Что утечка исходного кода Claude Code показала о будущем AI-агентов

31 марта 2026 года войдет в историю как день, когда одна из самых закрытых ИИ-компаний мира случайно выложила в открытый доступ все свои секреты. Anthropic, оцениваемая в $380 миллиардов, опубликовала полный исходный код своего флагманского ИИ-агента Claude Code.

Никакого сложного взлома или инсайдерского слива не было. Причиной стала банальная ошибка ^[1] конфигурации сборки — отсутствие строки *.map в файле .npmignore. В результате публичный npm-пакет @anthropic-ai/claude-code версии 2.1.88 содержал файл cli.js.map весом 59.8 МБ, внутри которого лежал весь оригинальный TypeScript-код, включая комментарии разработчиков и TODO-метки .

Исследователь безопасности Chaofan Shou обнаружил утечку ранним утром, и его твит мгновенно собрал 21 миллион просмотров. Anthropic удалила пакет через несколько часов, назвав это “ошибкой упаковки релиза из-за человеческого фактора”, но было поздно – зеркала репозитория уже разлетелись по GitHub .

Разработчики со всего мира бросились изучать 512 000 строк кода ^[2]. И то, что они там нашли, оказалось гораздо интереснее сухих алгоритмов.

KAIROS и AutoDream: агенты, которые видят сны

Самой интригующей находкой стали 44 feature-флага, скрывающих более 20 невыпущенных функций . Главная из них – KAIROS, автономный демон-режим, упоминаемый в коде более 150 раз.

В отличие от текущего Claude Code, который работает только по запросу, KAIROS задуман как постоянно активный фоновый агент. Он получает периодические <tick> промпты, чтобы решить, нужно ли ему действовать проактивно, подписывается на GitHub webhooks и ведет собственные логи .

Но самое удивительное – это подсистема AutoDream. Когда пользователь неактивен, KAIROS запускает процесс “сна” – фоновую консолидацию памяти ^[3]. Агент анализирует транскрипты за день, устраняет противоречия, превращает размытые догадки в твердые факты и формирует долгосрочную память .

“Синтезируй то, что ты узнал недавно, в надежные, хорошо организованные воспоминания, чтобы будущие сессии могли быстро ориентироваться”, – гласит ^[4] системный промпт AutoDream .

Для сложных задач предусмотрен UltraPlan – функция, которая делегирует планирование удаленной сессии с моделью Opus 4.6, давая ей до 30 минут на размышления .

Скандальный Undercover Mode

Если KAIROS вызвал восхищение, то файл undercover.ts (около 90 строк) спровоцировал этический скандал. Этот режим инжектирует системный промпт, который строго запрещает Claude упоминать, что он является искусственным интеллектом ^[5] .

Более того, при коммитах во внешние open-source репозитории агент должен удалять любые атрибуции Co-Authored-By. Режим активируется автоматически для сотрудников Anthropic и не имеет кнопки отключения .

Защитники компании утверждают, что это сделано для защиты внутренних кодовых имен (например, Capybara для Claude 4.6 и Fennec для Opus 4.6) от случайного попадания в паблик. Однако критики на Hacker News задались резонным вопросом: если инструмент запрограммирован скрывать свою личность в коммитах, что еще он готов скрывать?

Защита от конкурентов (Anti-Distillation)

В коде обнаружились интересные механизмы защиты от конкурентов, которые могут попытаться обучать свои модели на логах Claude (distillation).

Флаг ANTI_DISTILLATION_CC включает инъекцию фейковых определений инструментов в API-запросы. Идея в том, чтобы «отравить» обучающие данные тех, кто тайно записывает API-трафик .

Второй механизм криптографически хеширует цепочку рассуждений (chain-of-thought) агента между вызовами инструментов. Таким образом, перехватчики получают только краткое саммари, а не полный процесс мышления ^[6]. Впрочем, разработчики быстро отметили, что оба механизма легко обходятся через прокси-серверы.

Тамагочи в терминале и суровая реальность Enterprise-кода

Помимо серьезных архитектурных решений, код обнажил человеческую сторону разработки в Anthropic. Внутри терминального агента оказался спрятан полноценный тамагочи – проект Buddy .

Это 18 видов ASCII-питомцев (капибары, аксолотли, призраки и даже нечто под названием “chonk”), которые живут рядом с полем ввода и реагируют на ваш код. В системе реализована полноценная гача-механика с редкостью от common до legendary (1% шанс выпадения), шляпами и характеристиками вроде CHAOS, WISDOM и SNARK . Судя по соли friend-2026-401, это была первоапрельская шутка, релиз которой планировался на май .

Сама кодовая база вызвала у сообщества приступ солидарности. Оказалось, что код $380-миллиардной корпорации выглядит так же, как пет-проекты обычных разработчиков в 3 часа ночи:

Архитектура, вызывающая уважение

Несмотря на курьезы, архитектура Claude Code получила высочайшие оценки от senior-разработчиков. Anthropic реализовала модульный системный промпт с cache-aware границами, плагинную архитектуру на 40 инструментов и 46 000-строчный движок запросов .

Для рендеринга в терминале используется связка React + Ink с применением техник из разработки игровых движков. А самое главное — оркестрация мульти-агентных систем реализована элегантно и умещается в промпте, без использования тяжеловесных фреймворков вроде LangChain.

Заключение

Утечка исходного кода Claude Code – это не просто провал в безопасности процессов релиза. Это уникальное окно в будущее ИИ-разработки (vibecoding). Мы увидели переход от простых CLI-утилит к автономным фоновым агентам с долгосрочной памятью, которые “видят сны” и планируют задачи на полчаса вперед.

А еще эта утечка показала, что даже в самых передовых ИИ-лабораториях мира работают обычные люди. Они пишут костыли, игнорируют линтеры, оставляют забавные комментарии в коде и прячут ASCII-капибар в enterprise-софт. И это, пожалуй, самое обнадеживающее открытие из всех.

P.S: Вы можете поддержать меня в моем телеграм канале ^[7], там я пишу о том, в чем разбираюсь или пытаюсь разобраться сама, тестирую полезные ИИ-сервисы, инструменты для офиса, бизнеса, маркетинга и видео.