W agencie kodującym AI firmy Anthropic, Claude Code, pojawiła się krytyczna luka w zabezpieczeniach: jego pełny kod źródłowy został przypadkowo opublikowany w Internecie. Wyciek o wielkości 59,8 MB i zawierający 512 000 wierszy TypeScriptu zawiera wrażliwe dane, takie jak model uprawnień, walidatory bezpieczeństwa, niepublikowane jeszcze funkcje i odniesienia do przyszłych modeli sztucznej inteligencji. Wyciek ten nie dotyczy tylko utraty własności intelektualnej, ale zasadniczo zmienia ryzyko dla firm korzystających z narzędzi programistycznych AI.
Wyciek i jego bezpośrednie skutki
31 marca firma Anthropic błędnie umieściła plik mapy źródłowej w wersji 2.1.88 pakietu @anthropic-ai/cloude-code npm. W ciągu kilku godzin kod rozprzestrzenił się w GitHubie pomimo początkowych prób usunięcia go przez firmę Anthropic za pośrednictwem ustawy DMCA. Wyciek kodu źródłowego ujawnia wewnętrzną architekturę Claude Code, w tym jego powłokę agenta do korzystania z narzędzi, zarządzania plikami i wykonywania poleceń bash. Konkurenci i start-upy mogą teraz replikować jego funkcjonalność bez inżynierii wstecznej, przyspieszając rozwój sztucznej inteligencji i jednocześnie osłabiając przewagę konkurencyjną Anthropic.
Podwójne zagrożenie: wycieki kodu źródłowego i złośliwe oprogramowanie
Wyciek zbiegł się w czasie ze złośliwą wersją pakietu axios npm zawierającą trojana zdalnego dostępu. Zespoły aktualizujące Claude Code między 00:21 a 03:29 UTC 31 marca mogły przypadkowo zainstalować jednocześnie kod źródłowy, który wyciekł, i złośliwe oprogramowanie. Ta podwójna luka podkreśla ogólne niebezpieczeństwo polegania na zależnościach stron trzecich bez rygorystycznych testów.
Dlaczego to ma znaczenie: kod wygenerowany przez sztuczną inteligencję i ochrona własności intelektualnej
Claude Code jest w 90% generowany przez sztuczną inteligencję, co rodzi kwestie prawne dotyczące ochrony własności intelektualnej na mocy amerykańskiego prawa autorskiego. Kod, który wyciekł, może zmniejszyć wartość własności intelektualnej, zwłaszcza że jest ona powszechnie dostępna. Co ważniejsze, incydent ten uwydatnia systemową lukę między możliwościami produktów AI a dyscypliną operacyjną, jak zauważa Gartner. Przedsiębiorstwa muszą ponownie ocenić dostawców sztucznej inteligencji, stawiając na pierwszym miejscu dojrzałość w zakresie bezpieczeństwa obok innowacji.
Trzy ścieżki eksploatacji ujawnione przez wyciek
Wyciek mapy źródłowej sprawia, że wcześniej teoretyczne ataki stają się praktyczne. Eksperci ds. bezpieczeństwa zidentyfikowali trzy kluczowe luki:
- Zatrucie kontekstu: Wstrzykując złośliwe instrukcje do plików konfiguracyjnych, atakujący mogą zmusić Claude Code do wykonania złośliwych poleceń.
- Ominięcie piaskownicy: Rozbieżności w analizie poleceń Bash umożliwiają atakującym ominięcie modułów sprawdzających bezpieczeństwo przy użyciu przypadków brzegowych.
- Uzbrojenie współpracy: Atakujący mogą wykorzystać skłonności modelu do współpracy, tworząc zatruty kontekst, który spowoduje wykonanie złośliwych poleceń, które wydają się uzasadnione.
Ostrzeżenia ekspertów: zbyt szerokie uprawnienia
CrowdStrike CTO Eliya Zaitsev ostrzega przed udzielaniem agentom AI nadmiernych uprawnień. „Nie dawaj agentowi dostępu do wszystkiego tylko dlatego, że jesteś leniwy” – powiedział. „Daj mu dostęp tylko do tego, co jest niezbędne do wykonania pracy”. Kod źródłowy, który wyciekł, pokazuje, że system uprawnień Claude Code jest szczegółowy, ale firmy muszą zapewnić ze swojej strony podobną dyscyplinę.
Pięć natychmiastowych działań dla liderów bezpieczeństwa
Aby ograniczyć ryzyko, liderzy ds. bezpieczeństwa powinni w tym tygodniu podjąć następujące kroki:
- Sprawdzanie plików konfiguracyjnych: Przeskanuj pliki
CLAUDE.mdi.claude/config.jsonwe wszystkich sklonowanych repozytoriach w poszukiwaniu złośliwych instrukcji. - Traktuj serwery MCP jako niezaufane: zatwierdzaj wersje, sprawdzaj zależności i śledź nieautoryzowane zmiany.
- Ograniczenie uprawnień Bash: Wdrożenie skanowania tajnych danych przed zatwierdzeniem, aby zapobiec wyciekowi danych uwierzytelniających.
- Odpowiedzialność dostawców na żądanie: Wymagaj od dostawców agentów AI kodowania w celu zapewnienia umów SLA, historii dostępności i dokumentacji dotyczącej reakcji na incydenty. Rozwiń umiejętność zmiany dostawcy w ciągu 30 dni.
- Sprawdzanie pochodzenia zatwierdzeń: Wprowadź sprawdzanie pochodzenia zatwierdzeń, aby zapobiec usuwaniu atrybucji przez kod AI.
Wycieki kodu źródłowego to dobrze udokumentowana klasa błędów; W zeszłym roku Apple i Persona doświadczyły podobnych incydentów. Wyciek Anthropic stanowi obecnie systemowe zagrożenie dla całego ekosystemu rozwoju sztucznej inteligencji. Pytanie nie brzmi, czy taka sytuacja się powtórzy, ale jak przedsiębiorstwa są na nią przygotowane.
