Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла

01.04.2026 09:24 (MSK)

Компания Anthropic по недосмотру опубликовала в составе выпуска NPM-пакета claude-code 2.1.88 полный необфусцированный и не очищенный от внутренних компонентов исходный код инструментария Claude Code на языке TypeScript. Код попал в релиз в составе map-файла cli.js.map, применявшегося в ходе отладки. Для предотвращения подобных утечек разработчикам рекомендуется не забывать добавлять маску "*.map" в файл ".npmignore".

Архив с кодом имеет размер 59.8 МБ, включает 1884 файла и содержит более 500 тысяч строк кода. Энтузиасты начали тиражировать код на GitHub, но компания Anthropic инициировала рассылку DMCA-уведомлений для блокирования репозиториев с утекшим кодом на основании действующего в США Закона об авторском праве в цифровую эпоху (DMCA).

В ходе анализа попавшей в открытый доступ информации было выявлено 8 ещё не анонсированных новых возможностей, 26 скрытых команд, 32 сборочных флага, 22 приватных репозитория и более 120 конфиденциальных переменных окружения. Среди скрытых возможностей:

Режим "Undercover", удаляющий следы участия AI при внесения изменений в публичные репозитории (не выставляет Co-Authored-By и не упоминает название модели и использование AI).
"Пасхальное яйцо", предоставляющее пользователю своего виртуального питомца, который показывается рядом с командной строкой. Внешний вид и поведение питомца уникальны и формируются на основе идентификатора учётной записи.
Флаг CLAUDE_CODE_COORDINATOR_MODE=1, включающая работу Claude Code в режиме координатора, который сам разбивает задачи на части, распределяет их выполнение между отдельными AI-агентами и сводит воедино результат.
Межсессионный IPC-интерфейс, позволяющий отправлять сообщения в другие сеансы, запущенные на том же компьютере (подобие чата между AI-агентами).
Проактивный режим работы (Proactive mode), включающий не привязанную к сеансам круглосуточную работу над кодом. Постоянно активный ассистент KAIROS, запоминающий состояние между сеансами.
Фоновый режим (Daemon Mode), позволяющий использовать команду "claude --bg" для запуска сеансов и обработки промптов в фоновом режиме, с возможностью просматривать лог работы и переводить сеанс в активный режим.
Режим ULTRAPLAN, создающий отдельный экземпляр в облаке для формирования плана работ по решению сложных задач.
Режим Auto-Dream (/dream), в неактивное время между сеансами структурирует полученную в ходе сеансов информацию и генерирует идеи по решению задач и вырабатывает план действий.
Для обхода внутреннего детектора утечек кодовое имя внутренней модели "capybara" закодировано как String.fromCharCode(99,97,112,121,98,97,114,97).
Телеметрия Tengu, отслеживающая и передающая на серверы Anthropic более 1000 типов событий.
Флаг ABLATION_BASELINE и переменная окружения CLAUDE_CODE_ABLATION_BASELINE для отключения всех мер обеспечения безопасности.
Скрытые команды, не упоминаемые в справке "--help":
- /ctx-viz - визуализатор контекста
- /btw - дополнительные вопросы
- /good-claude - "пасхальное яйцо"
- /teleport - перенос сеансов
- /share - совместный доступ к сеансам
- /summary - сводка
- /ultraplan - планирование работы
- /subscribe-pr - PR webhook
- /autofix-pr автоисправление PR
- /ant-trace - трассировка
- /perf-issue - отчёт о производительности
- /debug-tool-call - отладочные вызовы
- /bughunter - отладка ошибок
- /break-cache - сброс кэша
- /onboarding - настройка
- /oauth-refresh - обновление токена
- /env - инспектирование окружения
- /reset-limits - сброс состояния лимитов
- /version - внутренний номер версии
- /init-verifiers - настройка верификатора
- /force-snip
- /mock-limits
- /bridge-kick
- /backfill-sessions
- /agents-platform
- /dream
Недокументированные опции командной строки:
- --bare - запуск без хуков и плагинов
- --dump-system-prompt - вывод системного приглашения и выход
- --daemon-worker=<k> - задаёт число фоновых процессов
- --computer-use-mcp - активирует MCP-сервер
- --claude-in-chrome-mcp - Chrome MCP
- --chrome-native-host
- --bg - запуск фонового сеанса
- --spawn
- --capacity <n> - ограничение числа параллельно выполняемых обработчиков
- --worktree / -w - изоляция рабочего дерева Git
Сборочные флаги:
- KAIROS
- PROACTIVE
- COORDINATOR_MODE
- RIDGE_MODE
- DAEMON
- BG_SESSIONS
- ULTRAPLAN
- BUDDY
- TORCH
- WORKFLOW_SCRIPTS
- VOICE_MODE
- TEMPLATES
- CHICAGO_MCP
- UDS_INBOX
- REACTIVE_COMPACT
- CONTEXT_COLLAPSE
- HISTORY_SNIP
- CACHED_MICROCOMPACT
- TOKEN_BUDGET
- EXTRACT_MEMORIES
- OVERFLOW_TEST
- TERMINAL_PANEL
- WEB_BROWSER
- FORK_SUBAGENT
- DUMP_SYS_PROMPT
- ABLATION_BASE
- BYOC_RUNNER
- SELF_HOSTED
- MONITOR_TOOL
- CCR_AUTO
- MEM_SHAPE_TEL
- SKILL_SEARCH
Более 120 недокументированных переменных окружения, среди которых DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (отключает все механизмы безопасности), DISABLE_INTERLEAVED_THINKING,
Упоминание внутренних репозиториев, таких как anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests и anthropics/feldspar-testing.

исправить +30 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65114-claude

Ключевые слова: claude, npm, leak

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Аноним (1), 11:09, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Скрытые команды, не упоминаемые в справке "--help": /btw - дополнительные вопросы Да эта /btw сама постоянно показывается, когда он думает. Давно уже использую.

2.12, Аноним (12), 12:58, 01/04/2026 [^] [^^] [^^^] [ответить]	+1 +/–
А пасхалка не работает, обман

3.24, пох. (?), 13:38, 01/04/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Песах еще не начался. Подожди до захода солнца.

2.57, Аноним (57), 23:01, 01/04/2026 [^] [^^] [^^^] [ответить]	+/–
Вот это интересней: Режим "Undercover", удаляющий следы участия AI при внесения изменений в публичные репозитории.

1.3, Карлос Сношайтилис (ok), 11:26, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
> компания Anthropic инициировала рассылку DMCA-уведомлений для блокирования репозиториев Там на питон и раст переписывают, такое уже не заблочишь: оригинального кода нет, по факту

1.6, Аноним (6), 11:51, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–8 +/–
Уже есть опенкод который поддерживает любые модели, даже локальные. Да и сам tui там выглядит лучше. Давно уже это не инновация, но они видимо не в курсе.

2.43, rshadow (ok), 15:04, 01/04/2026 [^] [^^] [^^^] [ответить]	+/–
Там помимо моделей еще и обвязка важна. Одни тулзы лучше понимают когда с MCP работать, другие консоли в команде, третьи токены на чем-то (всякие кеши и индексы кодобазы) экономят с той-же моделью. В этом они и различны.

3.52, Аноним (6), 19:48, 01/04/2026 [^] [^^] [^^^] [ответить]	+/–
Обвязка там как оно мне само сказало - json в контекст пихают. Нужна тулза или не нужна - токены будет жрать, сам я поменять или юзать другие тулзы не могу. Плюс там лицензия запрещает использовать модели без клауд кода (который может глючить, даже в стейбле). Чисто принудительный блоб в довесок к сервису за 100-200баксов в месяц. Но на ОПЕНнете такое любят, много фанатов мака, винды и прочего свободного бсдм.

2.55, Blade Runner (-), 22:18, 01/04/2026 [^] [^^] [^^^] [ответить]	+/–
Claude Code с DeepSeek API работает на одном уровне (или я разницы просто не заметил) с моделями от Anthropic. И именно за счёт внутренней магии в виде системных промптов, tools, скиллов, субагентов и прочего "добра". А OpenCode это шляпа, причем откровенная.

1.8, пох. (?), 11:59, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]

–2 +/–

ну ладно, исходники утекли - может кто-то починит теперь работу в редхатоидах без создания .git в корне проекта?
claude наверное ж не возьмется, а еще и нажалуется создателям...

(кстати что-то не видно в корне CLAUDE.md? Как так?!)

1.10, pashev.ru (?), 12:29, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Да-да, забытого. Случайно. Верим. (Нет.)

2.15, q (ok), 13:03, 01/04/2026 [^] [^^] [^^^] [ответить]	+5 +/–
Палю правду-матку: мира нет, есть только твой мозг в банке. Гугли солипсизм. Опровергни его. Если не сможешь - солипсизм верен.

3.31, Аноним (31), 14:04, 01/04/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Враньё. Солиасизм верен, если ты можешь его доказать.

2.17, Аноним (17), 13:19, 01/04/2026 [^] [^^] [^^^] [ответить]	+/–
А какая может быть цель не случайного забывания?

1.11, клодовщик (?), 12:34, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
> компания Anthropic инициировала рассылку DMCA-уведомлений для блокирования репозиториев главное не выйти на самих себя

1.14, Аноним (14), 13:00, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Форкайте поправив лицензию.

2.19, анон1 (?), 13:35, 01/04/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Кажется, это такой блокнот для лудоманов а-ля геймеры. Для легального бизнеса и прода не интересно.

3.28, Аноним (28), 13:42, 01/04/2026 [^] [^^] [^^^] [ответить]	+/–
Кажется сегодня 1 апреля.

1.21, Аноним (21), 13:35, 01/04/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

2.23, Аноним (21), 13:37, 01/04/2026 Скрыто ботом-модератором [к модератору]	+/–

1.30, onanim (?), 13:58, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Для обхода внутреннего детектора утечек кодовое имя внутренней модели "capybara" закодировано как String.fromCharCode(99,97,112,121,98,97,114,97). сначала орнул, а потом приуныл.

1.37, Джон Титор (ok), 14:29, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
> Режим "Undercover", удаляющий следы участия AI при внесения изменений в публичные репозитории (не выставляет Co-Authored-By и не упоминает название модели и использование AI). Да, от скромности Claude не умрет.

1.38, Джон Титор (ok), 14:32, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Если фоновый режим или координация будет позволять дать ему задачу и заниматься другой, а через время совместно это смерджить, то это будет замечательно. Потому что меня достала агентная работа, где нужно подтверждать каждый шаг. Он или делает работу или нет.

1.46, Аноним (46), 15:13, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
>Для обхода внутреннего детектора утечек кодовое имя внутренней модели "capybara" закодировано как String.fromCharCode(99,97,112,121,98,97,114,97). Так всё же по недосмотру или кто-то слил?

1.48, Мемоним (?), 17:30, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А что, у Typescript такой мощный обфускатор, что после него скрипты совсем нечитаемые?

2.51, нах. (?), 19:46, 01/04/2026 [^] [^^] [^^^] [ответить]

+/–

ты архив-то скачал? Там и до него ничего без той же клавы не понять. Лапшекод. Вероятней всего набредогенеренный ей же, но непонятно, куда девали собственно промпт. Наверное уровнем выше лежит, предусмотрительные, гады.

Я теперь что-то и не удивлен что они сломали работу в редхате.

2.54, Аноним (54), 21:45, 01/04/2026 [^] [^^] [^^^] [ответить]	+/–
У вайбкодеров, это функция такая, неотключаемая.

1.49, Аноним (49), 19:24, 01/04/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Это же не исходник бэка, это КЛИЕНТСКОЕ ПРИЛОЖЕНИЕ, да ещё на JavaScript, крутящееся на КОМПЬЮТЕРАХ ЮЗЕРОВ. Ни о какой конфиденциальности его исходников и речи быть не может в принципе, все, кому было до него дело - давно его отреверсили. То есть они клиентское приложение поставляют в виде обфусцированном виде, да с малварью. Они можеит хотели себе сделать вирусную рекламу, но на деле получится лютейшая антиреклама.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: