Утечка Claude Code: Anthropic выложила весь исходный код в публичный npm
Anthropic случайно опубликовала в npm весь исходный код Claude Code — 512 000 строк TypeScript с 44 скрытыми флагами и ссылками на модель Mythos. Код сидел в от
31 марта 2026 года Anthropic случайно выложила весь исходный код Claude Code в публичный npm реестр. На несколько дней 512 000 строк TypeScript остались в открытом доступе, пока исследователь не обнаружил ошибку конфигурации в Cloudflare и не сообщил о ней компании.
Что попало в утечку
Код занимал 1906 файлов и содержал полную реализацию Claude Code — инструмента, который разработчики используют для автоматизации программирования с помощью AI. Всё это хранилось на Cloudflare bucket без базовой защиты доступа, доступным для любого, кто знал правильный URL. В утечку попали не только исходные коды, но и конфигурация развертывания, API ключи для интеграций с GitHub, Slack и другими платформами, а также внутренняя документация по архитектуре системы. Это информация, которая обычно остаётся в приватных репозиториях и может быть использована для поиска уязвимостей или обратного инжиниринга. Масштаб утечки поражает: 512 000 строк кода — это полная история развития продукта, включая коммиты, комментарии разработчиков и экспериментальные ветки.
Скрытые флаги и загадочный
Mythos В исходном коде нашлось 44 скрытых feature flag — функции, которые Anthropic планирует выпустить, но они пока отключены в публичных версиях. Среди них были и ссылки на модель, кодовое имя которой Mythos. О самой Mythos известно мало: из кода неясно, идёт ли речь о новой версии Claude или о отдельном экспериментальном проекте, работающем на совершенно другой архитектуре.
Но сам факт наличия такого намёка в опубликованном коде свидетельствует о том, что Anthropic работает над чем-то значительным и пока держит это в тайне от конкурентов. Утечка раскрыла несколько интересных деталей о приоритетах и планах Anthropic: 44 скрытых feature flag в исходном коде Ссылка на модель Mythos в комментариях разработчиков API ключи и конфигурация для работы с внешними сервисами Фрагменты документации по архитектуре Claude Code Тестовые данные и примеры для внутреннего использования История всех коммитов с датами и авторами ## Безопасность как слабое место индустрии Эта ситуация выявляет глубокий парадокс в AI-индустрии. Компании, которые активно говорят о безопасности AI и необходимости регулирования, делают базовые ошибки при защите собственного кода.
Утечка произошла не из-за целенаправленной атаки хакеров или социальной инженерии, а просто из-за неправильной конфигурации Cloudflare bucket. Исследователь опубликовал информацию об утечке в социальных сетях, и только после этого Anthropic удалила коды и запросила удаление из кеша. Однако копии уже наверняка разошлись по интернету.
Вопрос в том, как долго конкуренты потратят на анализ этого кода и найдут ли они в архитектуре что-то, что можно использовать себе в выгоду.
«Это напоминает ситуацию, которая случалась с другими большими компаниями.
Безопасность часто остаётся на периферии, пока не произойдёт инцидент», — прокомментировал происшедшее один из крупных специалистов по безопасности.
Что это значит AI-компании развиваются в ускоренном темпе, но
инфраструктура безопасности зачастую отстаёт. Утечка Claude Code — не первый и не последний инцидент такого рода. Для разработчиков это напоминание: никто не застрахован, даже признанные лидеры отрасли. Компании должны относиться к защите кода так же серьёзно, как к защите моделей.