Утечка исходного кода Claude Code: второй сбой безопасности Anthropic за несколько дней

У Anthropic снова неприятности. Компания по ошибке раскрыла часть исходного кода Claude Code — своего инструмента для AI-программирования, который активно используют разработчики и корпоративные команды.

И это случилось буквально через несколько дней после другой неловкой истории: ранее в открытый доступ попали почти 3 000 внутренних файлов, включая черновик публикации о новой модели, известной внутри компании как Mythos или Capybara. В том материале, как сообщал Fortune, речь шла о системе с заметно более высокими возможностями и, что особенно тревожно, с новыми рисками в области кибербезопасности.

Теперь масштаб другой: свежая утечка затронула примерно 1 900 файлов и около 500 000 строк кода. Anthropic подтвердила, что в одном из релизов Claude Code действительно оказалась опубликована часть внутреннего исходного кода.

По словам представителя компании, конфиденциальные данные клиентов и учетные данные не пострадали. В Anthropic назвали произошедшее ошибкой упаковки релиза, вызванной человеческим фактором, а не полноценным взломом. Компания также заявила, что уже вводит дополнительные меры, чтобы подобное не повторилось. Звучит успокаивающе — но, честно говоря, осадок остается.

Почему эта утечка выглядит серьезнее, чем прошлый инцидент

Предыдущая история с черновиком блога была неприятной, но в основном раскрывала планы компании и детали будущей модели. Здесь все жестче: в сеть попал код, который позволяет технически подкованным специалистам понять, как устроен сам продукт, какие механизмы в нем заложены и как именно организована его логика.

Речь, судя по всему, не о весах модели Claude как таковой. Но это не делает ситуацию безобидной. Наоборот. Утекла та самая программная прослойка вокруг базовой модели — логика, которая управляет использованием инструментов, задает ограничения, маршрутизирует действия и формирует поведение системы. Иными словами, наружу вышла часть того, что в индустрии называют агентной обвязкой.

Для компаний, которые строят AI-агентов и автоматизацию, это очень знакомая тема: ценность часто находится не только в самой модели, но и в том, как выстроены оркестрация, правила, вызовы инструментов, память и контроль доступа. Иногда именно там и спрятана настоящая интеллектуальная собственность.

Что именно могло стать доступным конкурентам и исследователям

Если коротко: утечка потенциально дает возможность провести reverse engineering внутренних механизмов Claude Code. Конкуренты могут изучить, как Anthropic реализовала поведение своего AI-инструмента, какие guardrails использовала, как организовала вызов внешних функций и каким образом выстроила взаимодействие между моделью и программной средой.

А дальше — дело техники. Кто-то попробует повторить отдельные элементы в собственных продуктах. Кто-то, возможно, соберет open-source-аналог. Кто-то просто внимательно посмотрит на архитектурные решения и сделает выводы для своего roadmap. Так рынок и работает, да.

Особенно чувствительной такая утечка выглядит на фоне растущего интереса к архитектуре AI-агентов, где важны не только модельные возможности, но и то, как система управляет контекстом, инструментами, политиками безопасности и многошаговыми действиями.

Новый след к модели Capybara

По оценке Роя Паза, старшего исследователя AI-безопасности в LayerX Security, утекший код также косвенно подтверждает, что Anthropic действительно готовит новую модель под внутренним названием Capybara. Более того, из обнаруженных деталей можно предположить, что компания может выпустить как минимум две версии — условно «быструю» и «медленную».

Паз считает, что речь может идти о модели с более крупным контекстным окном и, вероятно, с уровнем возможностей выше текущих решений компании. Если это так, Capybara может стать новым флагманом Anthropic — выше линейки Opus. Пока это не официальный анонс, конечно. Но намеки, мягко говоря, уже не тонкие.

Сейчас Anthropic продвигает модели в трех основных классах: Opus, Sonnet и Haiku. Opus — самые мощные и дорогие, Sonnet — компромисс между скоростью и качеством, Haiku — самые легкие и быстрые. В ранее утекшем черновике, с которым ознакомился Fortune, Capybara описывалась как следующий уровень — еще крупнее, еще мощнее и, разумеется, еще дороже.

Как произошла утечка

По данным Fortune, проблема, вероятно, возникла после того, как Anthropic загрузила в NPM не только финальную сборку Claude Code, но фактически весь исходный код проекта. NPM — стандартная платформа для публикации и обновления JavaScript-пакетов, и ошибка такого рода обычно выглядит до обидного прозаично: не тот артефакт, не та конфигурация, один лишний шаг — и привет.

Паз назвал произошедшее проявлением человеческого фактора: кто-то, возможно, упростил процесс релиза или допустил неверную настройку. При этом Anthropic отдельно сообщила Fortune, что стандартные защитные механизмы релиза не обходились.

Он сравнил нормальный процесс публикации кода в крупных компаниях с хранилищем, для открытия которого нужно несколько ключей. В случае Anthropic, по его словам, все выглядело так, будто одна ошибка конфигурации или один неудачный клик сделали внутренний код публичным. Неловко. И довольно показательно.

Почему это важно для безопасности AI-систем

Главный риск не обязательно в том, что кто-то получил прямой доступ к backend-моделям. Гораздо интереснее другое: исходный код может раскрывать непубличные детали о внутренних API, процессах, маршрутах вызовов, политике доступа и способах развертывания. А это уже полезный материал для тех, кто изучает поверхность атаки.

В сфере безопасности AI-агентов такие утечки рассматривают особенно внимательно. Даже если не раскрыты ключи, токены или пользовательские данные, публикация внутренней логики может помочь злоумышленникам лучше понять, как обойти ограничения, где искать слабые места и как атаковать интеграции между моделью, инструментами и инфраструктурой.

И вот тут начинается самое интересное — в плохом смысле. Современные агентные системы редко живут в вакууме: они подключаются к IDE, репозиториям, внутренним сервисам, базам знаний, корпоративным API и системам памяти. Поэтому любая утечка архитектурных деталей повышает риски не только для одного продукта, но и для всей цепочки его взаимодействий.

Особенно если речь идет о системах с агентной памятью и RAG, где качество разграничения доступа, фильтрации контекста и управления источниками данных критично. Там мелочей нет. Вообще.

Контекст: Anthropic уже сама относит свои модели к категории повышенного риска

Ситуация выглядит еще острее, если вспомнить собственные оценки Anthropic. Текущая флагманская модель компании, Claude 4.6 Opus, уже классифицируется ею как система с опасным уровнем киберрисков. Ранее Anthropic заявляла, что модели класса Opus способны автономно находить zero-day-уязвимости в программном обеспечении.

С одной стороны, это полезно для защитников: такие модели могут ускорять аудит кода, поиск слабых мест и исправление ошибок. С другой — те же возможности могут использовать и атакующие, включая хорошо оснащенные государственные структуры. Такая вот двусторонняя штука. Молоток, которым можно и дом построить, и окно вынести.

Это уже не первый случай с Claude Code

И, пожалуй, самый неприятный момент: история не новая. В феврале 2025 года ранняя версия Claude Code уже раскрывала исходный код в результате похожего инцидента. Тогда публикация тоже позволила увидеть, как инструмент устроен внутри и как он взаимодействует с внутренними системами Anthropic. Позже компания удалила пакет и закрыла публичный доступ к коду.

Когда подобное происходит дважды, разговор уже не только об ошибке отдельного сотрудника. Возникают вопросы к процессам: как устроен контроль релизов, насколько надежно разделены артефакты сборки, кто утверждает публикацию, какие проверки стоят перед выкладкой и как организовано AI compliance и соответствие требованиям внутри инженерного цикла.

Потому что одноразовый сбой — это инцидент. Повторение — уже симптом. Возможно, неприятный, но симптом.

Что это означает для рынка enterprise AI

Для корпоративных заказчиков эта история — не просто новость о чужой оплошности. Это напоминание о том, что в enterprise AI нужно оценивать не только качество модели, но и зрелость процессов вокруг нее: релизный контроль, управление доступом, аудит, мониторинг, защиту цепочки поставки ПО, политику публикации пакетов и реакцию на инциденты.

Именно поэтому при внедрении AI-агентов компании все чаще смотрят не на демо-эффект, а на инженерную дисциплину. Кто отвечает за безопасность? Как устроена агентная архитектура? Есть ли сегментация доступа? Как защищены интеграции? Что происходит при ошибке релиза? Вопросы скучные, да. Но потом именно они спасают репутацию и бюджет.

На рынке, где растет спрос на мультиагентные системы, корпоративную автоматизацию и автономные AI-инструменты, подобные утечки становятся маркером зрелости поставщика. Или незрелости — тут уж как повезет.

Примечание редакции: материал обновлен с учетом дополнительного комментария Anthropic и уточнений по техническим деталям, предоставленных источником, знакомым с инцидентом.