Одна ошибка при упаковке обернулась публичным взглядом за кулисы одного из самых популярных инструментов для написания кода на базе ИИ. 31 марта компания Anthropic выпустила версию 2.1.88 своего npm-пакета @anthropic-ai/claude-code, включив в нее то, чего она определенно не собиралась: файл карты исходного кода размером 59,8 МБ, содержащий весь исходный код интерфейса командной строки инструмента.
Как 512 000 строк оказались на GitHub
Исследователь безопасности Chaofan Shou первым обнаружил раскрытый файл, опубликовав информацию об этом в X со ссылкой на содержимое (которая уже удалена). Оттуда код распространился стремительно. Полная кодовая база оказалась в публичном репозитории GitHub и была форкнута десятки тысяч раз в течение нескольких часов. В этот момент все было уже потеряно.
Утекший пакет содержит почти 2000 файлов TypeScript и более 512 000 строк кода. Это не мелкая оплошность. Это полный исходный код CLI, лежащий на виду у всех, кто достаточно любопытен, чтобы его изучить.
Опасность
Утекший код охватывает только CLI Claude Code, а не базовые модели ИИ. Anthropic подтвердила, что никакие конфиденциальные данные клиентов или учетные данные не были раскрыты в результате инцидента.
Anthropic быстро отреагировала официальным заявлением, переданным нескольким изданиям: "Ранее сегодня в релиз Claude Code был включен некоторый внутренний исходный код. Никакие конфиденциальные данные клиентов или учетные данные не были затронуты или раскрыты. Это была проблема упаковки релиза, вызванная человеческой ошибкой, а не нарушение безопасности. Мы внедряем меры для предотвращения повторения этого в будущем".
Что обнаружили исследователи внутри
Дело в том, что как только такой код становится публичным, люди начинают его читать. Быстро. В течение нескольких часов после утечки разработчики уже разбирали исходный код и публиковали свои находки. Одно широко распространенное наблюдение описывало "невероятно хорошо спроектированную" трехслойную систему памяти, которую код, по-видимому, называет "самовосстанавливающейся памятью". Это именно та архитектурная деталь, которую Anthropic предпочла бы сохранить в тайне.
Более широкая картина безопасности заслуживает внимания. Согласно подробному анализу от VentureBeat, аналитики безопасности уже наметили несколько путей атак, которые позволяет раскрытый код, включая риски в цепочке поставок и возможности для тайпосквоттинга, когда злоумышленники могут публиковать вредоносные пакеты, имитирующие реальные.
Claude Code CLI в действии
Время делает это более трудным для игнорирования
Это уже второе сообщение об утечке данных от Anthropic за одну неделю. Всего за несколько дней до этого отдельная утечка раскрыла существование невыпущенной модели под кодовым названием Mythos, описанной как значительный шаг вперед в возможностях. Два инцидента подряд на рынке, который становится все более конкурентным с каждым месяцем, не выглядят хорошо, независимо от того, как Anthropic их преподносит.
Справедливости ради, различие имеет значение: исходный код CLI — это не веса моделей, обучающие данные или информация о пользователях. Разработчики, использующие Claude Code, здесь напрямую не подвергаются риску. Но, как сообщает The Hacker News, аспект цепочки поставок реален. Когда исходный код широко используемого инструмента для разработчиков становится общедоступным и уже форкнут в масштабе, окно для создания убедительного поддельного пакета значительно расширяется.
Что это значит для разработчиков, использующих Claude Code
Для тех, кто активно использует Claude Code в своем рабочем процессе, непосредственный практический риск низок. Никаких API-ключей, никаких пользовательских данных, никаких внутренних данных модели. Вам следует проявлять бдительность в отношении любых неофициальных или сторонних npm-пакетов, претендующих на роль Claude Code или смежных инструментов, поскольку утекший исходный код облегчает создание убедительных подделок.
Ключевой момент здесь в том, что Anthropic подтвердила внедрение изменений в процесс упаковки для предотвращения повторения. Являются ли эти меры ретроактивными для уже форкнутых репозиториев — это уже другой вопрос. Чтобы быть в курсе последних новостей об инструментах для разработчиков на базе ИИ и о том, как подобные инциденты влияют на более широкую экосистему разработки, обязательно ознакомьтесь с дополнительными материалами:
