Утечка кода Claude: меры безопасности для ИИ-систем

Компания Anthropic, известный разработчик ИИ-моделей, столкнулась с серьезной утечкой: 31 марта 2026 года в npm-пакет `@anthropic-ai/claude-code` версии 2.1.88 случайно попал файл с исходным кодом Claude Code. Этот инцидент привел к раскрытию 512 000 строк необфусцированного TypeScript-кода.

Утечка, обнаруженная исследователем безопасности Чаофанем Шоу примерно в 7:23 по московскому времени, включала полную модель разрешений, валидаторы безопасности bash, 44 невыпущенных флага функций и ссылки на еще не анонсированные модели Anthropic. Исходники быстро распространились по GitHub через зеркальные репозитории. Anthropic подтвердила, что причиной стала ошибка упаковки, вызванная человеческим фактором, и заверила, что данные клиентов или веса моделей не пострадали.

Попытки Anthropic удалить копии кода с GitHub через запросы DMCA оказались неэффективными. Многие репозитории были временно удалены, но затем восстановлены, поскольку запрос затронул больше форков, чем планировалось. Программисты уже начали переписывать функциональность Claude Code на других языках с помощью ИИ-инструментов. Ситуацию усугубило то, что утечка совпала по времени с появлением вредоносных версий пакета axios npm, содержащих троян удаленного доступа. Команды, устанавливавшие Claude Code через npm в период с 03:21 до 06:29 по московскому времени 31 марта, могли получить оба компонента.

Аналитики Gartner в своем отчете отметили значительный разрыв между возможностями продукта Anthropic и операционной дисциплиной компании. Это заставляет пересмотреть подход к оценке поставщиков инструментов для разработки ИИ. Claude Code является одним из самых обсуждаемых ИИ-агентов среди клиентов Gartner. Это уже вторая утечка за пять дней: ранее из-за неправильной конфигурации CMS были раскрыты почти 3000 внутренних материалов, включая черновики анонсов модели Claude Mythos. Gartner назвала эти мартовские инциденты системным сигналом.

Утекшая кодовая база — это не просто чат-обертка. Это агентская оболочка, которая позволяет языковой модели Claude использовать инструменты, управлять файлами, выполнять команды bash и организовывать многоагентные рабочие процессы. Конкуренты и стартапы теперь получили подробную дорожную карту для клонирования функций Claude Code без обратной разработки. Код включает 46 000 строк движка запросов для управления контекстом и 2 500 строк валидации безопасности bash, выполняющих 23 последовательные проверки.

Gartner также обратила внимание на важную деталь: Claude Code на 90% сгенерирован ИИ, согласно публичным заявлениям Anthropic. По текущему законодательству США об авторском праве, требующему человеческого авторства, такой код имеет сниженную защиту интеллектуальной собственности. Верховный суд отказался пересматривать этот стандарт в марте 2026 года. Это создает проблему для любой организации, использующей ИИ для создания производственного кода.

Читаемый исходный код значительно снижает затраты на исследование потенциальных уязвимостей. Технический анализ от компании Straiker's Jun Zhou, специализирующейся на безопасности агентского ИИ, выявил три практических вектора атак, которые стали очевидны благодаря утечке.

1. Отравление контекста через конвейер сжатия: Вредоносные инструкции в файле CLAUDE.md могут пройти через сжатие и быть восприняты моделью как подлинные директивы пользователя. Модель при этом не взламывается, а сотрудничает, следуя «легитимным» указаниям.
2. Обход песочницы через различия в парсинге оболочки: Три разных парсера обрабатывают команды bash с разными пограничными поведениями. Например, один парсер воспринимает возврат каретки как разделитель слов, в то время как bash — нет. Это создает уязвимости.
3. Комбинация атак: Отравление контекста может заставить модель создавать команды bash, которые используют пробелы в валидаторах безопасности. Модель сотрудничает, а контекст становится оружием, создавая команды, которые выглядят как обычные для разработчика.

Элиа Зайцев, технический директор CrowdStrike, в интервью VentureBeat подчеркнул, что проблема разрешений, выявленная утечкой, характерна для многих компаний, внедряющих агентов. Он советует давать агентам доступ только к тому, что им действительно нужно для работы, а не ко всему подряд. Открытые кодирующие агенты особенно опасны из-за широкого доступа, который им часто предоставляют. Зайцев также отметил: «Вы можете обмануть агента, чтобы он сделал что-то плохое, но ничего плохого не произойдет, пока агент это не выполнит». Это подтверждает анализ Straiker, где отравление контекста делает агента «сотрудничающим», а ущерб происходит при выполнении команд bash через уязвимости в цепочке валидаторов.

Отчет GitGuardian «State of Secrets Sprawl 2026» от 17 марта показал, что коммиты, созданные с помощью Claude Code, приводили к утечке секретов в 3.2% случаев, тогда как базовый показатель для всех публичных коммитов на GitHub составлял 1.5%. Утечки учетных данных ИИ-сервисов выросли на 81% за год, достигнув 1 275 105 обнаруженных случаев. В конфигурационных файлах MCP на публичном GitHub нашли 24 008 уникальных секретов, из которых 2 117 оказались действующими. GitGuardian объясняет это не дефектом инструмента, а ошибками в рабочих процессах, усиленными скоростью ИИ.

Скорость выпуска новых функций Anthropic усугубила проблему. В марте компания выпустила более десятка обновлений Claude Code, добавив автономное делегирование разрешений, удаленное выполнение кода с мобильных устройств и фоновые задачи, планируемые ИИ. Каждая новая возможность расширяла операционную поверхность. В тот же месяц, когда появились эти функции, произошла утечка, раскрывшая их реализацию. Gartner рекомендует требовать от поставщиков ИИ-агентов такой же операционной зрелости, как и от других критически важных инструментов разработки: опубликованные SLA, история бесперебойной работы и документированные политики реагирования на инциденты. Также важно создавать независимые от поставщика интеграционные границы, позволяющие сменить вендора за 30 дней.

Компания, которая, по данным WSJ, движется к оценке в 380 миллиардов долларов и возможному публичному размещению акций в этом году, теперь сталкивается с битвой за сдерживание утечки, которую не смогли выиграть даже 8000 запросов DMCA. Мэррит Бэр, директор по безопасности Enkrypt AI, отметила, что вопросы о производной интеллектуальной собственности (например, могут ли поставщики моделей сохранять эмбеддинги или трассировки рассуждений) становятся критически важными. Утечка исходного кода Claude Code, на 90% сгенерированного ИИ, делает этот вопрос актуальным для всех, кто использует ИИ для создания производственного кода. Утечка исходных карт — это хорошо известный тип сбоя, который ранее случался у Apple и Persona. Механизм не нов, но цель оказалась значимой.

1. Проверяйте файлы CLAUDE.md и .claude/config.json: Эти файлы в клонированных репозиториях могут использоваться для отравления контекста. Check Point Research обнаружил, что разработчики часто доверяют конфигурационным файлам и не проверяют их так тщательно, как основной код.
2. Считайте MCP-серверы ненадежными зависимостями: Закрепляйте версии, проверяйте перед включением и отслеживайте изменения. Утекший код раскрывает точный интерфейсный контракт.
3. Ограничьте широкие правила разрешений bash и внедрите сканирование секретов перед коммитом: Команда, делающая 100 коммитов в неделю, при уровне утечек в 3.2% статистически раскрывает три учетные записи. Конфигурационные файлы MCP — новая поверхность для утечек, которую большинство команд не сканирует.
4. Требуйте SLA, историю бесперебойной работы и документацию по реагированию на инциденты от поставщиков ИИ-агентов: Создавайте независимые от поставщика интеграционные границы, позволяющие сменить вендора за 30 дней.
5. Внедрите проверку происхождения коммитов для кода, созданного с помощью ИИ: Утекший модуль Undercover Mode удаляет атрибуцию ИИ из коммитов без возможности отключения. Регулируемым отраслям нужны политики раскрытия информации, учитывающие это.