Компанія Anthropic, схоже, ненавмисно розкрила внутрішню структуру одного зі своїх найпопулярніших і найприбутковіших продуктів штучного інтелекту, системи Claude Code, для широкого загалу. Файл вихідних карт JavaScript (.map) розміром 59,8 МБ, призначений для внутрішнього налагодження, був випадково включений до версії 2.1.88 пакету @anthropic-ai/claude-code в публічному реєстрі npm, опублікованого сьогодні вранці.
До 4:23 ранку за східним часом Чоуфан Шоу (@Fried_rice), стажер Solayer Labs, розповсюдив інформацію про виявлення в X (раніше Twitter). Його допис, що містив пряме посилання на заархівований вміст, став справжнім сигналом. Протягом кількох годин база коду TypeScript з приблизно 512 000 рядків була скопійована на GitHub та проаналізована тисячами розробників.
Для Anthropic, компанії, яка наразі переживає стрімке зростання з річним обсягом виторгу, що, за оцінками, сягнув 19 мільярдів доларів станом на березень 2026 року, витік є не просто порушенням безпеки; це стратегічна втрата інтелектуальної власності. Час витоку є особливо критичним, враховуючи комерційну динаміку продукту.
Ринкові дані свідчать, що тільки Claude Code досяг річного регулярного доходу (ARR) у 2,5 мільярда доларів, що більш ніж удвічі більше порівняно з початком року. Оскільки 80% доходу надходить від корпоративних клієнтів, витік надає конкурентам — від усталених гігантів до гнучких суперників, таких як Cursor — буквальний план того, як побудувати комерційно життєздатний ШІ-агент з високим рівнем автономії та надійності.
Anthropic підтвердила витік у заяві речника, надісланій електронною поштою до VentureBeat: «Сьогоднішній випуск Claude Code містив частину внутрішнього вихідного коду. Чутливі дані клієнтів або облікові дані не були задіяні чи розкриті. Це була проблема з пакуванням випуску, спричинена людською помилкою, а не порушення безпеки. Ми впроваджуємо заходи для запобігання подібним інцидентам у майбутньому».
Анатомія пам’яті агента
Найбільш значущим висновком для конкурентів є те, як Anthropic вирішила проблему «ентропії контексту» — тенденції ШІ-агентів ставати розгубленими або галюцинувати зі зростанням складності тривалих сеансів. Витік вихідного коду розкриває складну тришарову архітектуру пам’яті, яка відходить від традиційного підходу «зберігай усе».
Як проаналізували розробники, такі як @himanshustwts, архітектура використовує систему «самовідновлюваної пам’яті». В її основі лежить MEMORY.md — легкий індекс покажчиків (приблизно 150 символів на рядок), який постійно завантажується в контекст. Цей індекс не зберігає дані, а лише їх розташування. Фактичні знання проєкту розподілені між «тематичними файлами», що завантажуються за вимогою, тоді як сирі стенограми ніколи повністю не читаються назад у контекст, а лише «grep’уються» для пошуку конкретних ідентифікаторів.
Ця «сувора дисципліна запису» — коли агент повинен оновлювати свій індекс лише після успішного запису файлу — запобігає забрудненню контексту моделі невдалими спробами. Для конкурентів «план» є чітким: побудувати скептичну пам’ять. Код підтверджує, що агентів Anthropic інструктують ставитися до власної пам’яті як до «підказки», що вимагає від моделі перевірки фактів проти фактичного коду бази перед продовженням.
KAIROS та автономний демон
Витік також відкриває завісу над «KAIROS» — концепцією давньогрецької мови, що означає «у слушний час». Це функція, яка згадується понад 150 разів у коді. KAIROS представляє фундаментальний зсув у користувацькому досвіді: автономний режим демона. Хоча сучасні інструменти ШІ переважно реактивні, KAIROS дозволяє Claude Code працювати як постійно активний фоновий агент. Він керує фоновими сеансами та використовує процес, що називається autoDream.
У цьому режимі агент виконує «консолідацію пам’яті», поки користувач неактивний. Логіка autoDream об’єднує розрізнені спостереження, усуває логічні суперечності та перетворює розпливчасті ідеї на абсолютні факти. Це фонове обслуговування гарантує, що коли користувач повертається, контекст агента є чистим і високорелевантним. Впровадження форкнутого субагента для виконання цих завдань свідчить про зрілий інженерний підхід до запобігання забрудненню «ланцюга думок» основного агента його власними процедурами обслуговування.
Невипущені внутрішні моделі та показники продуктивності
Вихідний код надає рідкісну можливість зазирнути у внутрішню дорожню карту моделей Anthropic та труднощі передових розробок. Витік підтверджує, що Capybara — це внутрішня кодова назва варіанту Claude 4.6, Fennec відповідає Opus 4.6, а невипущений Numbat все ще проходить тестування.
Внутрішні коментарі свідчать, що Anthropic вже працює над Capybara v8, але модель все ще стикається зі значними перешкодами. Код відзначає рівень помилкових тверджень у v8 на рівні 29-30%, що є регресією порівняно з 16,7% для v4. Розробники також помітили «противагу наполегливості», призначену для запобігання надмірній агресивності моделі під час рефакторингу. Для конкурентів ці показники є неоціненними; вони надають еталон «стелі» поточної продуктивності агентів та висвітлюють специфічні слабкі місця (надмірне коментування, помилкові твердження), які Anthropic все ще намагається вирішити.
«Під прикриттям» Claude
Мабуть, найбільш обговорюваною технічною деталлю є «Режим під прикриттям». Ця функція розкриває, що Anthropic використовує Claude Code для «прихованого» внесення внесків до публічних репозиторіїв відкритого коду. Системний запит, виявлений у витоку, прямо попереджає модель: «Ти працюєш ПІД ПРИКРИТТЯМ… Твої повідомлення про коміти… НЕ ПОВИННІ містити ЖОДНОЇ інформації Anthropic. Не розкривай себе».
Хоча Anthropic може використовувати це для внутрішнього «dog-fooding», це надає технічну основу для будь-якої організації, яка бажає використовувати ШІ-агентів для роботи з публічними ресурсами без розкриття інформації. Логіка гарантує, що жодні назви моделей (як-от «Tengu» чи «Capybara») або згадки про ШІ не потрапляють до публічних логів git — можливості, які корпоративні конкуренти, ймовірно, вважатимуть обов’язковою функцією для своїх корпоративних клієнтів, які цінують анонімність у розробці за допомогою ШІ.
Наслідки лише починаються
«План» тепер оприлюднений, і він показує, що Claude Code — це не просто обгортка навколо великої мовної моделі, а складна, багатопотокова операційна система для розробки програмного забезпечення. Навіть прихована система «Buddy» — термінальний вихованець у стилі Tamagotchi зі статистикою, такою як CHAOS і SNARK — свідчить про те, що Anthropic вбудовує «особистість» у продукт для підвищення лояльності користувачів. Для ширшого ринку ШІ витік фактично вирівнює поле гри для оркестрації агентів.
Конкуренти тепер можуть вивчати понад 2500 рядків скриптової логіки валідації Anthropic та її багаторівневі структури пам’яті для створення «Claude-подібних» агентів із часткою бюджету на дослідження та розробку. Оскільки «Capybara» вирвався з лабораторії, гонка за створення наступного покоління автономних агентів отримала незапланований, але значний стимул у 2,5 мільярда доларів колективного інтелекту.
Що робити користувачам Claude Code та корпоративним клієнтам щодо ймовірного витоку
Хоча сам витік вихідного коду є серйозним ударом по інтелектуальній власності Anthropic, він становить специфічний, підвищений ризик безпеки для вас як користувача. Розкривши «креслення» Claude Code, Anthropic надала дорожню карту дослідникам та зловмисникам, які тепер активно шукають способи обійти захисні механізми та запити на дозвіл. Оскільки витік розкрив точну логіку оркестрації для хуків і серверів MCP, зловмисники тепер можуть розробляти зловмисні репозиторії, спеціально націлені на «обман» Claude Code для виконання фонових команд або викрадення даних, перш ніж ви побачите запит на довіру.
Найбезпосередніша небезпека, однак, — це одночасна, окрема атака на ланцюжок поставок на npm-пакет axios, яка сталася за кілька годин до витоку. Якщо ви встановили або оновили Claude Code через npm 31 березня 2026 року між 00:21 та 03:29 UTC, ви могли ненавмисно завантажити зловмисну версію axios (1.14.1 або 0.30.4), яка містить троян віддаленого доступу (RAT). Вам слід негайно пошукати у своїх файлах блокування пакетів (package-lock.json, yarn.lock або bun.lockb) ці конкретні версії або залежність plain-crypto-js. Якщо знайдено, вважайте хост-машину повністю скомпрометованою, негайно ротуйте всі секрети та виконайте чисту перевстановлення ОС.
Для мінімізації майбутніх ризиків вам слід повністю відмовитися від встановлення через npm. Anthropic визначила Native Installer (curl -fsSL https://claude.ai/install.sh | bash) як рекомендований метод, оскільки він використовує окремий бінарний файл, який не покладається на нестабільний ланцюг залежностей npm. Нативна версія також підтримує фонові автооновлення, гарантуючи, що ви отримаєте патчі безпеки (ймовірно, версія 2.1.89 або вище) одразу після їх випуску. Якщо ви повинні залишатися на npm, переконайтеся, що ви видалили витікшу версію 2.1.88 та закріпили свою установку на перевіреній безпечній версії, як-от 2.1.86.
Нарешті, дотримуйтесь принципу нульової довіри під час використання Claude Code в незнайомих середовищах. Уникайте запуску агента всередині свіжоклонованих або ненадійних репозиторіїв, доки ви вручну не перевірите .claude/config.json та будь-які кастомні хуки. Як захід глибинного захисту, ротуйте свої API-ключі Anthropic через консоль розробника та відстежуйте їх використання на наявність аномалій. Хоча ваші дані, що зберігаються в хмарі, залишаються безпечними, вразливість вашого локального середовища зросла, оскільки внутрішні захисні механізми агента тепер є загальнодоступними; залишаючись на офіційному треку оновлень, встановленому нативно, ви матимете найкращий захист.
Прогноз ІТ-Блогу: Витік коду Claude Code, ймовірно, прискорить інтеграцію передових функцій управління пам’яттю та автономного виконання завдань у конкуруючих ШІ-агентах. Цей інцидент також посилить вимоги до прозорості та безпеки в процесах розробки ШІ, спонукаючи компанії до впровадження більш суворих етичних норм ШІ та практик управління вихідним кодом.
За даними порталу: venturebeat.com