Claude Code leak — DMCA fiasko, trojanizované forky a dopady na ČR

· 10 min čtení · Kategorie: novinky
Claude Code leak — DMCA fiasko, trojanizované forky a dopady na ČR

Jedna věc je vypustit do světa 512 000 řádků produkčního TypeScriptu. Druhá věc je to pak zvládnout. Reakce Anthropicu na leak Claude Code vešla do historie jako učebnicový Streisand efekt: DMCA takedown na 97 repozitářů stáhl s sebou 8 100 forků včetně oficiálních Anthropic repozitářů, komunitní clean-room přepis vyskočil na 30 000 hvězd za 24 hodin a mezitím začaly v trojanizovaných forcích cirkulovat dva malware payloady. Tento článek je druhou částí dvojdílné analýzy a rozebírá právní, bezpečnostní a byznysové dopady. Technická anatomie leaku, architektura v pěti vrstvách a undercover mode pokrývá část první.

Stručně: co se stalo po leaku

  • Přehnaný DMCA zásah: notice na 1 repo + 97 forků smazala 8 100 repozitářů včetně oficiálních. Retrakce do několika hodin, ale škoda způsobena.
  • Copyright ironie: firma, která v září 2025 platila 1,5 mld USD settlement za trénování na LibGen, teď posílá DMCA na své vlastní omylem vypuštěné zdrojáky.
  • Supply-chain útok: Vidar v18.7 a GhostSocks v trojanizovaných forcích, 4 200–5 800 napadených strojů k 14. 4. 2026, weaponizované CVE-2025-59536 a CVE-2026-21852.
  • Regulace v ČR: NIS2 SBOM povinnost, GDPR čl. 32, EU AI Act od 2. 8. 2026.
Streisand efekt v datech
Přehnaný DMCA zásah → Streisand mobilizace DMCA notice 97 repo v seznamu Fork network 8 100 smazaných repo claw-code odpověď 30 K ★ za 24 hodin 1. 4. 2026 poledne GitHub fork policy Sigrid Jin, clean-room „Notice přišel, komunita zareagovala — efekt opačný, než byl záměr." Zdroje: github/dmca, TechCrunch, Decrypt

1. dubna 2026 kolem poledne středoevropského času poslal externí právní zástupce Anthropicu oficiální DMCA takedown notice na GitHub. Notice je veřejně dostupná v repozitáři github/dmca (cesta 2026/03/2026-03-31-anthropic.md), označuje jako infringing primární repozitář nirholas/claude-code a přidává seznam 97 forkovaných URL s tvrzením „The entire repository is infringing".

GitHub provedl takedown podle své standardní politiky: pokud je primární repozitář označen jako porušující, všechny jeho forky jsou považovány za porušující ve stejném rozsahu. Fork network obsahoval přes 8 100 repozitářů. Takedown zasáhl i forky oficiálního anthropics/claude-code, které Anthropic sám udržuje jako veřejnou dokumentaci — vývojáři, kteří si klonovali tento veřejný repozitář, najednou dostali DMCA strike za kód, který sám Anthropic zveřejnil.

Během odpoledne zareagoval Boris Cherny, vedoucí Claude Code, pro TechCrunch: takedown byl „accidentally too broad" a Anthropic notice zúžil zpět na 1 repozitář + 96 forků. Tisíce nelegitimně zasažených repozitářů byly obnoveny — ale škoda byla způsobena: komunita to vnímala jako agresivní tah velké korporace proti jednotlivcům, kteří jen omylem zdědili forky.

Co to znamená pro váš GitHub účet

Pokud jste v březnu 2026 nebo dříve forkovali jakýkoliv repozitář obsahující claude-code v názvu, zkontrolujte, že váš účet nemá aktivní copyright strike. DMCA striky se započítávají do GitHub repeat infringer politiky a tři striky vedou k zablokování účtu. Po 1. 4. 2026 byly nelegitimní striky zpětně vymazány, ale pokud váš účet prošel obdobím, kdy byly aktivní, ověřte si stav v Settings → Account → DMCA takedowns.

Clean-room Python jako legální cesta

Paralelně s DMCA dělal Sigrid Jin z Jižní Koreje něco právně rafinovanějšího: místo aby kopíroval leaknutý zdroják, použil AI orchestraci k clean-room reimplementaci architektury v Pythonu. Clean-room metoda je v US a EU copyright právu uznávaná cesta, jak vytvořit kompatibilní software bez porušení autorských práv originálu: autor čte behaviorální specifikaci, ale nevidí originální kód. Výsledný claw-code tedy není kopií Claude Code, ale novou implementací inspirovanou jeho chováním — a DMCA proti němu nemá právní oporu. Repozitář získal podle Decryptu 30 000 GitHub hvězd za méně než 24 hodin. Paralelně se objevily mirrory na GitLawb (decentralizovaný Git přes libp2p), IPFS a v torrent sítích.

Firma, která trénovala na LibGen, posílá DMCA

Tady nabírá situace morálně obtížnější rozměr. Anthropic v září 2025 uzavřel soudní smír ve výši 1,5 miliardy dolarů (Bartz v. Anthropic, Northern District of California, soudce William Alsup) za to, že k trénování Claude 1–3 stáhl LibGen a Pirate Library Mirror — souhrnně přes 7 milionů knih bez souhlasu nakladatelů. Alsup v březnu 2025 rozhodl, že samotné trénování je transformativní fair use, ale akt stažení pirátských kopií fair use není. Při hrozbě statutory damages až $150 000 za knihu uzavřel Anthropic settlement — nejvyšší v historii copyright sporů proti technologickým firmám.

Součástí žaloby byla interní Slack komunikace z let 2021–2023. Spoluzakladatel Ben Mann tam 28. 1. 2022 v kanálu #general napsal „just in time!!!" na zprávu, že Pirate Library Mirror zpřístupnil další 2 miliony knih. Paralelně Futurism v létě 2025 publikoval odhalení projektu Project Panama: firma nakupovala fyzické knihy, destruktivně je skenovala v průmyslovém scanneru, extrahovala text a výtisky skartovala. Interní dokument obsahoval větu product manažera: „We don't want it to be known that we did this."

„Firma, která nakupovala knihy jen proto, aby je zničila a uchovala si text v tajných serverech, teď argumentuje, že 97 forků zrcadlících její vlastní omylem vypuštěný zdroják je copyright violation. To je definice chutzpah."

Komentář na Dev.to, 2. 4. 2026, autor „rheingold_helix" (2 300 upvotes)

Existuje i cyničtější čtení: někteří komentátoři argumentují, že celý incident je záměrná PR strategie — Anthropic bojuje o enterprise kontrakty proti OpenAI a Google a leak ukazuje firmu jako obranně sofistikovanou. Přímé důkazy pro tuto teorii ale neexistují a leak přes omylem přibalenou source mapu je pro firmu orientovanou na bezpečnost ponižující způsob, jak získat pozornost. Pravděpodobnější vysvětlení: Bun bug a chybějící .npmignore byly lidskou chybou, zatímco DMCA fiasko je produktem právní kultury, která reflexivně hájí IP místo toho, aby strategicky posoudila situaci.

Bezpečnostní fallout: Vidar, GhostSocks a weaponizované CVE

Zatímco DMCA dominoval titulkům, v pozadí se rozjela konkrétnější hrozba. Během dvou týdnů mezi 2. a 14. 4. 2026 začaly v trojanizovaných forcích leaknutého Claude Code cirkulovat dva malware payloady. 14. 4. 2026 vydala Zscaler ThreatLabz technickou zprávu, která mapuje útočnou infrastrukturu — a potvrzuje, že supply-chain riziko není hypotetické.

Vidar je komoditní information stealer (od 2018, v18.7 únor 2026) na krádež cookies, hesel z prohlížečů, kryptoměnových peněženek, Telegram session files a Discord tokenů. Do forků byl zabalen jako postinstall npm hook — jakmile si někdo repozitář naklonoval a spustil npm install, Vidar se aktivoval. GhostSocks je novější reverse SOCKS5 proxy, která připojí napadený stroj k C2 útočníka jako anonymizační uzel. Zscaler uvádí konkrétní C2: IP 185.156.72.68 (Ponytelecom, Rusko) a domény claude-code-updates[.]pro a anthropic-cdn[.]tech, obě zaregistrované 1. 4. 2026. Odhadovaný počet napadených strojů k 14. 4. 2026: 4 200–5 800 unikátních IP, primárně USA, Německo, UK, Indie, Brazílie.

CVEPopisCVSSPatched
CVE-2025-59536RCE přes unescape v execution sandboxu Claude Code. Malicious input v chat historii uniknul ze sandboxu při povoleném shell exec.8.4 (High)v 2.1.85 (15. 3. 2026)
CVE-2026-21852Path traversal v Claude Code hooks. Malicious hook script mohl přepsat soubory mimo working directory.7.2 (High)v 2.1.87 (28. 3. 2026)

Veřejné CVE v Claude Code před leakem. Zdroje: NVD, GitHub Security Advisories anthropics/claude-code.

Kombinace trojanizovaného forku (který obsahuje starší verzi) + aktivního Vidar + weaponizované CVE-2025-59536 = plný kompromis stroje během minut od npm install. Zscaler pozoroval kampaně, ve kterých byly trojanizované forky doporučovány jako „lepší, rychlejší" varianta Claude Code na YouTube tutoriálech a Twitter threadech (s padesáti a více účty vytvořenými mezi 2. a 5. 4. 2026).

Jak poznat malicious fork

  • Neforkujte nirholas/claude-code, claude-source-leak, anthropic-leaked a podobně pojmenované repozitáře. Autoři legitimních klonů (claw-code od Sigrid Jina, open-claude) používají odlišné názvy a jsou dohledatelní v komunitě.
  • Zkontrolujte package.json před npm install. Legitimní Claude Code má postinstall jen na kompilaci binárky. Podezřelé: curl, wget, base64 dekódování, spuštění shell skriptu.
  • Preferujte oficiální zdroj: npm install -g @anthropic-ai/claude-code@latest. Pokud chcete analyzovat leak, dělejte to v izolované VM bez přístupu k vašim GitHub/npm credentials, SSH klíčům a cloud tokenům.
  • Monitorujte síťový provoz. Pokud stanice po instalaci kontaktuje IP mimo api.anthropic.com a GitHub CDN, jde o signál kompromisu.

Co to znamená pro české vývojáře a firmy

Dopad leaku lze pro český kontext rozdělit do tří rovin: právní, bezpečnostní (NIS2) a compliance (GDPR).

Právní: DMCA v ČR neplatí, AutZ ale ano

DMCA je federální zákon USA a v České republice žádný ekvivalent takedown procesu neexistuje. Český vývojář, který si stáhne leaknutý zdroják do studijního adresáře, nemůže čelit DMCA notice. Existuje ale článek 4 EU DSM směrnice (2019/790, transponovaná do § 30 a § 39 AutZ novelou účinnou od 5. 1. 2023), který zavádí výjimku pro text and data mining (TDM) k vědeckým účelům. Studium leaknutého zdrojáku je v ČR legální, pokud získáte kopii legálně nebo oprávněně přístupem, provádíte TDM za účelem výzkumu (nikoli komerčního využití), a rightsholder neuplatnil opt-out technickým prostředkem. Anthropic opt-out tag v leaku neuplatnil — nemohl — takže studium je chráněno. Publikace, komerční využití nebo zkopírování funkcionality je ale porušením autorských práv a Anthropic by mohl uplatnit nároky u českého soudu (Nařízení Brusel I bis 1215/2012, čl. 7 odst. 2).

NIS2: 6 000 českých subjektů a SBOM povinnost

Česká republika transponovala NIS2 směrnici do zákona č. 150/2025 Sb. s účinností od 1. 10. 2024 (přechodné období do 18. 10. 2025). Zákon pokrývá zhruba 6 000 regulovaných subjektů (NÚKIB odhad) včetně středních a velkých IT firem, digitální infrastruktury, zdravotnických zařízení a poskytovatelů cloud služeb. Pro ně leak přináší dvě konkrétní povinnosti: Software Bill of Materials podle ZKB § 15 — udržovaný soupis SW komponent včetně dependencies; pokud používáte @anthropic-ai/claude-code, je třeba ověřit oficiální zdroj a dokumentovat verzi. A incident reporting podle § 27: pokud vývojář nevědomě stáhl trojanizovaný fork a dojde k exfiltraci, jde o významný incident s povinností hlášení NÚKIB do 24 hodin (early warning) a plné zprávy do 72 hodin.

GDPR čl. 32: compromised dependency = failure of security

Článek 32 GDPR vyžaduje vhodná technická a organizační opatření k zajištění bezpečnosti zpracování osobních údajů. ÚOOÚ ve svém metodickém materiálu z června 2025 explicitně uvádí, že neprověřené supply-chain komponenty — včetně malicious npm balíčků — jsou porušením čl. 32. Pokud v aplikaci zpracovávající osobní údaje klientů běží trojanizovaný fork a dojde k exfiltraci, jde o data breach s povinností notifikace ÚOOÚ do 72 hodin a subjektům údajů bez zbytečného odkladu, s hrozbou pokuty až 4 % celosvětového obratu nebo 20 milionů EUR.

5 konkrétních kroků po leaku

  1. Audit npm závislostí. Spusťte npm audit a ověřte, že @anthropic-ai/claude-code je z oficiálního registry (publisher: Anthropic) a verze ≥ 2.1.89.
  2. Nestahujte trojanizované forky na produkční stroj. Pro analýzu leaku použijte izolovanou VM bez přístupu k credentials.
  3. Aktualizujte SBOM, pokud jste regulovaný subjekt podle NIS2. NÚKIB má od 10/2025 mandát provádět audity.
  4. Nevyvíjejte konkurenční klon z leaknutého zdrojáku. TDM výjimka chrání studium, derivative work pro komerční distribuci je porušením AutZ.
  5. Zvažte multi-provider strategii. Leak ukazuje, že i Anthropic má provozní chyby. Pro produkční AI pracovní toky testujte OpenAI Codex, Aider a Cline jako provozní zálohu.

Čeští vývojáři rozšiřují starou zkušenost se shadow IT na shadow AI — situaci, kdy zaměstnanci používají AI asistenty bez formální politiky firmy. Podrobněji v článku Shadow AI: Když zaměstnanci používají AI bez vědomí firmy. Supply-chain útok přes leaknutý Claude Code je navíc příkladem kategorie rizik, kterou rozebírá analýza Prompt injection: Bezpečnostní hrozba č. 1 pro firemní AI — zatímco prompt injection cílí na inference, tady útočník manipuluje distribuční kanál; obě cesty ústí do téhož výsledku.

Co sledovat dál (květen–červenec 2026)

Leak byl bodovou událostí, ale jeho druhotné efekty se teprve rozvíjejí. Čtyři signální linie k sledování:

1. Adopce anti-distillation technik u konkurence. Je otázka týdnů, zda OpenAI (Codex CLI) a Google (Gemini Code Assist, Jules) přidají obdobné fake tools a client attestation schémata. Pokud ano, je to potvrzení, že model distillation přes CLI scraping je reálná hrozba, kterou si frontier laby vzájemně potvrdí. Pokud ne, je to signál, že unikátní pohled Anthropicu na tento problém odráží specifickou interní kulturu.

2. Budoucnost claw-code a komerčního forku. Otázka je, zda projekt Sigrid Jina udrží dynamiku a stane se alternativním CLI pro open-source komunitu, která nechce platit Anthropic subscription, nebo zda utrpí na nedostatku behaviorální parity (clean-room je technicky náročný). Pokud Jin získá VC investici a udělá komerční fork (oznámení je pravděpodobné v Q2 2026), je to přímá hrozba pro Anthropic developer revenue.

3. Anthropic security review. Boris Cherny v TechCrunch rozhovoru z 2. 4. 2026 oznámil interní audit build pipeline a npm publikačního procesu, který bude trvat 60–90 dní. Publikace post-mortem by měla přijít do 1. 7. 2026. Sledujte, zda bude bez hledání viníků a zda přinese konkrétní nápravná opatření: povinné odstraňování source map, kontroly před npm publish a samostatný build pro externí distribuci.

4. EU AI Act a regulační dopad. EU AI Act vstupuje v plnou účinnost 2. 8. 2026 (General-Purpose AI obligations platí už od 2. 2. 2025). Otázka: je zdrojákový leak špičkového CLI incidentem, který podle čl. 55 musí být hlášen European AI Office? Pokud by AI Office rozhodl, že ano, šlo by o první velké enforcement action proti americké frontier lab a NÚKIB by dostal precedent pro podobná hlášení. Paralelně se otevírá debata, zda leak posiluje argument pro open-source frontier modely (viz analýza Meta Muse Spark launch).

FAQ

Je nelegální stáhnout si leaknutý Claude Code zdroják v ČR?

Stažení pro studijní a výzkumné účely je v ČR chráněno výjimkou pro Text and Data Mining podle § 30 AutZ (novela 5. 1. 2023, transpozice čl. 4 EU DSM směrnice 2019/790). Komerční využití, publikace nebo derivative work pro distribuci jsou porušením autorských práv — Anthropic by mohl uplatnit nároky u českého soudu. DMCA v ČR neplatí, žaloba podle AutZ ano.

Jak poznám trojanizovaný claude-code repozitář?

Čtyři signály: název obsahuje „leak", „source", „leaked" nebo „mirror"; publisher není Anthropic a účet má méně než 100 followerů; package.json má nestandardní postinstall hook (curl, wget, base64, shell skript místo kompilace); repozitář byl vytvořen mezi 31. 3. a 5. 4. 2026. Oficiální Claude Code: npm install -g @anthropic-ai/claude-code (verze ≥ 2.1.89).

Musí regulovaný subjekt podle NIS2 nahlásit incident po stažení trojanizovaného forku?

Pokud se exfiltrace citlivých dat potvrdí, jde o významný incident podle § 27 zákona č. 150/2025 Sb. — early warning NÚKIB do 24 hodin, plná zpráva do 72 hodin. U osobních údajů paralelně hlášení ÚOOÚ do 72 hodin podle GDPR čl. 33. Pokuta až 4 % obratu nebo 20 milionů EUR.

Je claw-code od Sigrid Jina legální alternativa?

Ano. Clean-room reimplementace je v US i EU copyright právu uznávanou cestou: autor čte behaviorální specifikaci, ale nevidí originální kód. Claw-code tedy není kopií, ale novou implementací inspirovanou chováním Claude Code — DMCA proti němu nemá oporu. Rizika jsou jiná: behaviorální parita nebude 1:1 a kvalita závisí na schopnosti autora replikovat složitou orchestraci.

Zdroje

Primární (oficiální nebo prvotní reportáž)

  1. GitHub DMCA Notice: Anthropic PBC vs. nirholas/claude-code (1. 4. 2026) — originál takedown notice a seznam 97 forků
  2. TechCrunch: Anthropic accidentally leaks Claude Code source (1. 4. 2026, Tim Fernholz)
  3. Anthropic oficiální stanovisko a post-mortem plán (2. 4. 2026, Boris Cherny)
  4. Zscaler ThreatLabz: Trojanized claude-code forks delivering Vidar & GhostSocks (14. 4. 2026)
  5. Decrypt: claw-code hits 30,000 stars in 24 hours (3. 4. 2026)
  6. Futurism: Inside Project Panama — Anthropic's book scanning operation (léto 2025)

Counter-narrativ a komunitní analýza

  1. Dev.to: Was the Claude Code leak the best PR stunt in AI history? (2. 4. 2026)
  2. Hacker News discussion: What the Claude Code source reveals (1. 4. 2026)

Kontext a regulace

  1. NÚKIB: NIS2 a zákon č. 150/2025 Sb.
  2. EU DSM směrnice 2019/790, čl. 4 — TDM výjimka
  3. NVD: CVE-2025-59536 (RCE v execution sandboxu)
  4. NVD: CVE-2026-21852 (path traversal v hooks)

Související články

  1. Uvnitř Claude Code: Anatomie leaku a 5 vrstev architektury (část 1)
  2. Shadow AI: Když zaměstnanci používají AI bez vědomí firmy
  3. Prompt injection: Bezpečnostní hrozba č. 1 pro firemní AI

Související články