W dniu 31 marca 2026 roku świat sztucznej inteligencji wstrzymał oddech. Firma Anthropic, jeden z głównych rywali OpenAI, przypadkowo udostępniła pełny kod źródłowy swojego flagowego asystenta programistycznego, Claude Code.
To jedno z największych naruszeń własności intelektualnej w historii AI, które nie wynikało z zaawansowanego ataku hakerskiego, lecz ze zwykłego ludzkiego błędu. Polscy programiści, zwłaszcza w centrach innowacji w Warszawie czy Krakowie, do dziś wnikliwie analizują, jak ten bezprecedensowy incydent wpłynie na rynek narzędzi deweloperskich.
Dla branży, której wyceny sięgają setek miliardów złotych, takie potknięcie jest doskonałą lekcją pokory i ostrzeżeniem dla innych gigantów technologicznych.
Jak doszło do wycieku 500 tysięcy linii kodu?
Wszystko zaczęło się od porannej, z pozoru rutynowej aktualizacji w popularnym menedżerze pakietów npm. Wersja 2.1.88 pakietu Claude Code trafiła do globalnej sieci z krytycznym niedopatrzeniem konfiguracyjnym. Z powodu braku jednej krótkiej linijki w pliku .npmignore, do paczki produkcyjnej dołączono plik mapowania (tzw. source map) o rozmiarze niemal 60 megabajtów.
Błąd ten był technicznie powiązany ze środowiskiem uruchomieniowym Bun, w którym od kilku tygodni zgłaszano problem dotyczący generowania map w środowisku produkcyjnym. Zamiast standardowo zaciemnionego skryptu, deweloperzy z całego świata nagle zyskali dostęp do oryginalnych, czytelnych plików TypeScript. Warto podkreślić, że incydent zbiegł się w czasie z niebezpiecznym atakiem hakerskim typu RAT na popularną bibliotekę Axios.
Oznaczało to podwójne ryzyko cybernetyczne dla firm IT nad Wisłą, które tamtego dnia automatycznie pobierały nowe pakiety ze zdalnych repozytoriów. Pliki z wyciekiem błyskawicznie trafiły na platformę GitHub, stając się najszybciej pobieranym projektem w jej wieloletniej historii.
Co ujawnił kod źródłowy Claude Code?
Chociaż same wagi modeli językowych z rodziny Claude pozostały absolutnie bezpieczne na zamkniętych serwerach, wyciekł cały „mózg” aplikacji klienckiej sterującej asystentem. Światło dzienne ujrzało ponad 512 tysięcy linii kodu ukrytych w blisko dwóch tysiącach plików źródłowych.
Znalazły się tam bezcenne instrukcje dotyczące działania wieloagentowych systemów orkiestracji, wewnętrzna architektura ukrytych narzędzi operacyjnych oraz aż 44 nieaktywne flagi eksperymentalnych funkcji. Największym zaskoczeniem dla ekspertów okazał się moduł wirtualnego, gamifikowanego asystenta w stylu kultowego Tamagotchi oraz skomplikowany system inteligentnej edycji plików.
Ten ostatni był w całości oparty na analizie różnicowej (diff), zamiast powolnego przepisywania całych dokumentów od zera. Dla globalnej konkurencji i lokalnych startupów to wręcz darmowy podręcznik inżynierii oprogramowania najwyższej klasy.
Reakcja Anthropic i rynkowe konsekwencje
Kierownictwo firmy Anthropic szybko wydało oficjalne oświadczenie, starając się uspokoić inwestorów i zaniepokojonych użytkowników, że nie wyciekły absolutnie żadne wrażliwe dane klientów, klucze API ani poświadczenia logowania.
Przedsiębiorstwo wysłało dziesiątki rygorystycznych wniosków DMCA o natychmiastowe usunięcie zduplikowanych repozytoriów, jednak w internecie nic nie ginie tak łatwo. Dla wielu specjalistów od cyberbezpieczeństwa ten wyciek stanowi ostateczny dowód na to, jak trudne jest utrzymanie higieny środowiska DevOps w szybko rosnących organizacjach.
Choć Anthropic zaliczył spektakularną wpadkę wizerunkową dla firmy wycenianej na niemal 76 miliardów złotych (około 19 mld dolarów), paradoksalnie dostarczył środowisku open source genialne wzorce architektoniczne. Rynek sztucznej inteligencji przeszedł właśnie potężną transformację, a inżynieria promptów przestała być pilnie strzeżoną czarną skrzynką.