#ClaudeCode500KCodeLeak

31 марта 2026 года Anthropic случайно обнародовал более 512 000 строк своего проприетарного кода на TypeScript в публичный интернет.
Причина была не сложной. Всё было в операционной сфере.
Файл .map — артефакт отладки, используемый для восстановления минифицированного кода — не был исключён через .npmignore при рутинном обновлении пакета Claude Code в npm. В производственных средах исходные карты никогда не поставляются. Но в этот раз — поставлялись.

Файл был доступен через ссылку на бакет Cloudflare R2, встроенную в метаданные пакета. В течение нескольких часов исследователь безопасности Чаофан Шоу обнаружил и поделился им. Пост достиг десятков миллионов просмотров. Тысячи разработчиков сделали форк репозитория, пока не начались меры по его удалению.
К тому времени, как Anthropic удалил тысячи копий с GitHub, код уже был заархивирован, зеркалирован и распространён по юрисдикциям, где невозможно было эффективно пресечь его распространение. В этот момент уже было невозможно его локализовать.
Более важная история — не утечка сама по себе, а то, что она показала.
Обнародованный код подтверждает, что Claude Code работает как CLI-агент, созданный на TypeScript, запущенный на Bun и отображённый с помощью React-Ink. Это было ожидаемо. Что ранее было скрыто — это внутренний слой управления.

Одна из функций, обозначенная как «Режим под прикрытием» и отмеченная как критическая, предназначена для предотвращения раскрытия внутренних названий проектов и инфраструктурных деталей при взаимодействии в open-source среде. Наличие этой функции подчёркивает сознательный акцент на безопасность подсказок и контролируемое раскрытие информации. Её утечка показывает границы этого контроля.
Кодовая база ссылается примерно на 44 флага функций, включая нераскрытый фоновый демон KAIROS и внутренние варианты моделей, такие как «Capybara», предположительно соответствующие версии Claude 4.6. Дополнительные строки указывают на продолжающуюся разработку новых вариантов Opus. Ни одна из этих данных не предназначалась для публичного доступа.
Более значимым является сама архитектура.

Система памяти построена по трёхуровневой модели: центральный индексный файл, модули, связанные с конкретными темами, загружаемые по мере необходимости, и полные транскрипты сессий, сохраняемые для семантического поиска. Это отражает ясное решение в пользу ленивой загрузки контекста, а не максимизации использования активных окон — оптимизация, снижающая давление на токены и повышающая масштабируемость.
Фреймворк агента использует модель форк-джойн, основанную на наследовании кеша KV. Подагенты получают полный контекст без повторных вычислений, что позволяет эффективно параллелить процессы. Это не тривиальная деталь реализации; это результат месяцев проектирования инфраструктуры, теперь эффективно задокументированный.

Ответ Anthropic, предоставленный инженером Борисом Черным, объяснил инцидент пропущенным этапом развертывания. Компания с тех пор внедрила автоматические проверки, включая проверочные шаги с помощью самого Claude. Важно отметить, что данные клиентов не были раскрыты. Утечка ограничилась внутренней архитектурой.
Тем не менее, бизнес-импликации значительны.

Оценочно, Claude Code приносит около 2,5 миллиарда долларов ежегодной повторяющейся выручки, большая часть которой поступает от корпоративных клиентов. Эти клиенты покупают не только возможности — они покупают уверенность в границах безопасности системы и её проприетарном дизайне.
Эта уверенность теперь стала менее прочной.

Не потому, что система скомпрометирована, а потому, что её внутренняя логика больше не является скрытой. Атаки легче изучать, когда их структура видна. Защитные механизмы легче проверять, когда их условия известны.
Сроки усилили эффект. В тот же день произошла утечка данных объёмом 4 ТБ с платформы рекрутинга на базе ИИ Mercor. Перекрытие снизило внимание, но не уменьшает важность ни одного из событий.
Между тем, сообщество open-source отреагировало немедленно.

За несколько дней появились два проекта. Один — чистая реализация на Python, созданная для воспроизведения функциональности без использования оригинального кода. Другой — модель-нейтральная адаптация, которая переносит архитектуру на разные бэкенды ИИ. Подходы с чистой комнатой имеют долгую юридическую историю, и вопрос о нарушении авторских прав остаётся открытым.

Глубже лежит не сама утечка. А коллапс информационной асимметрии.
Anthropic потерял не только код. Он потерял преимущество быть единственной организацией, которая уже решила конкретные инженерные задачи в области проектирования агентов — управление контекстом под ограничениями, координацию нескольких агентов и механизмы контролируемого раскрытия.
Теперь эти решения видны.
Остаётся вопрос, где действительно находится защита.

Если преимущество заключается в качестве модели, ущерб ограничен. Модели нельзя реверс-инжинирить из CLI-инструмента. Если преимущество — в накопленных инженерных решениях на уровне агента, влияние более устойчиво.
На практике, вероятно, это сочетание обоих факторов.
Насколько это важно, станет ясно в течение следующих двенадцати месяцев.