Anthropic опубликовала исходный код и отправила более 8000 запросов на удаление авторских прав, репутация «безопасности превыше всего» столкнулась с самой неловкой неделей

Автор: Deep Tide TechFlow

Anthropic из-за ошибочной настройки при публикации npm случайно раскрыла весь исходный код своего самого прибыльного продукта Claude Code. За несколько часов около 512 тыс. строк кода на TypeScript были скопированы, разобраны и переписаны с помощью AI в версии на Python и Rust десятками тысяч разработчиков. В тот же момент Anthropic направила в GitHub запрос на удаление по DMCA, затронув около 8100 репозиториев, но из‑за того, что пострадало множество не имеющих отношения к делу проектов, сообщество резко воспротивилось. В итоге Anthropic была вынуждена отозвать подавляющее большинство запросов, оставив удаление только для 1 репозитория и 96 форков. Это второе крупное инцидентное раскрытие за неделю в Anthropic: до утечки информации по модели Mythos оставалось лишь пять дней.

Anthropic, бренд которой строится вокруг «безопасности AI», переживает самую неловкую неделю за всю историю своего основания.

Как сообщает The Wall Street Journal 1 апреля, Anthropic в ходе обычного обновления 31 марта из‑за ошибки человеческого характера в процессе сборки вместе с npm‑пакетом опубликовала полный исходный код Claude Code. Исследователь по безопасности Chaofan Shou в 4:23 по восточному времени США в ночь на платформе X опубликовал ссылку на скачивание; просмотры поста быстро превысили 21 млн. В течение нескольких часов код был замиррорен на GitHub и набрал десятки тысяч звёзд. Разработчик из Кореи Sigrid Jin даже до рассвета переписал весь репозиторий с помощью AI‑инструментов в версию на Python — проект за два часа получил 50 тыс. звёзд на GitHub и, вероятно, установил бы рекорд по самому быстрому росту на этой платформе.

Представитель Anthropic подтвердил факт утечки в разговоре с CNBC, заявив: «Это проблема с публикацией и упаковкой, вызванная человеческой ошибкой, а не уязвимость безопасности. Не были затронуты или раскрыты какие‑либо конфиденциальные данные клиентов либо учётные данные».

Отсутствующий конфигурационный параметр — утечка 512 тыс. строк ключевого кода

Техническая причина утечки несложная. Claude Code создан на основе Bun (JavaScript‑рантайм‑инструмента, приобретённого Anthropic в конце 2025 года). Bun по умолчанию генерирует файлы source map для отладки. Команда публикации при отправке npm‑пакета не исключила этот файл в настройке .npmignore, из‑за чего 59.8MB source map‑файл вместе с версией Claude Code 2.1.88 появился в релизе. Этот файл содержит полное содержимое примерно 1900 TypeScript‑исходных файлов, суммарно около 512 тыс. строк кода: читаемо, с комментариями, без какой‑либо обфускации.

Руководитель Claude Code Boris Cherny признал: «В нашем процессе деплоя есть несколько ручных шагов, и один из них был выполнен неправильно». Он добавил, что команда уже исправила проблему и добавляет больше автоматизированных проверок, а также подчеркнул, что такие ошибки указывают на проблемы процесса или инфраструктуры, а не на чью‑то персональную вину.

Это не происходит впервые. В феврале 2025 года почти такая же утечка source map уже раскрывала исходный код ранней версии Claude Code. Аналогичные инциденты повторились в течение 13 месяцев, заставив внешних наблюдателей усомниться в операционной зрелости компании с оценкой порядка 3800 млрд долларов, которая как раз готовится к IPO.

Что разработчики нашли в утекшем коде

Утекшая кодовая база по сути является продуктовой дорожной картой, которую Anthropic никогда не планировала публиковать. По анализу VentureBeat и нескольких разработчиков, в коде содержатся 44 переключателя функций (feature flag), при этом более 20 из них — функции, уже разработанные, но ещё не выпущенные.

Наиболее обсуждаемое включает: автономный охранный режим процесса под названием «KAIROS», который позволяет Claude Code, пока пользователь не активен, работать в фоне как агент, выполняя самостоятельные задачи — периодически исправлять ошибки, выполнять поручения и отправлять пользователю push‑уведомления; набор многоуровневой архитектуры «самоисцеляющейся памяти» в три слоя, где интеграция воспоминаний, именуемая «dreaming», объединяет в фоне разрознённые результаты наблюдений и устраняет логические противоречия; а также полноценную систему координации множества агентов, способную превратить Claude Code из одного агента в координатор, который параллельно генерирует, командует и управляет несколькими рабочими агентами.

Самое спорное открытие — файл с названием undercover.ts. Как сообщает The Hacker News, этот файл примерно из 90 строк кода содержит инструкции: когда сотрудники Anthropic используют Claude Code для отправки кода в открытые проекты, в систему‑промпт будет внедряться подсказка, предписывающая Claude ни в коем случае не раскрывать, что он является AI, и удалять все пометки Co-Authored-By. В коде написано: «Ты выполняешь миссию под прикрытием в публичном/open-source репозитории кода. Твои сообщения коммита, заголовок PR и основной текст PR не должны содержать никакой внутренней информации Anthropic. Не раскрывай свою идентичность».

Кроме того, код включает маркер ANTI_DISTILLATION_CC, который внедряет поддельные определения инструментов в запросы к API, чтобы загрязнить тренировочные данные, которые потенциально может перехватить конкурент. В коде также присутствуют внутренние кодовые обозначения моделей Anthropic: Capybara соответствует пока не выпущенному новому уровню модели, а Fennec соответствует существующему Opus 4.6. Это перекликается с утечкой информации о модели Mythos, произошедшей за пять дней до этого в результате ошибки конфигурации CMS в Anthropic.

Соучредитель компании по кибербезопасности Code Wall Paul Price в интервью Business Insider сказал, что данная утечка «скорее вызывает неловкость, чем реальный ущерб. По‑настоящему ценное — это внутренние веса моделей, и они не раскрыты». Однако он также отметил, что Claude Code — «одна из самых удачно спроектированных на сегодня архитектур инструментов для агентов; теперь мы видим, как они решают эти сложные задачи», что имеет очевидную информационную ценность для конкурентов.

8100 репозиториев ошибочно заблокировали, DMCA‑удаление «завалило» — вызвало ещё больший отклик

После распространения кода Anthropic быстро подала в GitHub запросы на удаление авторских прав по американскому Digital Millennium Copyright Act (DMCA). Согласно опубликованным GitHub записям, на первом этапе запрос затронул порядка 8100 репозиториев с кодом. Однако проблема в том, что удаляемые репозитории включали не только зеркала утекшего кода, но и законные форки официальных репозиториев Claude Code, которые сама Anthropic публично выпустила.

Масса разработчиков выражала возмущение на платформе X. Разработчик Danila Poyarkov сообщил, что ему прислали уведомление об удалении только за то, что он сделал форк публичного репозитория Anthropic. Другой пользователь Daniel San получил GitHub‑письмо, в котором говорилось, что удаляемый репозиторий содержал лишь примеры навыков и документацию и не имел никакого отношения к утекшему коду. Один разработчик прямо заявил: «Юристы Anthropic только что проснулись и прямо в этот момент удалили мой репозиторий».

Столкнувшись с ответной реакцией сообщества, Anthropic 1 апреля частично отозвала запросы. Согласно записям об отзыве на GitHub, Anthropic сузила область удаления до 1 репозитория (nirholas/claude-code) и 96 URL форков, которые отдельно перечислялись в исходном уведомлении; доступ к остальным примерно 8000 репозиториев GitHub уже восстановил.

Представитель Anthropic в разговоре с TechCrunch сказал: «Репозитории, указанные в уведомлении, относятся к сети форков, связанной с нашим публичным репозиторием Claude Code, поэтому затронутые удалением репозитории вышли за рамки ожиданий. Мы отозвали все уведомления, кроме одного репозитория; GitHub восстановил доступ к затронутым форкам».

Код уже навсегда заархивирован на децентрализованной платформе: действие DMCA ограничено

Действия Anthropic по авторскому праву упираются в принципиальную дилемму: код уже необратимо распространился.

Как сообщает Decrypt, децентрализованная Git‑платформа Gitlawb замиррорила полный исходный код с ремаркой «его никогда не удалят». DMCA действует в отношении централизованных платформ (например, GitHub), потому что последние обязаны выполнять требования по закону, но на децентрализованную инфраструктуру нельзя наложить юрисдикцию. Уже в течение нескольких часов после утечки код фактически стал навсегда публичным благодаря достаточному числу зеркал и инфраструктуре разных типов.

Ещё более иронично то, что корейский разработчик Sigrid Jin с помощью AI‑оркестрационного инструмента oh-my-codex переписал весь код из TypeScript в Python — проект называется claw-code. Основатель The Pragmatic Engineer Gergely Orosz на X указал, что это «clean-room rewrite» (переписывание в чистой комнате), которое представляет собой независимое творческое произведение и по своей задумке не подпадает под DMCA. Если бы Anthropic утверждала, что код, переписанный с помощью AI, всё ещё нарушает авторские права, это как раз ослабило бы ключевую линию защиты AI‑компаний в судебных спорах о правах на данные обучения — то есть аргумент, что выходные результаты, полученные AI из защищённых авторским правом входных данных, составляют допустимое использование (fair use).

Неловкая позиция по авторским правам: они сами себе противоречат или это юридическая необходимость?

В этом инциденте самое пристальное внимание сообщества связано с противоречием в позиции по авторским правам. В сентябре 2025 года суд обязал Anthropic выплатить 1.5 млрд долларов компенсации за использование пиратских книг и обучение Claude через shadow libraries. А Reddit с июня 2025 года подал иск к Anthropic за несанкционированный сбор пользовательского контента для обучения моделей. Компания, оказавшаяся в нескольких судебных делах из‑за авторских прав на данные обучения, затем использует нормы об авторских правах для защиты собственного кода — реакция сообщества была предсказуемой.

Публикация с большим количеством лайков на Slashdot напрямую резюмировала эти настроения: «‘То, что мы выкладываем публично и зарабатываем на краденом, — вы как вообще смеете его воровать!’ — вот это и есть позиция». Другой пользователь счёл, что с точки зрения юридической стратегии действия по DMCA всё же не лишены оснований: «Если Anthropic в будущем захочет привлечь другие компании к ответственности за использование их кода, а они даже не попытались заставить дистрибьюторов убрать его, то в суде это будет выглядеть неподкреплённо».

Этот спор также затрагивает передовой правовой вопрос о том, кому принадлежат авторские права на сгенерированный AI код. Согласно ранее публичным раскрытиям Gartner и Anthropic, около 90% кода в Claude Code сгенерированы AI. В марте 2025 года федеральный суд США постановил, что работы, созданные AI, не получают охраны авторским правом из‑за отсутствия личности человеческого автора; Верховный суд в марте 2026 года отказался рассматривать апелляцию. Если большая часть кода Claude Code действительно написана самим Claude, то правовые претензии Anthropic по авторским правам будут иметь существенную неопределённость.

Две утечки за неделю — тревога по операционной безопасности перед IPO

Раскрытие исходного кода находится на расстоянии всего пяти дней от предыдущего инцидента утечки в Anthropic. 26 марта журнал Fortune сообщил, что из‑за ошибки в настройках системы управления контентом около 3000 невыпущенных внутренних документов оказались в публично индексируемом кэше данных; среди них была подробная информация о готовящейся к релизу модели Claude Mythos. Оба инцидента были отнесены на «человеческую ошибку».

Календарные сроки этих событий чувствительны. В феврале 2026 года Anthropic завершила раунд G на 30 млрд долларов с оценкой 3800 млрд долларов, и, согласно сообщениям, готовит IPO как минимум к октябрю 2026 года; ожидаемый объём привлечения средств может превысить 60 млрд долларов. Goldman Sachs, JPMorgan Chase и Morgan Stanley уже начали предварительные контакты. Годовая выручка Claude Code превысила 2.5 млрд долларов — это главный двигатель доходов компании. TechCrunch отмечает: для компаний, которые готовятся к выходу на биржу, утечка исходного кода означает почти неизбежные иски со стороны акционеров.

VentureBeat в анализе инцидента поднимает более резкий вопрос: в марте у Anthropic произошло более десятка инцидентов, но опубликован был только один постфактум‑отчёт, тогда как сторонние системы мониторинга обнаружили сбои раньше, чем Anthropic сама увидела на своей странице статуса, на 15–30 минут. Компания, которая едет на открытый рынок с оценкой 3800 млрд долларов, соответствует ли своей оценке прозрачность и зрелость операционных процессов — инвесторам предстоит решать самим.