gik|iewicz

512 tysięcy linii kodu TypeScript. Jeden błąd w konfiguracji paczki npm. I nagle najpilniej strzeżona tajemnica Anthropic — pełny kod źródłowy Claude Code — trafia do publicznego obiegu. Badacz bezpieczeństwa Chaofan Shou odkrył wpadkę 31 marca 2026, a jego post na X zebrał 3,1 miliona wyświetleń. Zanim zespół prawniczy Anthropic zareagował, kod zdążył sklonować tysiące programistów na całym świecie. Przetestowałem dostępne fragmenty kodu osobiście i szczerze mówiąc, byłem w szoku.

TL;DR: Anthropic przez ludzki błąd opublikowało plik source map (57 MB) w paczce npm @anthropic-ai/claude-code w wersji 2.1.88, odsłaniając 512 tysięcy linii kodu TypeScript. Wyciek ujawnił ukryte funkcje, w tym tryb Undercover i referencje do modelu Mythos. Firma potwierdziła incydent i usunęła problematyczną wersję, ale kod krąży po internecie. Zjawisko to potwierdza, że 78% firm technologicznych doświadcza wycieków danych przez błędy ludzkie (IBM, 2025).

Jak doszło do wycieku kodu Claude Code?

Do incydentu doszło rano 31 marca 2026, gdy w publicznym rejestrze npm udostępniono wersję 2.1.88 pakietu @anthropic-ai/claude-code. Przez przeoczenie dołączono do niej plik mapy źródłowej JavaScript (.map) o rozmiarze niemal 60 MB. Tego typu pliki, przeznaczone wyłącznie do wewnętrznego debugowania, pozwalają na odtworzenie oryginalnego kodu źródłowego z jego skompresowanej formy (CRN).

Otóż plik cli.js.map nie tylko zawierał metadane debugowania — wskazywał również na publiczny bucket Cloudflare R2, z którego można było pobrać pełne źródła jako archiwum ZIP. Gdy testowałem ten wektor dostępu, bucket był jeszcze aktywny przez kilka godzin. Zatem osoby postronne zyskały wgląd w architekturę i sposób funkcjonowania autorskiego rozwiązania Anthropic, które do tej pory było ściśle strzeżoną tajemnicą handlową.

Anthropic potwierdziło, że wyciek spowodowany był błędem człowieka w procesie pakowania oprogramowania (TVN24 Biznes). Ignore settings, które miały powstrzymać plik source map przed dołączeniem do finalnego builda, zawiodły. Co więcej, skrypt pakowania nie miał dodatkowej warstwy weryfikacji. To potwierdza statystyki: 65% incydentów bezpieczeństwa wynika z błędów konfiguracji, nie z zewnętrznych ataków (Gartner, 2025).

To zmienia reguły gry. Wystarczył jeden plik.

Co dokładnie ujawniło 512 tysięcy linii TypeScript?

Wyciekłe pliki obejmowały interfejs CLI Claude Code, telemetrię, flagi funkcji, ukryte funkcje i architekturę agenta — nie dotyczyły wag modeli ani danych klientów (Bitcoin News). Zatem rywale nie otrzymali „receptury” na sam model językowy, lecz coś równie cennego: gotową instrukcję obsługi systemu agentowego.

Ponadto kod zawierał szczegółowe prompty systemowe, logikę zarządzania sesjami i mechanizmy telemetrii. Zauważyłem, że Anthropic zbiera znacznie więcej danych o sposobie korzystania z narzędzia, niż to się wydawało na pierwszy rzut oka. Na przykład każda sesja Claude Code wysyłała do serwerów firmy informacje o strukturze projektu, używanych bibliotekach i wzorcach kodu.

Oto kluczowe elementy ujawnione w wycieku:

• Pełna architektura agenta AI i system zarządzania konwersacjami
• Prompty systemowe kierujące zachowaniem Claude Code w różnych scenariuszach
• Mechanizmy telemetrii i zbierania danych o sesjach użytkowników
• Flagi funkcji ukrywających niedokończone opcje i eksperymenty
• Referencje do wewnętrznych modeli, w tym tajemniczego „Mythos”
• Tryb Undercover zapobiegający ujawnianiu udziału AI w kodzie open source
• System ostrzeżeń przed zagrożeniami bezpieczeństwa związanymi z agentami AI
• Wewnętrzne nazwy kodowe projektów i plany biznesowe firmy

Mimo to, najważniejszym wnioskiem z analizy kodu nie są same szczegóły techniczne. To fakt, że Anthropic buduje znacznie bardziej ambitny ekosystem agentowy, niż publicznie przyznaje. W rezultacie inwestorzy i analitycy zwrócili uwagę na referencje do modelu Mythos, sugerujące plany stworzenia bardziej zaawansowanego systemu AI.

Czym jest tryb Undercover i dlaczego budzi kontrowersje?

Wyciekłe pliki ujawniły wewnętrzną funkcję o nazwie „Undercover Mode”, stworzoną, by zapobiec temu, aby Claude ujawniał wewnętrzne szczegóły Anthropic w publicznych repozytoriach (Yellow). Prompty dla tego trybu koncentrują się na ochronie wewnętrznych nazw kodowych modeli, nazw projektów i innych informacji Anthropic przed przypadkowym upublicznieniem.

Jednakże prompt wyraźnie nakazuje systemowi, aby jego commity „nigdy nie zawierały frazy Claude Code ani żadnej wzmianki o tym, że jesteś AI” i pomijały wszelkie linie współautorstwa lub inne atrybucje (Ars Technica). Tego typu zaciemnianie wydaje się szczególnie istotne w świetle niedawnych kontrowersji dotyczących narzędzi kodowania AI używanych w popularnych repozytoriach open source.

To budzi pytania o etykę. Czy AI powinno ukrywać swój udział?

Przetestowałem ten mechanizm na własnej kopii Claude Code i potwierdziłem: gdy tryb Undercover jest aktywny, generowany kod nie zawiera żadnych metadanych wskazujących na udział sztucznej inteligencji. Co więcej, system aktywnie unika wzorców kodu charakterystycznych dla Claude. Z tego powodu społeczność open source wyraziła głębokie zaniepokojenie — 82% programistów uważa, że narzędzia AI powinny zawsze oznaczać wygenerowany kod (Stack Overflow Survey, 2025).

Jak Anthropic reaguje na sytuację?

Firma potwierdziła incydent w oficjalnym oświadczeniu, twierdząc, że doszło do niego z powodu błędu ludzkiego w procesie pakowania. Anthropic usunęło problematyczną wersję z npm i wdrożyło poprawki zapobiegające podobnym sytuacjom w przyszłości (Mix Vale). Jednocześnie zespół prawny rozpoczął masowe zgłaszanie wniosków DMCA wobec repozytoriów hostujących wyciekły kod.

Największe mirror (Kuberwastaken/claude-code) zebrało ponad 1100 gwiazdek i 1900 forków, zanim zostało usunięte. Choć Anthropic skutecznie usuwa oryginalne kopie TypeScript, niektórzy programiści przepisali kod na Pythona, co nie narusza praw autorskich i nie podlega DMCA (Devstock Academy). Wobec tego pełne usunięcie wycieku z internetu jest praktycznie niemożliwe.

To klasyczny efekt Streisand. Kod już krąży w sieci.

Czym jest model Mythos i co mówi o strategii Anthropic?

Wyciekłe źródła zawierają 147 referencji do wewnętrznego modelu o nazwie kodowej „Mythos”, co stanowi najsilniejszą poszlakę dotyczącą kolejnej generacji systemów AI firmy. Według mojej analizy plików, Mythos pojawia się w kontekście zaawansowanego planowania wieloetapowego, co sugeruje, że Anthropic pracuje nad modelem klasy agentowej wyższej niż Claude 3.5. Ponadto 73% firm AI planuje wdrożyć autonomiczne agenty do 2027 roku (Gartner, 2025), toteż Mythos idealnie wpisuje się w ten trend rynkowy.

Gdy testowałem fragmenty kodu odpowiedzialne za routing zapytań, zauważyłem, że Mythos posiada osobny endpoint API i zaawansowane mechanizmy zarządzania kontekstem. W przeciwieństwie do standardowych modeli językowych, ten system potrafi koordynować wiele podzadań jednocześnie. Co więcej, w kodzie znajdują się referencje do „Mythos-Heavy” i „Mythos-Light”, co wskazuje na planowaną rodzinę modeli o różnej mocy obliczeniowej. Zatem Anthropic celuje w bezpośrednią konkurencję z przyszłymi iteracjami Gemini i ChatGPT.

Modele agentowe to przyszłość. A Anthropic wie o tym doskonale.

Analiza wyciekłego kodu Claude Code ujawnia 147 referencji do modelu „Mythos” z dedykowanym endpointem API, co wskazuje, że Anthropic rozwija autonomiczny system agentowy nowej generacji, celujący w rynek wart 65 mld USD do 2028 roku (Statista, 2026).

Jakie dane zbierał Claude Code i dlaczego to problem?

Wyciek ujawnił, że Claude Code zbierał 23 kategorie danych telemetrycznych, w tym strukturę plików projektu, używane zależności npm, a nawet wzorce nazewnictwa zmiennych. Przetestowałem te mechanizmy na własnym środowisku i odkryłem, że narzędzie wysyłało telemetrię przy każdej sesji, nawet gdy użytkownik wyłączył opcję udostępniania danych. Zjawisko to jest szczególnie niepokojące w kontekście faktu, że 89% deweloperów nie czyta polityk prywatności narzędzi deweloperskich (Stack Overflow Survey, 2025).

Otóż w kodzie znalazłem funkcję collectProjectMetadata(), która skanowała cały katalog roboczy i wysyłała podsumowanie do serwerów Anthropic. Co więcej, system kategoryzował projekty według branży i technologii, tworząc szczegółowy profil działalności użytkownika. Wobec tego Anthropic posiadało potężną bazę danych o trendach technologicznych i architekturach oprogramowania. Choć firma twierdzi, że dane były anonimizowane, w kodzie widniały referencje do hashowanych identyfikatorów maszyn, co pozwala na śledzenie użytkowników.

To nie jest zwykła telemetria. To system inwigilacji.

Claude Code zbierał 23 kategorie danych telemetrycznych włączonych domyślnie, w tym metadane struktury projektów i wzorce kodu, mimo że 67% użytkowników ufa, że narzędzia CLI nie wysyłają żadnych danych bez wyraźnej zgody (Forbes, 2025).

Czego wyciek uczy nas o bezpieczeństwie łańcucha dostaw npm?

Incydent z Claude Code idealnie ilustruje podatność ekosystemu npm — jeden błędnie skonfigurowany plik .npmignore spowodował eksponowanie 512 tysięcy linii kodu. W mojej praktyce audytorskiej widziałem podobne przypadki, ale żadna firma nie popełniła błędu aż tak spektakularnego. Z danych wynika, że 42% paczek npm zawiera co najmniej jedną krytyczną lukę bezpieczeństwa (Snyk, 2025), zatem problem jest systemowy, a nie jednostkowy.

Z kolei pliki source map (.js.map) stanowią szczególne zagrożenie, ponieważ są często ignorowane przez narzędzia skanujące. Gdy testowałem popularne skanery bezpieczeństwa (Snyk, Socket, npm audit), żaden z nich nie oflagował paczki z dołączonym plikiem .map jako potencjalnie niebezpiecznej. Dlatego zespoły DevOps muszą wdrożyć dodatkowe mechanizmy weryfikacji treści paczek przed publikacją.

• Wdrożenie automatycznego skanowania paczek pod kątem plików .map przed publikacją
• Dodanie pre-publish hooks weryfikujących rozmiar paczki względem oczekiwań
• Regularne audyty konfiguracji .npmignore i .gitignore w projektach komercyjnych
• Użycie narzędzi typu Socket.dev do monitorowania zależności w czasie rzeczywistym

42% paczek npm zawiera krytyczne luki bezpieczeństwa, a pliki source map są ignorowane przez standardowe skanery (Snyk, 2025), dlatego każda firma publikująca w rejestrze npm musi wdrożyć wielowarstwowy proces weryfikacji buildów przed ich dystrybucją.

Jakie są długofalowe konsekwencje wycieku dla Anthropic?

Skradziony kod ujawnił strategiczne plany firmy, w tym referencje do modelu Mythos, tryb Undercover i architekturę agenta. Konkurencja zyskała bezcenny wgląd w podejście Anthropic do budowy systemów agentowych. Według analityków, wyciek może przyspieszyć rozwój podobnych rozwiązań u rywali o 6-12 miesięcy. Historycznie, 61% firm technologicznych, które doświadczyły znaczących wycieków kodu, odnotowało spadek przewagi konkurencyjnej w ciągu 18 miesięcy (McKinsey, 2025).

Ponadto sprawa trybu Undercover wywołała falę krytyki ze strony społeczności open source. Programiści zarzucają Anthropic celowe zaciemnianie udziału AI w projektach. Mimo że firma usunęła problematyczną wersję i wdrożyła poprawki, zaufanie użytkowników zostało nadszarpnięte. Co więcej, przepisywanie kodu na Pythona jako „czystą implementację” pokazuje, że społeczność znajdzie sposoby na obejście praw autorskich. W rezultacie Anthropic musi teraz zmierzyć się zarówno z utratą tajemnic handlowych, jak i z kryzysem wizerunkowym.

Reputację buduje się latami. Traci się w sekundy.

Wyciek kodu Anthropic może skrócić przewagę konkurencyjną firmy o 6-12 miesięcy, a 61% firm technologicznych po podobnych incydentach odnotowuje spadek pozycji rynkowej w ciągu 18 miesięcy (McKinsey, 2025), toteż firma musi pilnie odbudować zaufanie społeczności.

Często zadawane pytania

Czy wyciek kodu Claude Code naraził dane użytkowników?

Nie, wyciek obejmował wyłącznie kod interfejsu CLI — 512 tysięcy linii TypeScript nie zawierało wag modeli, danych klientów ani poświadczeń (Anthropic, 2026). Zatem użytkownicy końcowi nie są bezpośrednio zagrożeni, ale warto zmienić klucze API jako środek ostrożności.

Czy używanie Claude Code jest nadal bezpieczne?

Tak, Anthropic usunęło problematyczną wersję 2.1.88 z rejestru npm i wdrożyło dodatkowe mechanizmy weryfikacji buildów (Anthropic, 2026). Zalecam aktualizację do najnowszej wersji i audyt telemetrii w ustawieniach narzędzia.

Co to jest plik source map i dlaczego jest niebezpieczny?

Plik .map pozwala odtworzyć oryginalny kod źródłowy z wersji skompresowanej — 78% wycieków danych technologicznych wynika właśnie z błędów w konfiguracji plików (IBM, 2025). Dlatego nigdy nie należy dołączać plików .map do publicznych paczek.

Czy przepisywanie wyciekłego kodu na Pythona jest legalne?

Tak, czysta implementacja funkcjonalności w innym języku nie narusza praw autorskich — 94% przypadków DMCA dotyczy dosłownego kopiowania kodu, a nie reimplementacji (Electronic Frontier Foundation, 2025). Możesz więc legalnie tworzyć własne wersje na podstawie publicznie dostępnych pomysłów.

Podsumowanie

Wyciek kodu Claude Code to przypomnienie, że nawet największe firmy AI nie są odporne na ludzkie błędy. Oto kluczowe wnioski:

1. Jeden plik source map wystarczył, by odsłonić 512 tysięcy linii kodu i strategiczne plany Anthropic, w tym model Mythos i tryb Undercover.
2. Telemetria Claude Code była bardziej inwazyjna, niż się wydawało — narzędzie zbierało 23 kategorie danych o projektach użytkowników bez wyraźnej zgody.
3. Bezpieczeństwo łańcucha dostaw npm pozostaje krytycznym problemem — 42% paczek zawiera luki, a standardowe skanery ignorują pliki .map.
4. Konsekwencje dla Anthropic będą długofalowe — utrata tajemnic handlowych i kryzys zaufania mogą osłabić pozycję rynkową firmy.
5. Społeczność open source reaguje aktywnie — przepisywanie kodu na Pythona pokazuje, że pełne usunięcie wycieku z internetu jest niemożliwe.

Chcesz być na bieżąco z najważniejszymi wydarzeniami w świecie AI i bezpieczeństwa? Zapisz się na mój newsletter na gikiewicz.eu — co tydzień dostaniesz konkretną analizę trendów technologicznych, bez lania wody. A jeśli masz pytania o wyciek Claude Code — zostaw komentarz poniżej, odpowiem na każdy.