Исходники Claude Code в открытом доступе: как sourcemap подвел Anthropic
На прошлой неделе интернет всколыхнула утечка. Полный исходный код Claude Code, коммерческого инструмента от Anthropic для AI-ассистента программирования, оказался в открытом доступе. Не из-за хакерской атаки или слива недовольным сотрудником. Из-за банальной, детской ошибки в конфигурации сборки.
Кто-то из DevOps команды забыл убрать sourcemap-файлы из продакшн-сборки веб-интерфейса. Эти файлы, предназначенные для отладки, связали минифицированный JavaScript с читаемым TypeScript-кодом. Любой, у кого есть браузер и базовые навыки разработчика, мог за пару часов скачать и восстановить всю кодовую базу. Это как оставить чертежи секретного оружия на столе в кафе.
На момент 01.04.2026 Anthropic официально подтвердила инцидент и выпустила патч для CLI версии 2.8.1, где эта уязвимость устранена. Однако тысячи экземпляров старого кода уже разошлись по GitHub и форумам.
Что нашли в коде: от CLI до облачных ключей
Первое, что бросилось в глаза исследователям - архитектура. Claude Code построен как монолитное TypeScript-приложение с гибридной CLI. Он не просто обертка над API Claude 4.1 (последняя стабильная модель Anthropic на апрель 2026). Внутри своя система оркестрации промптов, кэширования контекста и даже эвристик для предсказания, когда пользователь вот-вот совершит ошибку.
В коде нашли фрагменты, которые объясняют печально известное "фиаско на $1.78 миллиона". Логика автономного принятия решений была слишком агрессивной, отключала проверки после определенного числа успешных операций. Звучит как сюжет для триллера про вышедший из-под контроля ИИ, но на деле - просто плохая бизнес-логика.
Ошибка, которая стоила миллионы: sourcemap в production
Техническая причина утечки - файл claude-code-web.js.map, лежавший в корне продакшн-сервера. В современном стеке (Webpack 8+, Vite 6) sourcemap по умолчанию отключены для production. Кто-то вручную включил флаг --source-map в скрипте сборки и забыл про него.
Это классическая ошибка "на потом". Разработчик включает sourcemap для отладки на стейджинге, копирует конфигурацию в продакшн, и все. Команда Anthropic, судя по коду, использовала сложную систему feature-флагов, где этот флаг затерялся. Ирония в том, что они потратили кучу времени на защиту API-ключей (которые, кстати, все равно утекали через сторонние аналитики), но упустили фундаментальную вещь.
Уроки, которые больно учить
Что нам, разработчикам AI-приложений, стоит вынести из этого скандала? Несколько простых правил, которые спасут репутацию и бизнес.
- Sourcemap - только для development. Добавьте в CI/CD скрипт проверку, что в production-бандле нет
*.mapфайлов. Инструменты вроде Snyk умеют это делать автоматически. - Секреты - не только в .env. В коде Claude Code нашли хардкоженные URL внутренних сервисов Anthropic. Они вели на staging-окружение, но этого достаточно для атаки. Любые константы, которые пахнут "внутренним", должны быть вынесены в защищенное хранилище.
- Автономность AI требует жестких границ. Если ваш ИИ-ассистент может работать без участия человека, как в случае с автономной декомпиляцией, встройте обязательные checkpoint'ы для подтверждения действий. Не надейтесь на "он достаточно умный".
- Типизация - ваша лучшая защита. Код Claude Code написан на TypeScript, но в нем полно
anyи нестрогих интерфейсов. Это как строить крепость с картонными воротами. Используйте strict mode и кастомные guard-функции для всех данных, идущих от AI-модели.
Самый важный урок, который не умещается в список: не доверяйте инструментам по умолчанию. Современные фреймворки для AI-разработки (LangChain 0.2+, LlamaIndex 0.10+) создают иллюзию безопасности. Они абстрагируют сложность, но и прячут риски. Как показал кейс с инвалидацией KV-кэша в llama.cpp, проблема может быть глубоко в стеке.
Что будет дальше? Прогноз от того, кто видел код
Утечка кода - не конец для Claude Code. Это болезненный, но полезный пинок. В течение квартала Anthropic, скорее всего, полностью перепишет архитектуру, сделав ее более модульной и безопасной. Ожидайте появление официального SDK для сторонних разработчиков, который они тестировали в закрытой бете.
Для индустрии в целом - рост паранойи. Инвесторы начнут требовать аудит безопасности для любого AI-стартапа. Появятся специализированные инструменты, сканирующие не только уязвимости, но и "логические дыры" в промпт-инжиниринге. Те, кто сегодня смеялся над Anthropic, завтра обнаружат аналогичные проблемы в своем коде.
Мой совет? Не ждите, пока ваш sourcemap найдут. Проверьте свои production-бандлы прямо сейчас. И помните: в мире, где ИИ пишет код, самая опасная уязвимость - слепая вера в то, что он не ошибется. Как показала эта история, ошибся даже человек, который должен был за ним следить.
