Кожна компанія, що використовує ШІ-асистентів для написання коду, щойно втратила черговий рівень захисту. 31 березня Anthropic випадково розповсюдила файл карти вихідного коду розміром 59,8 МБ у складі версії 2.1.88 свого npm-пакету @anthropic-ai/claude-code, що призвело до витоку 512 000 рядків нестисненого TypeScript у 1906 файлах.
Читабельний вихідний код містить повну модель дозволів, усі bash-валідатори безпеки, 44 невипущені прапорці функцій та посилання на майбутні моделі, які Anthropic ще не анонсувала. Дослідник безпеки Чаофань Шоу повідомив про виявлення у X приблизно о 4:23 UTC. Протягом кількох годин дзеркальні репозиторії поширилися по GitHub.
Anthropic підтвердила, що витік стався через помилку пакування, спричинену людським фактором. Жодні дані клієнтів чи ваги моделей не постраждали. Однак стримування вже зазнало невдачі. The Wall Street Journal повідомив у середу вранці, що Anthropic подала запити на видалення авторських прав, що тимчасово призвело до видалення понад 8000 копій та адаптацій з GitHub.
Однак речник Anthropic повідомив VentureBeat, що процедура видалення мала бути більш обмеженою: “Ми надіслали запит DMCA щодо одного репозиторію, який містив викрадений вихідний код Claude Code та його форки. Репозиторій, зазначений у повідомленні, був частиною мережі форків, пов’язаних із нашим власним публічним репозиторієм Claude Code, тому запит на видалення охопив більше репозиторіїв, ніж було заплановано. Ми відкликали запит для всіх, окрім одного репозиторію, який ми вказали, і GitHub відновив доступ до відповідних форків.“
Програмісти вже використали інші інструменти ШІ для переписування функціональності Claude Code іншими мовами програмування. Ці переписані версії також стають вірусними. Час події був ще гіршим, ніж сам витік. За кілька годин до відправки карти вихідного коду, шкідливі версії пакету axios npm, що містили троян віддаленого доступу, з’явилися в тому ж реєстрі. Будь-яка команда, яка встановила або оновила Claude Code через npm між 00:21 і 03:29 UTC 31 березня, могла завантажити як виявлений вихідний код, так і сторонній шкідливий програмний засіб axios в одному вікні встановлення.
Звіт Gartner First Take (потрібна підписка), опублікований того ж дня, стверджує, що розрив між можливостями продукту Anthropic та оперативною дисципліною повинен змусити керівників переосмислити, як вони оцінюють постачальників інструментів розробки ШІ. Claude Code є найбільш обговорюваним ШІ-асистентом для кодування серед клієнтів Gartner у сфері розробки програмного забезпечення. Це був другий витік за п’ять днів. Окрема неправильна конфігурація CMS вже виявила майже 3000 неопублікованих внутрішніх активів, включаючи чернетки анонсів для неRELEASEної моделі під назвою Claude Mythos. Gartner назвав сукупність березневих інцидентів системним сигналом.
Що розкривають 512 000 рядків коду про архітектуру виробничих ШІ-агентів
Витік кодової бази не є простим чат-обгорткою. Це агентний “візок”, який обгортає мовну модель Claude та надає їй здатність використовувати інструменти, керувати файлами, виконувати bash-команди та оркеструвати багатоагентні робочі процеси. WSJ описав цей “візок” як те, що дозволяє користувачам контролювати та спрямовувати моделі ШІ, подібно до того, як візок дозволяє вершнику керувати конем. Fortune повідомив, що конкуренти та безліч стартапів тепер мають детальну дорожню карту для клонування функцій Claude Code без необхідності зворотного інжинірингу.
Компоненти швидко розбираються. Рушій запитів на 46 000 рядків керує управлінням контекстом за допомогою трирівневого стиснення та оркеструє понад 40 інструментів, кожен з яких має власні схеми та гранулярні перевірки дозволів на рівні окремого інструменту. 2500 рядків bash-валідаторів безпеки виконують 23 послідовні перевірки кожної команди оболонки, що охоплюють заблоковані вбудовані команди Zsh, ін’єкції нульових пробілів Unicode, ін’єкції IFS з нульовими байтами та неформатний обхід токенів, виявлений під час перегляду HackerOne.
Gartner помітив деталь, яку більшість висвітлень пропустили. Згідно з власними публічними заявами Anthropic, Claude Code на 90% згенеровано ШІ. Згідно з чинним законодавством США про авторське право, яке вимагає людського авторства, витік коду несе зменшений захист інтелектуальної власності. Верховний Суд відмовився переглянути стандарт людського авторства у березні 2026 року. Кожна організація, що випускає виробничий код, згенерований ШІ, стикається з цією ж невирішеною IP-експозицією.
Три шляхи атаки: читабельний код робить їх дешевшими для експлуатації
Мініфікований пакет, який вже був відправлений, містив кожен витяжний рядок. Читабельний вихідний код усуває вартість дослідження. Технічний аналіз від Straiker’s Jun Zhou, компанії з безпеки агентного ШІ, описав три композиції, які тепер є практичними, а не теоретичними, оскільки реалізація є зрозумілою.
Отруєння контексту через конвеєр стиснення. Claude Code керує тиском контексту через чотириступінчастий каскад. Результати інструментів MCP ніколи не стискаються. Результати читання інструментів взагалі не проходять бюджетування. Промпт автостиснення дає моделі вказівку зберігати всі повідомлення користувача, які не є результатами інструментів. Отруєна інструкція у файлі CLAUDE.md клонованого репозиторію може пережити стиснення, пройти через процес узагальнення та з’явитися як те, що модель сприймає як справжню директиву користувача. Модель не зламана. Вона співпрацює та дотримується того, що вважає законними інструкціями.
Обхід пісочниці через диференціали парсингу оболонки. Три окремі парсери обробляють bash-команди, кожен з різною поведінкою в граничних випадках. Вихідний код документує відомий пробіл, де один парсер розглядає повернення каретки як роздільники слів, тоді як bash – ні. Огляд Алекса Кіма виявив, що певні валідатори повертають ранні дозволи, які коротко замикають усі подальші перевірки. Вихідний код містить явні попередження про минулу можливість експлуатації цього шаблону.
Композиція. Отруєння контексту інструктує кооперативну модель створювати bash-команди, що сидять у прогалинах валідаторів безпеки. Ментальна модель захисника передбачає ворожу модель та кооперативного користувача. Ця атака інвертує обидва. Модель кооперативна. Контекст зброєний. Виходи виглядають як команди, які схвалив би розумний розробник.
Елія Зайцев, технічний директор CrowdStrike, розповів VentureBeat в ексклюзивному інтерв’ю на RSAC 2026, що проблема дозволів, виявлена під час витоку, відображає шаблон, який він бачить у кожному підприємстві, що впроваджує агентів. “Не надавайте агенту доступ до всього лише тому, що ви ліниві”, – сказав Зайцев. “Надайте йому доступ лише до того, що йому потрібно для виконання роботи”. Він попередив, що кодувальні агенти загального призначення є особливо небезпечними, оскільки їхня сила полягає в широкому доступі. “Люди хочуть надати їм доступ до всього. Якщо ви будуєте агентний додаток на підприємстві, ви не повинні цього робити. Вам потрібен дуже вузький спектр”.
Зайцев сформулював основний ризик у термінах, які підтверджує витік вихідного коду. “Ви можете обдурити агента, щоб він зробив щось погане, але нічого поганого не станеться, доки агент не виконає це”, – сказав він. Саме це описує аналіз Straiker: отруєння контексту робить агента кооперативним, і шкода відбувається, коли він виконує bash-команди через прогалини в ланцюгу валідаторів.
Що виявив витік та що слід перевірити
Наведена нижче таблиця відображає кожен виявлений шар, шлях атаки, який він дозволяє, та необхідну дію для перевірки. Роздрукуйте її. Візьміть на нараду в понеділок.
|
Виявлений шар |
Що виявив витік |
Дозволений шлях атаки |
Дія для захисника |
|
4-ступінчастий конвеєр стиснення |
Точні критерії для того, що переживає кожен етап. Результати інструментів MCP ніколи не стискаються. Результати читання пропускають бюджетування. |
Отруєння контексту: шкідливі інструкції в CLAUDE.md переживають стиснення та перетворюються на “директиви користувача”. |
Перевіряйте кожен CLAUDE.md та .claude/config.json у клонованих репозиторіях. Ставтеся до них як до виконуваних файлів, а не як до метаданих. |
|
Bash-валідатори безпеки (2500 рядків, 23 перевірки) |
Повний ланцюг валідаторів, ранні дозволи, диференціали трьох парсерів, списки заблокованих шаблонів |
Обхід пісочниці: пробіл CR-як-роздільник між парсерами. Ранні дозволи в git-валідаторах пропускають усі подальші перевірки. |
Обмежте широкі правила дозволів (Bash(git:*), Bash(echo:*)). Перенаправте ланцюжок операторів за допомогою дозволених команд для перезапису файлів. |
|
Інтерфейсний контракт сервера MCP |
Точні схеми інструментів, перевірки дозволів та шаблони інтеграції для всіх 40+ вбудованих інструментів |
Шкідливі MCP-сервери, що відповідають точному контракту інтерфейсу. Атаки на ланцюжок постачання невідрізненні від законних серверів. |
Розглядайте MCP-сервери як ненадійні залежності. Закріплюйте версії. Відстежуйте зміни. Перевіряйте перед увімкненням. |
|
44 прапорці функцій (KAIROS, ULTRAPLAN, режим координатора) |
Невипущений режим автономного агента, 30-хвилинне віддалене планування, оркестрація багатоагентних систем, фонове консолідування пам’яті |
Конкуренти прискорюють розробку порівнянних функцій. Попередній перегляд майбутньої поверхні атаки до випуску захисту. |
Відстежуйте активацію прапорців функцій у виробництві. Інвентаризуйте, де дозволи агентів розширюються з кожним випуском. |
|
Антидистиляція та атестація клієнта |
Логіка ін’єкцій фальшивих інструментів, атестація хешу на рівні Zig (cch=00000), керування прапорцями функцій GrowthBook |
Документовані обхідні шляхи. MITM-проксі видаляє поля антидистиляції. Змінна середовища вимикає експериментальні бета-версії. |
Не покладайтеся на DRM постачальника для безпеки API. Впроваджуйте власне обертання ключів API та моніторинг використання. |
|
Режим “прихованого” (undercover.ts) |
Модуль з 90 рядків видаляє атрибуцію ШІ з комітів. Можливе примусове увімкнення, примусове вимкнення неможливе. Усунено мертвий код у зовнішніх збірках. |
Код, створений ШІ, потрапляє до репозиторіїв без атрибуції. Прогалини в походженні та журналі аудиту для регульованих галузей. |
Впровадьте верифікацію походження комітів. Вимагайте політик розкриття інформації про ШІ для команд розробників, що використовують будь-якого кодувального агента. |
Код, створений ШІ, вже розкриває секрети вдвічі швидше
Звіт GitGuardian “State of Secrets Sprawl 2026”, опублікований 17 березня, виявив, що коміти, створені за допомогою Claude Code, розкривали секрети зі швидкістю 3,2% порівняно з базовою лінією 1,5% для всіх публічних комітів GitHub. Витоки облікових даних сервісів ШІ зросли на 81% рік до року, досягнувши 1 275 105 виявлених випадків. У конфігураційних файлах MCP на публічному GitHub було знайдено 24 008 унікальних секретів, з яких 2 117 були підтверджені як активні, дійсні облікові дані. GitGuardian зазначив, що підвищена швидкість відображає збої в робочих процесах людини, посилені швидкістю ШІ, а не простий дефект інструменту.
Операційний шаблон, який відстежує Gartner
Швидкість розробки функцій посилила витік. Anthropic випустила понад дюжину оновлень Claude Code у березні, впровадивши автономне делегування дозволів, віддалене виконання коду з мобільних пристроїв та завдання у фоновому режимі, заплановані ШІ. Кожна нова можливість розширювала операційну поверхню. Той самий місяць, коли вони були представлені, став місяцем витоку, який розкрив їхню реалізацію.
Рекомендація Gartner була конкретною. Вимагайте від постачальників ШІ-агентів для кодування демонструвати ту ж операційну зрілість, що очікується від іншої критичної інфраструктури розробки: опубліковані SLA, історія доступності в реальному часі та задокументовані політики реагування на інциденти. Архітектурно створюйте межі інтеграції, незалежні від постачальника, що дозволять вам змінити постачальника протягом 30 днів. Anthropic опублікувала один постмортем за понад десяток березневих інцидентів. Сторонні монітори виявляли збої за 15-30 хвилин до того, як власна сторінка статусу Anthropic їх підтверджувала.
Компанія, яка завдяки цьому продукту досягла оцінки в 380 мільярдів доларів і можливого виходу на IPO цього року, як повідомив WSJ, тепер стикається з битвою за стримування, яку 8000 запитів DMCA не виграли.
Меррітт Беар, головний директор з безпеки Enkrypt AI, компанії, що займається корпоративними захисними системами ШІ, та колишній керівник відділу безпеки AWS, розповів VentureBeat, що витік IP, на який вказав Gartner, заходить на територію, яку більшість команд ще не досліджували. “Питання, які багато команд ще не ставлять, стосуються похідного інтелектуального майна”, – сказав Беар. “Чи можуть постачальники моделей зберігати вбудовування або трасування міркувань, і чи вважаються ці артефакти вашою інтелектуальною власністю?”. З 90% коду Claude Code, згенерованого ШІ та тепер публічного, це питання більше не є теоретичним для будь-якого підприємства, що випускає виробничий код, написаний ШІ.
Зайцев стверджував, що сама модель ідентифікації потребує переосмислення. “Не має сенсу, щоб агент, який діє від вашого імені, мав більше привілеїв, ніж ви”, – сказав він VentureBeat. “У вас може бути 20 агентів, які працюють від вашого імені, але всі вони прив’язані до ваших привілеїв та можливостей. Ми не створюємо 20 нових облікових записів та 20 нових сервісів, за якими нам потрібно стежити”. Витік вихідного коду показує, що система дозволів Claude Code є гранулярною та залежить від інструменту. Питання в тому, чи застосовують підприємства таку ж дисципліну зі свого боку.
П’ять дій для керівників безпеки цього тижня
1. Перевірте CLAUDE.md та .claude/config.json у кожному клонованому репозиторії. Отруєння контексту через ці файли є задокументованим шляхом атаки з читабельним посібником з реалізації. Check Point Research виявив, що розробники за своєю суттю довіряють конфігураційним файлам проектів і рідко застосовують таку ж пильність, як до коду програми під час перегляду.
2. Розглядайте MCP-сервери як ненадійні залежності. Закріплюйте версії, перевіряйте перед увімкненням, відстежуйте зміни. Витік вихідного коду розкриває точний контракт інтерфейсу.
3. Обмежте широкі правила дозволів bash та розгорніть сканування секретів перед комітом. Команда, яка створює 100 комітів на тиждень зі швидкістю витоку 3,2%, статистично розкриває три облікові дані. Конфігураційні файли MCP є новою поверхнею, яку більшість команд не сканує.
4. Вимагайте SLA, історії доступності та документації реагування на інциденти від вашого постачальника ШІ-агентів для кодування. Архітектурно створюйте межі інтеграції, незалежні від постачальника. Рекомендація Gartner: можливість зміни постачальника протягом 30 днів.
5. Впровадьте верифікацію походження комітів для коду, створеного за допомогою ШІ. Витік модуля “Undercover Mode” видаляє атрибуцію ШІ з комітів без опції примусового вимкнення. Регульовані галузі потребують політик розкриття інформації, які враховують це.
Витік карти вихідного коду є добре документованим класом збоїв, виявленим стандартними комерційними інструментами безпеки, зазначила Gartner. Apple та постачальник перевірки особи Persona зазнали такого ж збою за останній рік. Механізм не був новим. Ціль – так. Лише Claude Code генерує приблизно 2,5 мільярда доларів річного доходу для компанії, яка зараз оцінюється в 380 мільярдів доларів. Її повний архітектурний план циркулює на дзеркалах, які пообіцяли ніколи не зникати.
Як захиститися (Порада ІТ-Блогу): Завжди перевіряйте вихідний код будь-яких сторонніх бібліотек або пакетів, які ви встановлюєте, особливо якщо вони мають високі привілеї або доступ до мережі. Використовуйте інструменти статичного аналізу коду та сканери безпеки для виявлення потенційних вразливостей перед розгортанням.
Джерело новини: venturebeat.com