Цифровая смерть техногиганта
В конце марта 2026 года мир технологий стал свидетелем цифровой смерти компании Anthropic. Это не было результатом атаки со стороны государства или использования сложной уязвимости нулевого дня. Компания, гордящаяся своей безопасностью искусственного интеллекта, сама себя уничтожила из-за чистой халатности.
Когда новости распространились, они заняли первые полосы изданий от The Register до VentureBeat и полностью захватили внимание сообщества Hacker News. Инженер Anthropic неправильно настроил конвейер сборки. При публикации версии 2.1.88 пакета @anthropic-ai/claude-code в публичный реестр npm была случайно включена карта исходного кода размером 59,8 МБ под названием cli.js.map. Таким образом компания фактически передала интернету ключи от своего королевства.
Анатомия утечки
Это классический случай несоблюдения базовых принципов инженерной дисциплины. Недавно Anthropic перенесла свой интерфейс командной строки Claude Code на среду выполнения Bun. У Bun есть известная ошибка, при которой он генерирует огромные карты исходных кодов даже в производственной среде. Карты исходников – это файлы для отладки, которые связывают минимизированный производственный код обратно к его оригинальным читаемым человеком источникам. Чтобы предотвратить публикацию таких файлов, достаточно одной простой настройки конфигурации.
Вот как должен был выглядеть файл .npmignore у Anthropic:
# Стандартная практика безопасности для упаковки npm
*.map
dist/*.map
Однако этот шаг был пропущен, что привело к отправке файла карты исходника вместе с пакетом. Он содержал ссылку прямо на общедоступно размещенный ZIP-файл, хранящийся в облачном хранилище Cloudflare R2, принадлежащем Anthropic.
Исследователь безопасности Чаофан Шоу обнаружил эту проблему в 4:23 утра по восточному времени США и немедленно сообщил о ней миру. Любой пользователь мог установить пакет через команду npm install, скачать архив, распаковать его и получить доступ ко всему закрытому исходному коду.
Что именно было раскрыто?
Эта утечка стала катастрофой для интеллектуальной собственности компании. Она включала:
- 1906 файлов на языке TypeScript,
- более 512 тысяч строк кода,
- архитектуру ядра системы, которая делает возможным функционирование агента Claude Code.
Несмотря на то, что Anthropic разослала более 8000 уведомлений об удалении контента согласно закону DMCA сайту GitHub, исходники уже были широко распространены.