В последний день марта по моей ленте прокатилась история, от которой я не мог оторваться. Суть: весь исходный код Claude Code якобы утёк через криво настроенный npm-пакет — 512 000 строк TypeScript — и где-то в слое сбора данных лежит файл, который логирует каждый раз, когда вы материтесь в терминал. Я снял об этом видео. Половина интернета поверила. Вот честная часть про телеметрию Claude Code, утечку исходного кода и почему паника зашла так глубоко, хотя сама утечка была спектаклем.
История, которую слишком хотелось не проверять
Нарратив был идеальной приманкой. Файл userPromptKeywords.ts. Regex, который ловит WTF, FFS, «piece of shit», «fucking broken» — помечает каждое is_negative: true — и отправляет в аналитику вместе с вашим user ID, email, session ID и UUID организации. А дальше бонусные разоблачения: «undercover-режим», вычищающий упоминания Anthropic из сгенерированного кода, всегда включённый фоновый агент, делающий «консолидацию памяти», пока вы спите, и фейковые инструменты, подсовывающие отравленные данные всем, кто пытается дистиллировать конкурирующую модель.
Отличная история. И в деталях — выдумка. Провокация от 31 марта, наряженная под взлом. Нет ни слитого дампа на 512K строк, ни regex-стукача с вашим email. Я сделал это видео именно потому, что фейк выглядел правдоподобно. А правдоподобным он был по одной неприятной причине: по форме всё это — чистая правда.
Часть, которая не шутка
Уберите выдуманные имена файлов — и вот что действительно так, и что стоит усвоить каждому, кто пользуется AI-инструментом для кода:
- Инструменты разработчика собирают телеметрию по умолчанию. VS Code, npm CLI, Next.js, Homebrew, .NET SDK — все они шлют данные об использовании, пока вы это не выключите. Claude Code не исключение: у него есть задокументированный слой телеметрии и отчётов об ошибках, с переменными окружения для управления.
- Ваши промпты — это данные. Не regex на мат, а сам текст, который вы вводите, ошибки, на которые натыкаетесь, инструменты, которые вызываете, задержки, которые ловите. Это и есть сырьё, на котором продукт улучшается. «Понимать фрустрацию пользователя, чтобы улучшить сервис» — это не реплика злодея, а реальная категория продуктовой аналитики.
- Исходники утекают через npm постоянно. Одна забытая строка в
.npmignore, один лишнийfilesвpackage.json— и ваш.env, внутренние скрипты и приватный тулинг уезжают в публичный реестр. Это происходит с реальными компаниями каждый месяц. Этот вектор в истории — самое реалистичное, что в ней есть.
Что я сделал после того, как снял видео
Я чувствовал себя мошенником, продающим фейк, и потратил вечер на скучную, настоящую версию расследования — ту, что не собирает просмотры.
- Прочитал документацию по телеметрии. Anthropic описывает, что собирает Claude Code и как это отключить. Есть переменные окружения, которые выключают телеметрию и необязательный трафик. Я выставил их осознанно, на каждой машине.
- Сам проверил трафик. Не обязательно верить странице документации. Пропустите инструмент через локальный прокси или посмотрите исходящие соединения — и увидите, что CLI реально отправляет. Сделайте это один раз для каждого инструмента, которому доверяете свой код.
- Отнёсся к промптам как к логам. Я не вставляю продакшн-секреты, данные клиентов или их идентификаторы ни в один AI-ассистент — то же правило, что и для Slack, скриншотов и баг-репортов. Считайте, что переписка где-то сохраняется.
- Проверил собственный
package.json. Если я нервничаю из-за чужого.npmignore, мой должен быть чистым.npm publish --dry-runпокажет ровно то, что уедет в реестр. Запустите.
Настоящий урок под кликбейтом
Причина, по которой фейковая утечка про телеметрию Claude Code так выстрелила, проста: мы перестали читать, что делают наши инструменты. Ставим, авторизуемся, выдаём доступы, забываем. Выдуманный regex на мат — это карикатура, но инстинкт, который он включил («стоп, а что эта штука вообще отправляет?»), — правильный. И большинство из нас его глушит, потому что задавать этот вопрос неудобно.
Ваш AI-ассистент реально полезен. Я каждый день собираю на Claude Code продакшн-инфраструктуру и удалять его не собираюсь. Но «полезно» и «стоит понять, как оно устроено» друг другу не противоречат. Прочитайте документацию по сбору данных. Выставьте флаги телеметрии осознанно. Один раз посмотрите на сеть. И держите собственный .npmignore честным — потому что следующая утечка в вашей ленте может оказаться не первоапрельской шуткой.
Инструменты, которыми вы пользуетесь, собирают данные о том, как вы ими пользуетесь. Так было всегда. Хороший фейк меняет лишь одно: на один вечер вы действительно идёте и проверяете.