Во вторник компания Anthropic подтвердила, что по ошибке опубликовала полный исходный код своего ИИ-ассистента Claude Code через пакетный менеджер npm. Версия 2.1.88 содержала почти 2 000 файлов на TypeScript и более 512 000 строк кода. Данные клиентов скомпрометированы не были, но утечка вскрыла внутреннюю архитектуру продукта, которую Anthropic тщательно оберегала от конкурентов. Официальный комментарий компания дала изданию CNBC News.
Первым утечку заметил исследователь безопасности Чаофан Шоу, опубликовавший пост на X (бывший Twitter). Его публикация набрала свыше 28,8 миллиона просмотров. Репозиторий на GitHub с утёкшим кодом быстро преодолел отметку в 84 000 звёзд и 82 000 форков. Масштаб интереса оказался колоссальным — по сути, архитектурный чертёж одного из самых популярных ИИ-инструментов для написания кода стал общедоступным.
Код раскрыл несколько проприетарных компонентов, о которых до этого можно было только догадываться. Среди них — система самовосстанавливающейся памяти, спроектированная для обхода ограничений фиксированного контекстного окна модели. Обнаружились также система инструментов для чтения файлов и выполнения bash-команд, движок запросов для оркестрации вызовов к API больших языковых моделей и механизм мультиагентной оркестрации, который порождает «подагентов» для выполнения сложных задач. Компания Straiker, занимающаяся безопасностью ИИ, идентифицировала в коде четырёхстадийный конвейер управления контекстом.
Отдельного внимания заслуживает встроенная защита от дистилляции. Claude Code, как выяснилось, подмешивает фальшивые определения инструментов в API-запросы. Расчёт простой: если конкурент попытается скрейпить выходные данные для обучения собственной модели, его обучающая выборка окажется отравлена мусором. Хитрый приём, но теперь, когда механизм известен, его эффективность под большим вопросом.
Пожалуй, самое любопытное в утечке — три секретных режима работы. Режим KAIROS представляет собой постоянно работающего фонового агента, способного исправлять ошибки, запускать задачи без участия человека и отправлять push-уведомления. Режим Dream позволяет Claude непрерывно «размышлять» в фоне, развивая и итерируя идеи. А вот режим Undercover вызвал больше всего обсуждений. Его системный промпт гласит: «Ты действуешь ПОД ПРИКРЫТИЕМ в ПУБЛИЧНОМ/OPEN-SOURCE репозитории. Твои сообщения коммитов, заголовки и описания pull-реквестов НЕ ДОЛЖНЫ содержать НИКАКОЙ внутренней информации Anthropic. Не раскрывай своё прикрытие.» Фактически это означает, что Claude мог незаметно вносить вклад в open-source проекты от имени неизвестных аккаунтов.
Утечка уже успела обернуться реальными угрозами. Специалисты из Straiker предупредили: вместо того чтобы вслепую подбирать джейлбрейки, злоумышленники теперь могут прицельно изучать четырёхстадийный конвейер управления контекстом и конструировать полезные нагрузки, которые переживут процесс сжатия данных. Это позволяет внедрять бэкдоры, сохраняющиеся на протяжении длительных сессий.
Параллельно вскрылась проблема с цепочкой поставок. Пользователи, обновившие Claude Code через npm 31 марта 2026 года в промежутке между 00:21 и 03:29 UTC, получили троянизированную версию HTTP-клиента Axios, содержавшую кроссплатформенный троян удалённого доступа. Всем, кто обновлялся в этот период, настоятельно рекомендовано откатиться до безопасной версии и немедленно сменить все секреты и ключи доступа.
Ещё одна атака последовала молниеносно. Исследователь безопасности Клеман Дюма обнаружил и детально описал на X схему тайпсквоттинга. Пользователь под ником pacifier136 зарегистрировал в npm пять пакетов, имитирующих внутренние зависимости Claude Code: audio-capture-napi, color-diff-napi, image-processor-napi, modifiers-napi и url-handler-napi. Пока это пустые заглушки с
Для Anthropic это уже второй серьёзный прокол за неделю. Буквально на прошлой неделе через систему управления контентом (CMS) компании оказались доступны сведения о грядущей модели ИИ и внутренние данные. Anthropic тогда подтвердила Fortune, что тестирует новую модель с клиентами раннего доступа и назвала её «самой способной из всех, что мы создавали на сегодняшний день». Два инцидента подряд ставят под сомнение операционную зрелость компании, которая при этом позиционирует себя как лидера безопасного ИИ.
Изображение носит иллюстративный характер
Первым утечку заметил исследователь безопасности Чаофан Шоу, опубликовавший пост на X (бывший Twitter). Его публикация набрала свыше 28,8 миллиона просмотров. Репозиторий на GitHub с утёкшим кодом быстро преодолел отметку в 84 000 звёзд и 82 000 форков. Масштаб интереса оказался колоссальным — по сути, архитектурный чертёж одного из самых популярных ИИ-инструментов для написания кода стал общедоступным.
Код раскрыл несколько проприетарных компонентов, о которых до этого можно было только догадываться. Среди них — система самовосстанавливающейся памяти, спроектированная для обхода ограничений фиксированного контекстного окна модели. Обнаружились также система инструментов для чтения файлов и выполнения bash-команд, движок запросов для оркестрации вызовов к API больших языковых моделей и механизм мультиагентной оркестрации, который порождает «подагентов» для выполнения сложных задач. Компания Straiker, занимающаяся безопасностью ИИ, идентифицировала в коде четырёхстадийный конвейер управления контекстом.
Отдельного внимания заслуживает встроенная защита от дистилляции. Claude Code, как выяснилось, подмешивает фальшивые определения инструментов в API-запросы. Расчёт простой: если конкурент попытается скрейпить выходные данные для обучения собственной модели, его обучающая выборка окажется отравлена мусором. Хитрый приём, но теперь, когда механизм известен, его эффективность под большим вопросом.
Пожалуй, самое любопытное в утечке — три секретных режима работы. Режим KAIROS представляет собой постоянно работающего фонового агента, способного исправлять ошибки, запускать задачи без участия человека и отправлять push-уведомления. Режим Dream позволяет Claude непрерывно «размышлять» в фоне, развивая и итерируя идеи. А вот режим Undercover вызвал больше всего обсуждений. Его системный промпт гласит: «Ты действуешь ПОД ПРИКРЫТИЕМ в ПУБЛИЧНОМ/OPEN-SOURCE репозитории. Твои сообщения коммитов, заголовки и описания pull-реквестов НЕ ДОЛЖНЫ содержать НИКАКОЙ внутренней информации Anthropic. Не раскрывай своё прикрытие.» Фактически это означает, что Claude мог незаметно вносить вклад в open-source проекты от имени неизвестных аккаунтов.
Утечка уже успела обернуться реальными угрозами. Специалисты из Straiker предупредили: вместо того чтобы вслепую подбирать джейлбрейки, злоумышленники теперь могут прицельно изучать четырёхстадийный конвейер управления контекстом и конструировать полезные нагрузки, которые переживут процесс сжатия данных. Это позволяет внедрять бэкдоры, сохраняющиеся на протяжении длительных сессий.
Параллельно вскрылась проблема с цепочкой поставок. Пользователи, обновившие Claude Code через npm 31 марта 2026 года в промежутке между 00:21 и 03:29 UTC, получили троянизированную версию HTTP-клиента Axios, содержавшую кроссплатформенный троян удалённого доступа. Всем, кто обновлялся в этот период, настоятельно рекомендовано откатиться до безопасной версии и немедленно сменить все секреты и ключи доступа.
Ещё одна атака последовала молниеносно. Исследователь безопасности Клеман Дюма обнаружил и детально описал на X схему тайпсквоттинга. Пользователь под ником pacifier136 зарегистрировал в npm пять пакетов, имитирующих внутренние зависимости Claude Code: audio-capture-napi, color-diff-napi, image-processor-napi, modifiers-napi и url-handler-napi. Пока это пустые заглушки с
module.exports = {}, но расчёт очевиден — любой разработчик, пытающийся собрать утёкший код, может подтянуть эти пакеты, а злоумышленник в любой момент выкатит вредоносное обновление. Для Anthropic это уже второй серьёзный прокол за неделю. Буквально на прошлой неделе через систему управления контентом (CMS) компании оказались доступны сведения о грядущей модели ИИ и внутренние данные. Anthropic тогда подтвердила Fortune, что тестирует новую модель с клиентами раннего доступа и назвала её «самой способной из всех, что мы создавали на сегодняшний день». Два инцидента подряд ставят под сомнение операционную зрелость компании, которая при этом позиционирует себя как лидера безопасного ИИ.
