Утечка кода инструментария Claude Code из-за забытого в NPM-пакете map-файла

Компания Anthropic по недосмотру опубликовала в составе выпуска NPM-пакета claude-code 2.1.88 полный необфусцированный и не очищенный от внутренних компонентов исходный код инструментария Claude Code на языке TypeScript. Код попал в релиз в составе map-файла cli.js.map, применявшегося в ходе отладки. Для предотвращения подобных утечек разработчикам рекомендуется не забывать добавлять маску «*.map» в файл «.npmignore».

Архив с кодом имеет размер 59.8 МБ, включает 1884 файла и содержит более 500 тысяч строк кода. Энтузиасты начали тиражировать код на GitHub, но компания Anthropic инициировала рассылку DMCA-уведомлений для блокирования репозиториев с утешим кодом на основании действующего в США Закона об авторском праве в цифровую эпоху (DMCA).

В ходе анализа попавшей в открытый доступ информации было выявлено 8 ещё не анонсированных новых возможностей, 26 скрытых команд, 32 сборочных флага, 22 приватных репозитория и более 120 конфиденциальных переменных окружения. Среди скрытых возможностей:

  • Режим «Undercover», удаляющий следы участия AI при внесения изменений в публичные репозитории (не выставляет Co-Authored-By и не упоминает название модели и использование AI).
  • «Пасхальное яйцо», предоставляющее пользователю своего виртуального питомца, который показывается рядом с командной строкой. Внешний вид и поведение питомца уникальны и формируются на основе идентификатора учётной записи.
  • Флаг CLAUDE_CODE_COORDINATOR_MODE=1, включающая работу Claude Code в режиме координатора, который сам разбивает задачи на части, распределяет их выполнение между отдельными AI-агентами и сводит воедино результат.
  • Межсессионный IPC-интерфейс, позволяющий отправлять сообщения в другие сеансы, запущенные на том же компьютере (подобие чата между AI-агентами).
  • Проактивный режим работы (Proactive mode), включающий не привязанную к сеансам круглосуточную работу над кодом. Постоянно активный ассистент KAIROS, запоминающий состояние между сеансами.
  • Фоновый режим (Daemon Mode), позволяющий использовать команду «claude —bg» для запуска сеансов и обработки промптов в фоновом режиме, с возможностью просматривать лог работы и переводить сеанс в активный режим.
  • Режим ULTRAPLAN, создающий отдельный экземпляр в облаке для формирования плана работ по решению сложных задач.
  • Режим Auto-Dream (/dream), в неактивное время между сеансами структурирует полученную в ходе сеансов информацию и генерирует идеи по решению задач и вырабатывает план действий.
  • Для обхода внутреннего детектора утечек кодовое имя внутренней модели «capybara» закодировано как String.fromCharCode(99,97,112,121,98,97,114,97).
  • Телеметрия Tengu, отслеживающая и передающая не серверы Anthropic более 1000 типов событий.
  • Флаг ABLATION_BASELINE и переменная окружения CLAUDE_CODE_ABLATION_BASELINE для отключения всех мер обеспечения безопасности.
  • Скрытые команды, не упоминаемые в справке «—help»:
    • /ctx-viz — визуализатор контекста
    • /btw — дополнительные вопросы
    • /good-claude — «пасхальное яйцо»
    • /teleport — перенос сеансов
    • /share — совместный доступ к сеансам
    • /summary — сводка
    • /ultraplan — планирование работы
    • /subscribe-pr — PR webhook
    • /autofix-pr автоисправление PR
    • /ant-trace — трассировка
    • /perf-issue — отчёт о производительности
    • /debug-tool-call — отладочные вызовы
    • /bughunter — отладка ошибок
    • /break-cache — сброс кэша
    • /onboarding — настройка
    • /oauth-refresh — обновление токена
    • /env — инспектирование окружения
    • /reset-limits — сброс состояния лимитов
    • /version — внутренний номер версии
    • /init-verifiers — настройка верификатора
    • /force-snip
    • /mock-limits
    • /bridge-kick
    • /backfill-sessions
    • /agents-platform
    • /dream
  • Недокументированные опции командной строки:
    • —bare — запуск без хуков и плагинов
    • —dump-system-prompt — вывод системного приглашения и выход
    • —daemon-worker=‹k› — задаёт число фоновых процессов
    • —computer-use-mcp — активирует MCP-сервер
    • —claude-in-chrome-mcp — Chrome MCP
    • —chrome-native-host
    • —bg — запуск фонового сеанса
    • —spawn
    • —capacity ‹n› — ограничение числа параллельно выполняемых обработчиков
    • —worktree / -w — изоляция рабочего дерева Git

    Сборочные флаги:

    • KAIROS
    • PROACTIVE
    • COORDINATOR_MODE
    • RIDGE_MODE
    • DAEMON
    • BG_SESSIONS
    • ULTRAPLAN
    • BUDDY
    • TORCH
    • WORKFLOW_SCRIPTS
    • VOICE_MODE
    • TEMPLATES
    • CHICAGO_MCP
    • UDS_INBOX
    • REACTIVE_COMPACT
    • CONTEXT_COLLAPSE
    • HISTORY_SNIP
    • CACHED_MICROCOMPACT
    • TOKEN_BUDGET
    • EXTRACT_MEMORIES
    • OVERFLOW_TEST
    • TERMINAL_PANEL
    • WEB_BROWSER
    • FORK_SUBAGENT
    • DUMP_SYS_PROMPT
    • ABLATION_BASE
    • BYOC_RUNNER
    • SELF_HOSTED
    • MONITOR_TOOL
    • CCR_AUTO
    • MEM_SHAPE_TEL
    • SKILL_SEARCH
  • Более 120 недокументированных переменных окружения, среди которых
    DISABLE_COMMAND_INJECTION_CHECK, CLAUDE_CODE_ABLATION_BASELINE (отключает все механизмы безопасности), DISABLE_INTERLEAVED_THINKING,

  • Упоминание внутренних репозиториев, таких как anthropics/casino, anthropics/trellis, anthropics/forge-web, anthropics/mycro_manifests и anthropics/feldspar-testing.

Источник: http://www.opennet.ru/opennews/art.shtml?num=65114