31 marca 2026 roku Anthropic zaliczyło wpadkę, która przejdzie do historii branży AI. W ramach rutynowej aktualizacji narzędzia Claude Code do publicznego rejestru npm trafiło ponad 512 000 linii kodu źródłowego, 1906 plików TypeScript i 44 ukryte flagi funkcji, których firma nie planowała jeszcze pokazywać światu.
Odkrycia dokonał Chaofan Shou, badacz powiązany z Solayer Labs, który tuż po czwartej rano UTC opublikował na X bezpośredni link do archiwum. Zanim Anthropic zdążyło zareagować, kod był już lustrzany na GitHubie i rozwidlony ponad 50 000 razy. Zawierał nie tylko architekturę obecnej wersji Claude Code, ale też nieupublicznione funkcje, wewnętrzne dane o wydajności modeli i pełen roadmap produktowy. Innymi słowy: prezent dla każdego konkurenta.
Jeśli chcesz otrzymać raport przed oficjalną premierą oraz zobaczyć nazwę swojej firmy wśród uczestników badania – zostaw adres email na końcu ankiety.
Jak doszło do wycieku?
Technicznie sprawa jest prosta, choć zarazem żenująca. Paczka npm Claude Code w wersji 2.1.88 zawierała plik source map, który zamiast wskazywać na skompilowany kod produkcyjny, odsyłał do pełnego, nieskompresowanego kodu źródłowego TypeScript przechowywanego w zasobniku Cloudflare R2. Zasobnik był publicznie dostępny.
Source mapy to narzędzia debugowania. Nie powinny trafiać do środowiska produkcyjnego. To tak, jakby wydając gotowy produkt, dołączyć do niego kompletną dokumentację wewnętrzną, rysunki techniczne i notatki z brainstormingu.
Dodatkowym kontekstem jest fakt, że Anthropic pod koniec 2025 roku przejęło środowisko uruchomieniowe Bun, na którym opiera się Claude Code. W marcu 2026 roku w trackerze błędów Bun widniało otwarte zgłoszenie (issue #28001) informujące dokładnie o tym problemie: source mapy są serwowane nawet w trybie produkcyjnym, wbrew dokumentacji. Zgłoszenie czekało 20 dni. Nikt nie zareagował.
Co ujawnił wyciek?
Tu zaczyna się naprawdę ciekawa część. Poza samą architekturą Claude Code jako „agentowego harnessu” oplatającego model językowy, deweloperzy przejrzeli kod i wyciągnęli kilka konkretnych wniosków:
- Proactive mode – flaga wskazująca na tryb, w którym Claude Code będzie działać bez bezpośredniego polecenia użytkownika. Autonomicznie. Alex Finn, założyciel Creator Buddy, był pierwszym, który to opisał publicznie.
- System płatności kryptowalutowych – kod sugeruje mechanizm, który pozwalałby agentom AI na dokonywanie autonomicznych transakcji finansowych.
- Wirtualny towarzysz w stylu Tamagotchi – ktoś w Anthropic pracował nad „stworzeniem reagującym na kodowanie”. Prawdopodobnie planowany jako żart na prima aprilis.
- Flaga ANTI_DISTILLATION_CC – mechanizm wstrzykujący „fałszywe narzędzia” do żądań API, mający utrudniać „destylację” modelu przez osoby trzecie.
- Wewnętrzna nazwa modelu Capybara – dodatkowe potwierdzenie nowej warstwy modeli, powyżej Opus, opisywanej wcześniej w przypadkowo ujawnionej notatce blogowej.
Piotr Wolniewicz, Redaktor Naczelny AIPORT.pl: Patrząc na ten wyciek z dystansu, widzę dwa poziomy problemu. Pierwszy, oczywisty: ktoś popełnił błąd w pipeline’ie releasu i wypuścił do świata coś, czego nie powinien. To się zdarza, choć rzadko na taką skalę. Drugi poziom jest poważniejszy: to już drugi podobny incydent w ciągu roku. W lutym 2025 roku był poprzedni wyciek kodu Claude Code. Kilka dni temu wyciekł szkic wpisu blogowego o nowym modelu. Teraz to. Dla firmy, która buduje swoją markę na haśle „safety first” i szykuje się do IPO, pytanie o kulturę operacyjną jest nieuniknione. Czy to kwestia nieodpowiednich procesów, zbyt szybkiego tempa developmentu, czy może rosnącej skali organizacji? Z drugiej strony warto zachować proporcje: żadne dane klientów nie wyciekły, wagi modelu pozostały bezpieczne, a część ujawnionych funkcji to niezwykle ambitne kierunki rozwoju. Proactive mode i autonomiczne płatności to wizja agentów AI, które naprawdę działają samodzielnie. To może być przełom. Ale najpierw trzeba odbudować zaufanie.
Reakcja Anthropic i chaos z DMCA
Anthropic zareagowało szybko, ale nie bez wpadek. Firma wysłała masowe żądania usunięcia treści (DMCA) do GitHuba, dotykając tysiące repozytoriów. Problem: wiele z nich nie zawierało samego kodu, a jedynie omówienia wycieku lub niezwiązane projekty. Anthropic przyznało później, że zasięg akcji był „szerszy niż zamierzony” i znacząco go zawęziło.
Oficjalne oświadczenie brzmiało lakonicznie: „This was a release packaging issue caused by human error, not a security breach. We’re rolling out measures to prevent this from happening again.” / „To był problem z pakowaniem wersji spowodowany błędem ludzkim, nie naruszenie bezpieczeństwa. Wdrażamy środki, aby zapobiec powtórzeniu się tego.”
Dodatkowe zagrożenie: atak na łańcuch dostaw
Wyciek to nie jedyny problem, który dotknął użytkowników Claude Code tego dnia. W okolicach godziny 00:21 UTC na npm pojawiły się złośliwe wersje biblioteki axios (1.14.1 oraz 0.30.4) zawierające trojana zdalnego dostępu (RAT). Zdarzenie było niezwiązane z działaniami Anthropic, ale zbiegło się w czasie w sposób, który mocno skomplikował sytuację.
Użytkownicy, którzy instalowali lub aktualizowali Claude Code między 00:21 a 03:29 UTC, mogli pobrać zainfekowaną wersję axios. Dodatkowo, po upublicznieniu wycieku, nieznani sprawcy zaczęli rejestrować na npm paczki o nazwach łudząco podobnych do wewnętrznych zależności Anthropic, próbując przeprowadzić atak „dependency confusion”. Badacz Clément Dumas tak opisał mechanizm na X:
„Right now they’re empty stubs (
module.exports = {}), but that’s how these attacks work – squat the name, wait for downloads, then push a malicious update that hits everyone who installed it.” / „Teraz to puste szablony, ale właśnie tak działają te ataki: zajmujesz nazwę, czekasz na pobrania, a potem wypychasz złośliwą aktualizację, która trafia do każdego, kto zainstalował paczkę.”
Co to oznacza dla branży?
Claude Code to nie jest zwykłe narzędzie. To jeden z kluczowych produktów Anthropic generujących przychody, z rosnącą adopcją w dużych firmach. Wyciek pokazuje, że „agentic harness” oplatający model to złożona architektura narzędziowa z jasno zdefiniowanymi komponentami:
- BashTool do wykonywania poleceń powłoki
- mechanizmy zarządzania plikami i edycji kodu
- obsługa wieloagentowych przepływów pracy
- rozbudowany system flag funkcji kontrolowanych przez GrowthBook
To nie są wagi modelu, ale pod wieloma względami jest to bardziej strategicznie wartościowe. Konkurenci dostali do rąk kompletną lekcję inżynierii: jak budować agent kodujący klasy produkcyjnej i na czym skupić wysiłek.
Jak podsumowało Axios w swojej analizie: wyciek nie zatopi Anthropic, ale daje każdemu rywalowi bezpłatne szkolenie z budowania narzędzi AI na poziomie produkcyjnym. A to, w wyścigu o dominację w tej przestrzeni, może mieć znaczenie.
