компанія видалила скомпрометований пакет з npm, надіслала DMCA-повідомлення про видалення дзеркал на GitHub та оголосила про впровадження заходів для запобігання подібним інцидентам. Водночас більшість дзеркал залишаються онлайн на децентралізованих платформах.

Що таке source map і чому він спричинив витік? Source map — це файл налагодження, що зв’язує зкомпільований код із оригінальними вихідниками. Він необхідний розробникам під час налагодження, але не повинен потрапляти у виробничі релізи. У даному випадку конфігурація збірки не виключала цей файл, і він автоматично опублікувався разом із пакетом.

---

WOW-факт: Архів із вихідним кодом Claude Code містить рівно 187 різних дієслів для анімації «спінера» очікування — на зразок «розмірковую», «зважую», «обдумую» — і хтось в Anthropic, очевидно, дуже добре провів час, складаючи цей список. Технічний рецензент The AI Corner назвав це «найкращою знахідкою всього витоку».