Витік вихідного коду Claude Code, Anthropic зняла за DMCA 8100 репозиторіїв на GitHub

Антропік 31 березня підтвердив, що через пакувальну помилку під час релізу npm-пакет версії v2.1.88 інструмента Claude Code призвів до витоку приблизно 512 тис. рядків вихідного коду. Після цього Anthropic одразу надіслав у GitHub повідомлення про захист авторських прав DMCA; загалом 8,100 репозиторіїв було примусово заблоковано для публічного доступу.

Первинна причина витоку: налаштування Bun-пакувальника за замовчуванням спричинило повний витік безкодового злому

Корінна причина цієї події змусила розробницьку спільноту бути враженою: пакувальник Bun за замовчуванням генерує файли Source Map для налагодження, а в усьому релізному процесі Anthropic не було жодного кроку, який би вимикав або виключав цей файл. Призначення Source Map — зіставляти стиснений виробничий код із вихідним кодом TypeScript; цей файл напряму вказував на ZIP-архів, що зберігається в публічно доступному сховищі Cloudflare R2 у Anthropic — повністю без потреби у будь-яких хакерських прийомах.

Після того як проблему виявив стажер дослідницької компанії з блокчейн-безпеки Fuzzland Chaofan Shou, він опублікував у X платформі пряме посилання на бакет. Протягом кількох годин на GitHub з’явилася велика кількість дзеркальних репозиторіїв, причому частина з них ще до набрання чинності повідомлення DMCA вже назбирала десятки тисяч зірок.

Технічно цього можна було б уникнути, додавши відповідні записи до файлу .npmignore або налаштувавши поле files у package.json. Anthropic підтвердив VentureBeat, що це «помилка релізу, спричинена людським фактором», і заявив про вжиття заходів, аби запобігти повторенню.

Однак це сталося вдруге через ту саму помилку. У лютому 2025 року ранні версії Claude Code вже мали майже повністю подібний інцидент із витоком Source Map, а згодом Anthropic у квітні 2025 року подав перше повідомлення DMCA.

Що саме витекло: 1,900 файлів розкрили KAIROS та інші нерелізні “таємні” можливості

Витік приблизно 1,900 файлів TypeScript охоплював логіку виконання інструмента, архітектуру прав, систему пам’яті, телеметрію та перемикачі функцій. Члени спільноти швидко витягнули телеметрійні дані, перемкнули приховані перемикачі функцій і написали «версію з чистої кімнати» з використанням Python та Rust. Найпомітніші нерелізні функції такі:

KAIROS: фоновий процес-наглядач, що працює постійно, моніторить файли, веде запис подій і в умовах простою виконує процес інтеграції пам’яті під назвою «Dreaming (Сновидіння)»

BUDDY: функція термінального домашнього улюбленця (pet), що має 18 видів (включно з капібарами), та властивості на кшталт DEBUGGING (налагодження), PATIENCE (витримка) і CHAOS (хаос)

COORDINATOR MODE: дозволяє одному агенту генерувати та керувати кількома паралельними робочими агентами

ULTRAPLAN: планує віддалені наради для багатьох агентів тривалістю від 10 до 30 хвилин

Два витоки за тиждень: норми релізів Anthropic викликають широкі сумніви

Ця подія не була ізольованим інцидентом. За 5 днів до цього, 26 березня, Anthropic через помилку в конфігурації CMS витік близько 3,000 внутрішніх документів, зокрема деталі нерелізної моделі «Claude Mythos», і це також було приписано людському фактору. Менш ніж за тиждень сталося дві великі несподівані витоки поспіль, що змусило зовнішніх спостерігачів висунути системні сумніви щодо того, чи є в цієї AI-компанії, яка широко допомагає у розробці та релізах коду, проблеми саме в нормах релізів.

Anthropic підтвердив, що цей інцидент не стосувався витоку чутливих даних клієнтів, облікових даних (credentials), ваг моделей або базової інфраструктури для міркувань; основна модель Claude не постраждала. Водночас технічна “синя мапа” архітектури для створення конкурентного продукту Claude Code нині помітно знизила поріг.

Також слід звернути увагу: у той самий день, у проміжку UTC 00:21–03:29, на npm паралельно відбувся ланцюговий (supply chain) атак на пакет axios. Anthropic радить у цьому часовому вікні встановити або оновити залежності для розробницької перевірки Claude Code та ротаціювати credentials, а також рекомендує в майбутньому надавати перевагу офіційній нативній установці, а не npm.

Поширені запитання

Чому вихідний код Claude Code можна повністю отримати без хакерських дій?

Файл Source Map, який Bun генерує за замовчуванням, напряму вказує на публічно доступний ZIP-архів у власному Cloudflare R2 сховищі Anthropic. Будь-хто може просто відкрити це публічне посилання, щоб завантажити повний вихідний код TypeScript; увесь процес не передбачає жодних технічних атак.

Після зняття з публікації 8,100 репозиторіїв за DMCA чи зник код повністю?

Ні. Хоча GitHub відповідно до повідомлення DMCA прибрав відповідні репозиторії, витеклий вихідний код поширюється на кількох платформах у вигляді архівів, дзеркал і версій після реструктурування; повністю очистити це практично неможливо. Дії Anthropic за DMCA обмежили пряме поширення, але технічний план уже широко розійшовся.

Який реальний вплив безпеки цей інцидент має для користувачів Claude Code?

Anthropic підтвердив, що не було витоку даних користувачів, credentials або моделей. Але якщо розробники протягом 31 березня UTC 00:21–03:29 встановлювали або оновлювали Claude Code через npm, їм слід перевірити залежності та ротаціювати credentials, оскільки в той самий період на npm також відбулася supply chain атака на пакет axios.