Anthropic na konci března vydal aktualizaci svého nástroje Claude Code ve verzi 2.1.88 a kdosi si všiml něčeho, co tam rozhodně být nemělo. Celý zdrojový kód. Všech bezmála 512 000 řádků. Bezpečnostního výzkumníka Chaofana Shou svůj objev zveřejnil svůj objev na síti X.
Příspěvek do několika hodin nasbíral přes 21 milionů zobrazení. A než stihli v Anthropicu zareagovat, kód byl zkopírovaný, rozebraný a šířený po GitHubu rychlostí světla.
Chyba byla překvapivě banální. Při sestavování balíčku pro aktualizaci omylem přibalili ladicí soubor, takzvaný source map (cli.js.map), který obsahoval celou TypeScriptovou kódovou základnu. Každý, kdo si stáhl aktualizaci Claude Code, měl najednou přístup k vnitřní architektuře jednoho z nejpopulárnějších AI nástrojů na světě.
Únik obsahoval zdrojový kód CLI klienta, architekturu agentů, dosud nevydané funkce i interní nástroje. Hesla ani data zákazníků v balíčku nebyla. Anthropic to rychle potvrdil: "Šlo o chybu při sestavování balíčku způsobenou lidskou chybou, ne o bezpečnostní průlom." Jenže i bez uživatelských dat jde o pořádně nepříjemnou situaci.
Co prozradil kód?
Vývojáři, kteří se do kódu okamžitě pustili, tam našli věci, které Anthropic ještě neprezentoval veřejně. A bylo toho dost.
Jedním z nejzajímavějších nálezů je funkce připomínající Tamagoči. Ve zdrojovém kódu se skrývá malý virtuální mazlíček, který "sedí vedle vstupního pole a reaguje na vaše psaní kódu." Zní to hravě, ale ve skutečnosti jde o sofistikovaný způsob, jak udržet uživatele aktivně zapojené do práce.
Pak tu je funkce pojmenovaná KAIROS, navržená jako trvalý agent běžící na pozadí. Claude by díky ní pracoval nepřetržitě, i když uživatel nic nedělá. A systém pro přenášení poznatků mezi jednotlivými konverzacemi, tedy jaká si trvalá paměť přes sezení, která Claude Code dosud nemá.
Ve zdrojovém kódu bylo také vzdálené ovládání přes telefon nebo jiný prohlížeč. Tato funkce mezitím vyšla, ale zbývající části silně naznačují, kam Anthropic míří. Ke komplexnějším, samostatným agentům schopným delší autonomní práce.
Jeden z vývojářů Anthropicu si do kódu poznamenal, že "memoizace tady hodně zvyšuje složitost a nejsem si jistý, zda skutečně zlepšuje výkon." Lidský, upřímný komentář, který by za normálních okolností nikdy neopustil interní repozitář.
8 000 žádostí o odstranění
Anthropic zareagoval rychle. Do rána 1. dubna odeslal přes 8 000 žádostí o odstranění obsahu na GitHubu. Jenže internet má svoji setrvačnost. Repozitář s kódem stihl nasbírat přes 50 000 kopií, a post s odkazem na únik dosáhl na síti X přes 29 milionů zobrazení. The Guardian napsal, že přepsaná verze zdrojového kódu se stala nejrychleji stahovaným repozitářem v historii GitHubu. Žádosti o odstranění dokážou smazat originál, ale kopie se prostě šíří dál.
A co na to konkurence? OpenAI, Google nebo xAI dostali zadarmo detailní pohled do architektury nástroje, jehož roční příjmy přesáhly 2,5 miliardy dolarů. Ušetřili si měsíce zpětného inženýrství.
Druhý přešlap během týdne
Nešlo o první únik Anthropicu v posledních dnech. O pár dní dříve Fortune informoval o tom, že firma uchovávala tisíce interních souborů na veřejně přístupných serverech. Mezi nimi i pracovní verze blogového příspěvku zmiňující dosud neoznámené modely s kódovými názvy "Mythos" a "Capybara".
Dva úniky za méně než týden. Pro firmu, která se prezentuje jako nejbezpečnější laboratoř umělé inteligence, to není dobrá vizitka. Analytici pro server The Verge poznamenali, že sice nehrozí bezprostřední zásadní škody, ale incident by měl být výzvou k investici do "procesů a nástrojů pro lepší provozní zralost."
A pak je tu ještě jeden kontext: Anthropic se údajně připravuje na vstup na burzu při ocenění kolem 380 miliard dolarů. Série bezpečnostních pochybení před nástupem na burzu není přesně to, co investoři rádi vidí.
