Anthropic подтвердила утечку исходного кода Claude Code: в сеть попали около 512 000 строк и порядка 1 900 TypeScript-файлов. Компания настаивает, что данные клиентов не затронуты, а причина — ошибка упаковки релиза со стороны сотрудника.
Первым на утечку обратил внимание исследователь безопасности Chaofan Shou. Он написал в X, что исходники Claude Code утекли через map-файл в npm-пакете. По его словам, публикация набрала более 30 млн просмотров, а копии быстро разошлись по GitHub.
Как исходники Claude Code оказались снаружи
Суть истории упирается в то, как собрали npm-пакет. В описании GitHub-зеркала утечки говорится, что в пакет попала ссылка из source map на необфусцированный TypeScript-код. Эта ссылка вела на ZIP-архив в бакете Cloudflare R2, где и лежал полный набор файлов.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Внутри архива, помимо кода, нашли библиотеки slash-команд и встроенные инструменты Claude Code. Дальше сработала стандартная механика интернета: репозиторий с утечкой быстро размножили форками на десятки тысяч копий.
Позиция Anthropic: «человеческая ошибка, не взлом»
Anthropic дала официальный комментарий CNBC. Представитель компании заявил, что в утечке не было чувствительных данных клиентов или учётных данных.
Цитата звучит максимально прямо: «No sensitive customer data or credentials were involved or exposed. This was a release packaging issue caused by human error, not a security breach. We’re rolling out measures to prevent this from happening again». По-русски: никаких клиентских данных и секретов доступа не утекло, это ошибка упаковки релиза из-за человеческого фактора, и компания вводит меры, чтобы это не повторилось.
Утечка на фоне серии уязвимостей вокруг Claude
История неприятно совпала по времени с серией публикаций о проблемах безопасности вокруг Claude. 27 марта 2026 исследователи из Koi Security сообщили о крупной уязвимости в расширении Claude Code для Google Chrome. По их описанию, она открывала путь к zero-click атакам и могла привести к утечке данных; баг назвали ShadowPrompt.
Ещё раньше, 19 марта 2026, команда Oasis рассказала о трёх уязвимостях, которые в связке давали «полную цепочку атаки» — от доставки на цель до эксфильтрации чувствительных данных. Исследователи назвали цепочку Cloudy Day и сообщили, что раскрыли её ответственно, а Anthropic быстро закрыла проблемы.
И на этом фоне компания ещё и вводила ограничения по нагрузке. Инженер Claude Code Thariq Shihipar писал в X, что из-за растущего спроса Anthropic корректирует лимиты 5-часовых сессий для бесплатных и платных тарифов в пиковые часы, при этом недельные лимиты остаются прежними.
CNBC описывает утечку как частичную, а The Register утверждает, что в архиве был весь исходный код популярного инструмента. Anthropic при этом называет произошедшее именно «ошибкой упаковки релиза», а не атакой со стороны.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Anthropic подтвердила утечку 512 000 строк исходников Claude Code ⚡️