Компания Anthropic подтвердила случайную утечку внутреннего кода своего AI-инструмента для разработки - Claude Code. Причиной стала ошибка при сборке и публикации npm-пакета.
Инцидент произошёл при выпуске версии 2.1.88 пакета Claude Code. Пользователи обнаружили, что вместе с обновлением в него попал source map-файл, позволяющий получить доступ к исходному коду приложения.
Утекший код включает почти 2 000 TypeScript-файлов и более 512 000 строк. Anthropic заявила, что утечка произошла из-за человеческой ошибки при упаковке релиза. Компания подчеркнула, что это не является взломом или атакой.
В официальном комментарии отмечается, что никакие пользовательские данные или учетные данные не были раскрыты. После обнаружения проблемы уязвимая версия пакета была удалена из npm.
Что именно произошло
Проблема связана с тем, что в опубликованный пакет был включён source map-файл. Такие файлы используются для отладки и позволяют сопоставить скомпилированный код с исходниками.
В данном случае наличие source map фактически открыло доступ ко всей кодовой базе Claude Code, включая внутреннюю логику работы инструмента.
Масштаб утечки
Опубликованные данные дают практически полный обзор архитектуры продукта. Речь идет о сотнях тысяч строк кода, охватывающих ключевые компоненты системы.
По сообщениям, утечка затронула только код самого инструмента Claude Code и не включала базовые модели или инфраструктуру, лежащую в основе AI.
Реакция компании
Anthropic оперативно отозвала проблемную версию пакета и начала внедрять дополнительные меры, чтобы исключить подобные ошибки в будущем.
Компания отдельно подчеркнула, что инцидент не связан с компрометацией систем безопасности и не является результатом внешнего вмешательства.
Источник: HN