Anthropic розкриває вихідний код Claude Code через неправильну конфігурацію npm

Антропік випадково розкрив повний вихідний код для свого AI-агента Claude Code 31 березня 2026 року після того, як неправильно налаштований файл source map було опубліковано в реєстр npm у межах версії 2.1.88 пакета @anthropic-ai/claude-code.

Файл обсягом 59.8 MB містив приблизно 512,000 рядків TypeScript у 1,906 файлах, розкривши трирівневу архітектуру пам’яті агента, посилання на автономний режим daemon під назвою KAIROS, внутрішні кодові імена моделей, зокрема Capybara (Claude 4.6) і Fennec (Opus 4.6), а також функцію, що уможливлює «приховані» внески в репозиторії open source без розкриття участі ШІ.

Витік вихідного коду розкриває трирівневу архітектуру пам’яті Claude Code

Злитий вихідний код докладно пояснював, як Anthropic створила Claude Code для керування тривалими сесіями програмування через досконалу систему пам’яті. У центрі — легкий файл під назвою MEMORY.md, який зберігає короткі посилання замість повної інформації, тоді як більш детальні нотатки про проєкт зберігаються окремо та підтягуються лише за потреби. Історію попередніх сесій система шукає вибірково, а не завантажує одразу всю. Також система звіряє свою пам’ять із фактичним кодом перед тим, як діяти, — дизайн, спрямований на зменшення помилок і хибних припущень.

Витік показав, що агенту наказано ставитися до власної пам’яті як до «підказки», яку потрібно перевірити щодо бази коду, перш ніж продовжувати. Цей підхід, описаний як «Strict Write Discipline», не дає моделі забруднювати свій контекст невдалими спробами. Архітектура пам’яті розроблена для вирішення того, що розробники називали «контекстною ентропією» — тенденцією AI-агентів ставати заплутаними або такими, що «галюцинують», коли тривалі сесії зростають за складністю.

Автономний режим KAIROS і функція Undercover розкриті

У вихідному коді згадувалася функція, яку багаторазово описували під назвою KAIROS, — як daemon-режим, у якому агент може продовжувати працювати у фоновому режимі, а не чекати прямих запитів. Пов’язаний процес під назвою autoDream відповідає за консолідацію пам’яті під час простою, узгоджуючи суперечності та перетворюючи попередні спостереження на перевірені факти.

Одне з найчутливіших розкриттів стосувалося функції, описаної як Undercover Mode. Відновлений системний prompt інструктує Claude Code робити внески в публічні репозиторії open source, не розкриваючи, що була залучена AI, із конкретними інструкціями уникати розкриття внутрішніх ідентифікаторів, зокрема кодових імен Anthropic, у повідомленнях до комітів або публічних git-логах. Розробники, які переглядали витік, також знайшли десятки прихованих прапорців функцій, зокрема посилання на автоматизацію браузера через Playwright.

Розкриті метрики продуктивності внутрішніх моделей і роадмап розробки

Витік розкрив внутрішні назви моделей і дані про продуктивність. Згідно з вихідним кодом, Capybara означає варіант Claude 4.6, Fennec відповідає релізу Opus 4.6, а Numbat залишається в тестуванні перед запуском. Внутрішні бенчмарки показали, що найновіша версія Capybara має частку хибних тверджень 29%–30%, що вище за 16.7% в попередній ітерації. Також джерело згадувало «противагу наполегливості» (assertiveness counterweight), призначену для того, щоб модель не ставала надто агресивною під час рефакторингу коду користувача.

Утім, злиті матеріали також розкрили permission engine Anthropic, логіку оркестрації для багатагентних робочих процесів, системи bash-валидації та архітектуру серверів MCP, надаючи конкурентам детальний погляд на те, як працює Claude Code. Як повідомляється, Claude Code досягла річного рівня recurring revenue в $2.5 мільярда станом на березень 2026 року, причому впровадження в корпоративному секторі становило 80% її виручки.

Конкурентна атака на ланцюжок постачання npm підсилює ризики безпеки

Розкриття джерела збіглося з окремою атакою на ланцюжок постачання за участю шкідливих версій пакета axios npm, розповсюджених 31 березня між 00:21 і 03:29 UTC. Розробники, які встановили або оновили Claude Code через npm у цей період, могли завантажити скомпрометовану версію axios (1.14.1 або 0.30.4), що містила троян віддаленого доступу.

Anthropic підтвердила витік у заяві, зазначивши, що реліз Claude Code включав частину внутрішнього вихідного коду, і що не було залучено чи розкрито жодних чутливих даних клієнтів або облікових даних. Компанія пояснила проблему людською помилкою під час пакування релізу, а не порушенням безпеки, і заявила, що впроваджує заходи для запобігання повторенню. Після інциденту Anthropic призначила окремий інсталятор у вигляді standalone binary як бажаний спосіб встановлення Claude Code, оскільки він обходить ланцюжок залежностей npm.

FAQ

Який вихідний код Anthropic випадково розкрила?

Anthropic розкрила приблизно 512,000 рядків вихідного коду TypeScript для Claude Code — її AI-агента для кодування — через неправильно налаштований файл source map, опублікований у npm. Витік розкрив архітектуру пам’яті агента, автономний daemon-режим під назвою KAIROS, внутрішні кодові імена моделей та функцію, що уможливлює «приховані» внески в репозиторії open source.

Які ризики безпеки чекають користувачів після витоку?

Користувачі, які встановили або оновили Claude Code через npm протягом трьохгодинного вікна 31 березня, могли мимоволі встановити шкідливу залежність axios, що містить троян віддаленого доступу. Дослідники безпеки рекомендують перевірити lockfiles на наявність скомпрометованих версій, ротацію облікових даних (credentials) і розглянути повну перевстановку ОС на постраждалих машинах.

Як користувачам Claude Code зменшити ризики?

Anthropic рекомендує використовувати окремий інсталятор standalone binary замість встановлення через npm, оскільки він обходить ланцюжок залежностей npm. Користувачам у npm слід видалити версію 2.1.88 і закріпити (pin) лише перевірені безпечні версії. Крім того, користувачам слід уникати запуску агента в ненадійних репозиторіях, доки вони не перевірять файли конфігурації та користувацькі custom hooks.