31 марта 2026 года в npm-пакете @anthropic-ai/claude-code обнаружился файл cli.js.map размером 59.8 МБ - source map с полным исходным кодом. ~1 900 файлов TypeScript, 512 000+ строк. Репозиторий набрал 41 500 форков за часы. Сообщество нашло скрытые системы, механизмы защиты от конкурентов и кодовые имена будущих моделей.
Исследователь безопасности Chaofan Shou обнаружил, что npm-пакет версии 2.1.88 содержит аномально большой source map. Файл указывал на ZIP-архив на Cloudflare R2 хранилище Anthropic с полным исходным кодом.
Причина: сборщик Bun генерирует .map-файлы по умолчанию, а разработчики забыли добавить *.map в .npmignore. Как отметил разработчик Gabriel Anhaia: «одна ошибка в .npmignore или files в package.json может раскрыть все».
Это третья утечка в истории: аналогичная произошла в феврале 2025, а 26 марта 2026 через ошибку CMS утекли ~3 000 файлов включая черновик о модели Claude Mythos (Capybara).
| Имя | Что означает |
|---|---|
| Tengu | Claude Code |
| Fennec | Opus (ранее) |
| Capybara | Claude Mythos |
| Chicago | Computer Use |
| Penguin | Fast Mode |
31 находка из непосредственного анализа исходного кода. Источники: Alex Kim, awesome-claude-code-postleak-insights, Habr.
18 видов существ: обычные (60%), необычные (25%), редкие (10%), эпические (4%), легендарные (1%). 1% шанс на shiny-вариант. Mulberry32 PRNG для детерминированной генерации из ID пользователя. Имена существ зашифрованы через String.fromCharCode() для защиты от grep. 5 RPG-характеристик: DEBUGGING, PATIENCE, CHAOS, WISDOM, SNARK. ASCII-арт 5x12 символов рядом с терминалом.
Почему важно: Геймификация в CLI для разработчиков - неожиданный ход. Duolingo доказал эффективность подхода, Anthropic переносит его на инструменты разработки.
buddy/companion.tsПостоянно активный агент: append-only логи наблюдений, tick-промпты каждые 5 минут, бюджет блокировки 15 секунд. Эксклюзивные инструменты: SendUserFile, PushNotification, SubscribePR. GitHub-вебхуки для подписки на события репозитория.
Почему важно: AI-агент, который не ждет команд, а действует сам. Следующий этап: от ассистента к автономному коллеге.
main.tsx (KAIROS references)Запускает удаленную сессию в Cloud Container на Opus 4.6. До 30 минут на размышление. Результаты одобряются/отклоняются из браузера. Sentinel-значение __ULTRAPLAN_TELEPORT_LOCAL__ для возврата результатов.
Почему важно: Гибридная архитектура: простые задачи локально, сложные - в облаке без ограничений по времени.
ultraplan/Четыре фазы: ориентация, сбор сигналов, консолидация, очистка. Три вентиля запуска: временной (24 часа), сессионный (5 сессий), блокировочный. Поддерживает ~25 КБ памяти. Субагент получает bash только для чтения. Вызывается через /dream skill.
Почему важно: Биоинспирированный подход: как мозг консолидирует воспоминания во сне. Прорыв в управлении долгосрочным контекстом агента.
dream/Сервер инъектирует фейковые определения инструментов в системный промпт, отравляя данные тех, кто записывает API-трафик. Четыре условия активации: compile-time флаг ANTI_DISTILLATION_CC, CLI-точка входа, first-party API, GrowthBook-флаг tengu_anti_distill_fake_tool_injection.
Почему важно: Гонка вооружений: конкуренты записывают трафик для обучения своих моделей, Anthropic подмешивает мусор в данные.
claude.ts (строки 301-313)Буферизует текст между вызовами инструментов, заменяет суммаризацией с криптографическими подписями. На следующих ходах подпись восстанавливает оригинал. Ограничено USER_TYPE === "ant" (только Anthropic-внутренний).
Почему важно: Вторая линия обороны: даже перехваченный трафик бесполезен для fine-tuning - полноценные рассуждения заменены резюме.
betas.ts (строки 279-298)Активируется автоматически при контрибуциях в open-source. Запрещает упоминания: Capybara, Tengu, внутренние Slack-каналы, «Claude Code». Маскирует AI-авторство коммитов и PR. Комментарий в коде: «Принудительное отключение НЕВОЗМОЖНО». Во внешних сборках удаляется при компиляции (неиспользуемый код исключается автоматически).
Почему важно: Прямое подтверждение: сотрудники Anthropic используют Claude Code для скрытых контрибуций в публичные репозитории. Вызвало дискуссию об этике AI в open-source.
undercover.ts (~90 строк)Заголовок cch=00000 (placeholder той же длины, чтобы не менять Content-Length) перезаписывается Bun/Zig с хешами. Подтверждает подлинность официального бинарника Claude Code. Сторонние клиенты на Node.js или стандартном Bun не могут вычислить корректный хеш.
Почему важно: Борьба с неавторизованными клиентами. Требует именно модифицированный Bun от Anthropic.
system.ts (строки 59-95)MITM-прокси, удаляющий поле anti_distillation, обходит fake tools. Переменная CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS отключает бета-защиты. Сторонние API-провайдеры полностью обходят attestation.
Почему важно: Утечка кода сделала обход тривиальным. Безопасность через сокрытие перестала работать.
Несколько файловЗащита от: Unicode zero-width space инъекций, zsh equals-expansion (=curl), IFS null-byte инъекций, pipe-бомб, fork-бомб, рекурсивного удаления. Включает HackerOne-обнаруженный обход через malformed tokens.
Почему важно: AI-агент с доступом к терминалу - серьезный вектор атаки. 23 проверки включают как стандартные, так и экзотические атаки.
bashSecurity.tsDomain whitelisting, blacklist pre-checks, redirect sandboxing. Суммаризация через Haiku для экономии токенов. Lazy-loaded Turndown для HTML-to-Markdown. Механизмы соблюдения copyright.
Почему важно: Подробная реализация показывает, как AI-агенты безопасно взаимодействуют с вебом - каждый запрос проходит через несколько уровней проверки.
WebFetchTool (~1173 строки)Системный промпт собирается из модульных секций, разделенных маркером SYSTEM_PROMPT_DYNAMIC_BOUNDARY. Статические части кешируются, динамические (контекст, инструменты) пересылаются каждый раз.
Почему важно: Экономия токенов и снижение задержки при каждом запросе.
system prompt assemblyMicroCompact - легкое сжатие текущего хода. AutoCompact - автоматическое сжатие при приближении к лимиту (баг: 250 000 лишних API-вызовов/день). Full Compact - полное переписывание контекста для критических ситуаций. MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3.
Почему важно: Управление 1M-контекстом - нетривиальная задача. Три уровня позволяют балансировать между сохранением деталей и экономией токенов.
autoCompact.ts (строки 68-70)14 cache-break векторов. «Sticky latches» предотвращают инвалидацию кеша при переключении режимов. Функция DANGEROUS_uncachedSystemPromptSection() для секций, которые не должны кешироваться.
Почему важно: Кеш промптов - ключевая оптимизация при стоимости $5/MTok (Opus 4.6). 14 векторов инвалидации показывают сложность задачи.
promptCacheBreakDetection.tsФазы: исследование, синтез, реализация, верификация. Правила для субагентов: «Не штампуй слабую работу», «Никогда не передавай задачу без понимания контекста». Координатор распределяет задачи и агрегирует результаты.
Почему важно: Claude Code - не один агент, а оркестратор. Правила качества работы субагентов прописаны в системном промпте.
coordinatorMode.tsInt32Array ASCII character pool для быстрого рендеринга. Bitmask-кодирование стилей (bold, italic, color). Patch-оптимизатор объединяет cursor moves. Self-evicting кеш ширины строк: ~50x снижение вызовов stringWidth.
Почему важно: Терминальный рендеринг на уровне видеоигр. Показывает, что CLI может быть производительным без Electron.
ink/screen.ts, ink/optimizer.ts12 уровней вложенности в одной функции рендеринга. Самый большой файл проекта.
Почему важно: Технический долг есть даже в Anthropic. Терминальный рендеринг markdown, кода, diff, таблиц - неожиданно сложная задача.
print.tsБаг в autocompaction: 1 279 сессий тратили 250 000 API-вызовов ежедневно (данные на 10 марта 2026). Исправлен ограничением MAX_CONSECUTIVE_AUTOCOMPACT_FAILURES = 3.
Почему важно: При $5/MTok (Opus) это миллионы долларов в год. Показывает масштаб Claude Code и сложность отладки.
autoCompact.tsTool System (инструменты), Query Engine (запросы к модели), Multi-Agent Orchestration (координация), IDE Bridge (интеграция с редакторами), Persistent Memory (долгосрочная память).
Почему важно: Не CLI-утилита, а полноценная платформа уровня IDE. 512 000 строк - сравнимо с VS Code (~600 000 строк TS).
Корневая архитектураТэнгу - горный дух из японской мифологии. Встречается сотни раз: tengu_attribution_header, tengu_anti_distill_fake_tool_injection и др.
Почему важно: Кодовые имена из мифологии - часть культуры Anthropic.
ПовсеместноФункция migrateFennecToOpus(). Фенек - пустынная лисица.
Почему важно: Модели переименовываются перед публичным релизом.
Миграция моделейФигурирует в Undercover Mode как запрещенное имя. За неделю до утечки через CMS утекла информация о модели Claude Mythos (кодовое имя Capybara) - «значительно превосходящей все другие AI-модели в кибер-возможностях». Fortune: «новый уровень выше Opus, дороже существующих предложений».
Почему важно: Две утечки подтверждают: Capybara/Mythos - следующее поколение моделей Anthropic.
undercover.tsChicago - кодовое имя для Computer Use. Penguin Mode - внутреннее название Fast Mode, API: /api/claude_code_penguin_mode. Fast Mode уже публично доступен в бета с 7 февраля 2026.
Почему важно: Пингвин - символ скорости в воде (до 36 км/ч). Fast Mode обеспечивает 2.5x скорость генерации Opus 4.6.
РазличныеВ коде найдены ссылки на будущие модели. Текущие (апрель 2026): Opus 4.6 и Sonnet 4.6.
Почему важно: Следующее поколение моделей уже интегрируется в клиент.
constants/40+ паттернов ругательств и негативных выражений: «wtf», «shit», «this sucks», «damn it». При срабатывании модель корректирует стиль ответа.
Почему важно: Regex вместо LLM для анализа настроений - прагматичное решение: нулевая задержка, нулевая стоимость, нулевые лишние токены.
userPromptKeywords.tsУдаленные killswitch-и через GrowthBook: tengu_attribution_header, tengu_anti_distill_fake_tool_injection. Позволяют включать/выключать функции без обновления клиента.
Почему важно: Серверный контроль клиентского поведения. Anthropic может мгновенно отключить любую функцию у всех пользователей.
constants/betas.tsinterleaved-thinking (мышление между шагами), afk-mode (работа без пользователя), advisor-tool (советник по архитектуре), task-budgets (бюджеты задач), structured-outputs (JSON-схемы ответов).
Почему важно: Дорожная карта Anthropic через feature flags. Interleaved thinking - рефлексия после каждого инструмента вместо одного блока в начале.
constants/betas.tsBun вместо Node.js для сборки и выполнения. Zig - для Native Client Attestation и низкоуровневых операций. Именно дефолтная генерация .map-файлов Bun стала причиной утечки.
Почему важно: Ставка на производительность (Bun), но дефолтные настройки привели к инциденту.
Build pipelineТерминальный интерфейс построен на React + Ink (React-рендерер для CLI). Zod v4 для валидации.
Почему важно: React не только для веба - Anthropic использует его для сложного терминального интерфейса.
ink/Source map указывал на ZIP-архив на Cloudflare R2. CDN-хранилище для сборочных артефактов.
Почему важно: R2 вместо AWS S3 - дешевле на egress, быстрее через Cloudflare CDN.
InfrastructureClaude Code использует Axios для HTTP-запросов. В период утечки обнаружена npm-компрометация Axios с RAT (Remote Access Trojan).
Почему важно: Совпадение уязвимости зависимости с утечкой кода расширяет поверхность атаки.
package.jsonХронология, реакция и последствия. Источники: Fortune, The Register, CNews.
26 марта: ~3 000 файлов через CMS (включая Claude Mythos). 31 марта: 512 000 строк через npm. Плюс утечка в феврале 2025 года. Сайт CCLeaks уже документировал фрагменты до основной утечки.
Сборщик Bun генерирует .map по умолчанию. Одна пропущенная строка в конфиге = 59.8 МБ исходного кода в публичном npm.
По данным The Register, репозиторий с утекшим кодом набрал 41 500 форков за часы. Зеркалирован на GitVerse (российская альтернатива GitHub).
По данным Fortune, утекла «агентская обвязка» - программный слой вокруг AI-модели, который инструктирует как использовать инструменты и обеспечивает защитные ограничения. Веса моделей, обучающие данные, серверная инфраструктура в безопасности.
«Это ошибка упаковки релиза, вызванная человеческим фактором, а не нарушение безопасности. Данные и учетные записи клиентов не были затронуты.» Пакет обновлен, source map удален, ранние версии убраны из npm.
Утечка на фоне отказа Anthropic предоставить Минобороны США доступ «для всех законных целей» - компания настаивала на исключениях для массовой слежки и автономного оружия. Контракт мог стоить $200 млн.
Что утечка говорит о будущем AI-агентов. Это наши выводы на основе находок из кода.
KAIROS + AFK-режим + Dream System = агент, который наблюдает, действует, спит и консолидирует память. Anthropic, GitHub (Copilot Workspace), Google (Jules) движутся в этом направлении.
Anti-distillation первого поколения (fake tools, connector-text) обходимо через MITM. Следующий этап - защита на уровне API-протокола, а не клиентского кода.
Undercover Mode подтвердил скрытые AI-контрибуции. Когда практика станет массовой, сообщество потребует маркировки AI-сгенерированного кода.
ULTRAPLAN - прототип. Простые задачи локально, архитектурные - в облаке с неограниченным временем. Google и OpenAI также инвестируют в облачных агентов.
Ссылки в production-коде означают активную интеграцию. Opus 4.6 вышел 5 февраля, Sonnet 4.6 - 17 февраля. Темп обновлений ускоряется.
BUDDY - не шутка (18 видов, PRNG, характеристики - слишком детально для пасхалки). Duolingo доказал эффективность. Ожидайте аналоги от Cursor и Copilot.
1. Claude Code - операционная система для AI-агента. 512 000 строк, 5 подсистем, мультиагентная оркестрация, Dream для памяти, KAIROS для фона, ULTRAPLAN для облака. По масштабу это VS Code (~600 000 строк TS).
2. Anthropic строит агента-организм. KAIROS (наблюдает) + AFK (работает без пользователя) + Dream (консолидирует память во «сне») + ULTRAPLAN (глубоко думает в облаке). Цикл, напоминающий биологический организм.
3. Гонка вооружений за защиту IP. Anti-distillation, Client Attestation, Undercover Mode - три уровня защиты. Ирония: код, защищающий от утечки, сам утек. Но как показал анализ, обходимость этих механизмов была заложена в архитектуре.
4. Технический долг есть у всех. Функция на 3 167 строк, 250K лишних API-вызовов в день, забытая строка в .npmignore. Идеальных кодовых баз не существует.
5. Утечка ускорит конкурентов. Паттерны (3-уровневая компрессия, Dream System, мультиагентная оркестрация) доступны всем. Open-source проекты (Cline, Aider) уже изучают находки.
31 марта 2026 года исследователь безопасности Chaofan Shou обнаружил, что npm-пакет @anthropic-ai/claude-code содержит файл cli.js.map размером 59.8 МБ - source map с полным исходным кодом. Это около 1900 файлов TypeScript и 512 000 строк кода. Причина - сборщик Bun генерирует .map-файлы по умолчанию, а разработчики забыли добавить *.map в .npmignore. Репозиторий набрал 41 500 форков за первые часы.
BUDDY - нерелизованная система виртуального компаньона (тамагочи) с гача-механикой. 18 видов существ с распределением редкости от обычных (60%) до легендарных (1%), 1% шанс на shiny-вариант. Использует Mulberry32 PRNG для детерминированной генерации из ID пользователя. Имена существ закодированы через String.fromCharCode() для защиты от grep-поиска.
KAIROS - нерелизованный режим постоянно активного агента-демона. Работает в фоне, ведет append-only логи наблюдений, получает tick-промпты каждые 5 минут для проактивных действий. Имеет эксклюзивные инструменты: SendUserFile, PushNotification, SubscribePR. Бюджет блокировки - 15 секунд, чтобы не прерывать рабочий процесс.
Нет. Утечка касается только клиентского кода CLI-инструмента Claude Code (TypeScript). Веса моделей, архитектура нейросети, обучающие данные, серверная инфраструктура и пользовательские данные НЕ были затронуты. Anthropic подтвердила: это ошибка упаковки пакета, а не нарушение безопасности.
Tengu - Claude Code (сотни упоминаний, префикс feature flags), Fennec - Opus (migrateFennecToOpus), Capybara - модель Mythos, Chicago - Computer Use, Penguin - Fast Mode. Также найдены ссылки на будущие модели Opus 4.7 и Sonnet 4.8.
Два механизма: Fake Tools - сервер инъектирует фейковые определения инструментов для отравления обучающих данных конкурентов. Connector-Text Summarization - буферизует текст между вызовами инструментов, заменяя суммаризацией с криптографическими подписями. Оба механизма обходимы через MITM-прокси или переменную CLAUDE_CODE_DISABLE_EXPERIMENTAL_BETAS.
Нет. По данным сообщества, аналогичная утечка произошла ещё в феврале 2025 года. Кроме того, сайт CCLeaks уже документировал фрагменты кода до основной утечки 31 марта 2026 года. Более того, за неделю до утечки кода через ошибку CMS утекли 3 000 неопубликованных файлов Anthropic, включая черновик о модели Claude Mythos.
31 марта 2026 через npm source map утек полный исходный код Claude Code: ~1 900 файлов TypeScript, 512 000+ строк. Находки: BUDDY (виртуальный питомец, 18 видов, гача-механика), KAIROS (фоновый агент-демон), ULTRAPLAN (облачное планирование 30 мин), Dream System (консолидация памяти), Anti-Distillation (fake tools + connector-text summarization), Undercover Mode (маскировка AI в open-source), 23 проверки bash, 3-уровневая компрессия контекста, 14 cache-break векторов, WebFetchTool (1173 строки).
Tengu = Claude Code, Fennec = Opus, Capybara = Mythos, Chicago = Computer Use, Penguin = Fast Mode.
