Утечка исходного кода Claude Code, Anthropic добилась снятия по DMCA 8100 репозиториев на GitHub

Антропик 31 марта подтвердил, что из‑за ошибки в выпуске и упаковке версия npm‑пакета v2.1.88 инструмента Claude Code привела к раскрытию примерно 512 000 строк исходного кода. Впослед за этим Антропик направил в GitHub уведомление о защите авторских прав DMCA, в результате чего в общей сложности 8,100 репозиториев были принудительно запрещены к публичному доступу.

Корень утечки: поведение упаковщика Bun по умолчанию вызвало полное бескодовое раскрытие

На корень этой истории разработческое сообщество отреагировало с изумлением: упаковщик Bun по умолчанию генерирует файлы Source Map для отладки, а в целом процессе выпуска Anthropic не было ни одного шага, который бы отключал или исключал этот файл. Функция Source Map состоит в сопоставлении сжатого производственного кода с исходным кодом TypeScript; этот документ напрямую указывает на ZIP‑архив, размещенный в принадлежащем Anthropic общедоступном хранилище Cloudflare R2 — и для его получения не требуется никаких действий взлома.

После того как стажер‑исследователь Chaofan Shou из компании по блокчейн‑безопасности Fuzzland обнаружил проблему, он опубликовал на платформе X прямую ссылку на хранилище. В течение нескольких часов на GitHub появилось множество зеркальных репозиториев; некоторые из них успели набрать десятки тысяч звезд до того, как уведомление DMCA вступило в силу.

Технически, чтобы предотвратить подобное событие, достаточно добавить соответствующие записи в файл .npmignore или настроить поле files в package.json. Антропик подтвердил VentureBeat, что это «ошибка при выпуске, вызванная человеческим фактором», и заявил о принимаемых мерах, чтобы не допустить повторения.

Однако это произошло во второй раз с тем же самым типом ошибки. В феврале 2025 года у Claude Code ранней версии уже случилась почти идентичная утечка Source Map; затем Anthropic в апреле 2025 года подал первое уведомление DMCA.

Содержимое утечки: 1,900 файлов раскрыли несколько невыпущенных секретных функций, включая KAIROS

Раскрытые примерно 1,900 файлов TypeScript охватывали логику выполнения инструмента, архитектуру прав, подсистему памяти, телеметрию и переключатели функций. Члены сообщества быстро извлекли телеметрические данные, переключили скрытые переключатели функций и написали «версию для чистой комнаты», используя Python и Rust. Самые примечательные невыпущенные функции следующие:

KAIROS: постоянно работающий фоновый охранный процесс, который отслеживает файлы, регистрирует события и в периоды простоя выполняет процесс интеграции памяти под названием «Мечтание (Dreaming)»

BUDDY: функция терминального питомца с 18 видами (включая водосвинку), с такими свойствами, как DEBUGGING (отладка), PATIENCE (терпение) и CHAOS (хаос)

COORDINATOR MODE: позволяет одному агенту генерировать и управлять несколькими параллельными рабочими агентами

ULTRAPLAN: планирует удаленные совещания по планированию для нескольких агентов на 10–30 минут

Две утечки за неделю: правила выпуска Anthropic вызывают широкие сомнения

Это событие не было единичным инцидентом. Прямо за 5 дней до него, 26 марта, Anthropic из‑за ошибки в конфигурации CMS раскрыл примерно 3,000 внутренних документов, включая подробности невыпущенной модели «Claude Mythos», и также это было приписано человеческому фактору. Менее чем за неделю подряд произошли две крупные непредвиденные утечки, что вызвало у внешних наблюдателей системные сомнения в правилах выпуска у этой AI‑компании, которая широко помогает разработке и выпуску кода.

Антропик подтвердил, что в этот раз не было утечки чувствительных данных клиентов, учетных данных, весов модели или вывода из инфраструктуры рассуждений; базовая модель Claude не пострадала. Однако техническая схема для создания конкурентного продукта Claude Code теперь значительно снизила порог.

Также стоит отметить: в тот же день, с 00:21 до 03:29 по UTC, на npm параллельно произошла атака цепочки поставок в отношении пакета axios. Антропик рекомендует в этом временном окне устанавливать или обновлять зависимости для разработческой проверки Claude Code и выполнять ротацию учетных данных, а также советует в будущем в приоритетном порядке использовать официальный нативный установщик вместо npm.

Частые вопросы

Почему исходный код Claude Code можно получить полностью без действий взлома?

Файл Source Map, который по умолчанию генерирует упаковщик Bun, напрямую указывает на общедоступный ZIP‑архив в хранилище Cloudflare R2, принадлежащем Anthropic. Любому человеку достаточно открыть эту публичную ссылку, чтобы скачать полный исходный код TypeScript; весь процесс не включает никаких действий технического вторжения.

После снятия с витрины 8,100 репозиториев по DMCA исходный код уже полностью исчез?

Нет. Хотя GitHub в соответствии с уведомлением DMCA убрал соответствующие репозитории, утекший исходный код распространяется на нескольких платформах в виде архивов, зеркал и версий после рефакторинга; полностью очистить почти наверняка невозможно. Действия Anthropic по DMCA ограничили прямую пересылку, но техническая схема уже широко разошлась.

Какое реальное влияние на безопасность пользователей Claude Code оказало это событие?

Антропик подтвердил, что не было утечки пользовательских данных, учетных данных или модели. Но если разработчики в период с 31 марта с 00:21 до 03:29 по UTC устанавливали или обновляли Claude Code через npm, им следует проверить зависимости и выполнить ротацию учетных данных, потому что в тот же период на npm также произошла атака цепочки поставок на пакет axios.