#ClaudeCode500KCodeLeak

31 березня 2026 року Anthropic випадково оприлюднив понад 512 000 рядків свого власного коду TypeScript у відкритий доступ через інтернет.
Причина була не складною. Вона була операційною.
Файл .map — артефакт налагодження, який використовується для відновлення мінімізованого коду — не був виключений через .npmignore під час рутинного оновлення пакету Claude Code в npm. У виробничих середовищах source maps ніколи не відправляються. Цей — так.

Файл був доступний через посилання на бакет Cloudflare R2, вбудоване в метадані пакету. За кілька годин дослідник безпеки Чаофан Шоу ідентифікував його та поділився. Пост набрав мільйони переглядів. Тисячі розробників зробили форк репозиторію, поки не почалися заходи щодо його видалення.
До того часу, коли Anthropic видалив тисячі копій з GitHub, код уже був архівований, дзеркально скопійований і поширений у юрисдикціях, де ефективне застосування правових заходів було неможливим. На той момент локалізація вже була неможливою.
Більш важливою історією є не сам витік, а те, що він розкрив.
Опублікований код підтверджує, що Claude Code працює як CLI-орієнтований агент, створений на TypeScript, що виконується на Bun і відображається за допомогою React-Ink. Це було очікувано. Що раніше не було видно — це внутрішній рівень контролю.

Одна функція, позначена як “Режим під прикриттям” і класифікована як критична, призначена для запобігання розкриттю внутрішніх назв проектів і деталей інфраструктури під час взаємодії у відкритих середовищах. Її присутність підкреслює цілеспрямовану увагу до безпеки запитів і контрольованого розкриття. Її витік підкреслює обмеження цього контролю.
Кодова база посилається приблизно на 44 прапорці функцій, включаючи невипущений фоновий демон KAIROS та внутрішні варіанти моделі, такі як “Capybara,” що, ймовірно, відповідає версії Claude 4.6. Додаткові рядки натякають на поточну розробку нових варіантів Opus. Жодна з цієї інформації не була призначена для публічного огляду.
Більш суттєвим є сама архітектура.

Система пам’яті має трирівневий дизайн: центральний індексний файл, модулі, що завантажуються за запитом за темами, і повні транскрипти сесій, збережені для семантичного пошуку. Це відображає чіткий вибір дизайну на користь лінивого завантаження контексту, а не максимального використання активного вікна — оптимізація, яка зменшує тиск на токени і покращує масштабованість.
Рамкова структура агента використовує модель fork-join, побудовану на спадкуванні кешу KV. Підагенти отримують повний контекстуальний стан без повторних обчислень, що дозволяє ефективну паралелізацію. Це не тривіальна деталь реалізації; вона відображає місяці проектування інфраструктури, тепер ефективно задокументовані.

Відповідь Anthropic, яку надав інженер Борис Черний, пояснювала інцидент пропущеним кроком розгортання. Компанія згодом впровадила автоматизовані перевірки, включаючи верифікаційні кроки з допомогою самого Claude. Важливо, що дані клієнтів не були оприлюднені. Витік обмежувався внутрішньою архітектурою.
Проте бізнес-наслідки є значними.

Оцінюється, що Claude Code генерує приблизно 2,5 мільярда доларів щорічного повторюваного доходу, більша частина якого походить від корпоративних клієнтів. Ці клієнти не лише купують можливості — вони купують довіру до безпеки системи та її власного дизайну.
Ця довіра тепер є структурно слабкішою.

Не тому, що система зламано, а тому, що її внутрішня логіка більше не є непрозорою. Атаки легше досліджувати, коли їх структура видима. Захисні механізми легше досліджувати, коли їх умови відомі.
Таймінг посилив вплив. У той самий день з’явився окремий витік даних обсягом 4 ТБ з платформи AI-рекрутингу Mercor. Перекриття зменшило увагу, але не зменшує значущості обох подій.
Тим часом, екосистема відкритого коду реагувала миттєво.

За кілька днів з’явилися два проєкти. Один — чистий Python-реалізація, створена для відтворення функціональності без використання оригінального коду. Інший — модель-агностична адаптація, яка переносить архітектуру на кілька бекендів AI. Підходи чистого кімнати мають довгу юридичну історію, і питання про їхню інфільтрацію залишається відкритим.

Глибша проблема — не сам витік. Це крах інформаційної асиметрії.
Anthropic не просто втратила код. Вона втратила перевагу бути єдиною організацією, яка вже вирішила конкретні інженерні задачі в дизайні агентів — управління контекстом за обмежень, координація багатьох агентів і механізми контрольованого розкриття.
Ці рішення тепер відкриті.
Залишається питання, де справжня рова.

Якщо перевага полягає переважно у якості моделі, шкода обмежена. Моделі не можна зворотно інженерити з CLI-інструменту. Якщо перевага полягає у накопичених інженерних рішеннях на рівні агента, вплив є більш тривалим.
Реальність, ймовірно, поєднання обох.
Наскільки це важливо, стане ясно протягом наступних дванадцяти місяців.