Команда Anthropic снова столкнулась с проблемой безопасности, связанной с утечкой исходного кода. На этот раз ошибка возникла при публикации npm-пакета Claude Code: инженеры забыли исключить source map-файлы из финальной сборки. В результате любой разработчик, установивший пакет через npm install, получил доступ к 1906 оригинальным .ts-файлам, которые можно было восстановить буквально в один клик через source map.
Проблема не нова для Anthropic. В феврале 2025 года компания уже допустила аналогичную ошибку, когда исходники Claude Code также оказались в открытом доступе. Тогда команде пришлось срочно удалять пакет и исправлять недочет. Однако на этот раз утечка произошла повторно, что вызвало закономерное недоумение в IT-сообществе.
Уже через несколько часов после инцидента на GitHub появились несколько полных mirror-репозиториев, включая leeyeel, dnakov и ghuntley. В них исходники Claude Code были аккуратно разложены и доступны для изучения, форка или анализа. Это создает дополнительные риски для безопасности, так как злоумышленники могут использовать утекшие данные для поиска уязвимостей или создания несанкционированных модификаций продукта.
Anthropic пока не прокомментировала инцидент официально. Однако, учитывая предысторию, можно предположить, что компания оперативно примет меры по удалению утекших данных и усилению контроля за процессом сборки. Тем не менее, повторение ошибки ставит под вопрос эффективность внутренних процедур обеспечения безопасности кода.
Для разработчиков, использующих Claude Code, рекомендуется временно отказаться от установки пакета до официального подтверждения исправления. В противном случае существует риск не только утечки данных, но и потенциального внедрения вредоносного кода через модифицированные версии.
