Критична вразливість безпеки з’явилася в AI-агенті Anthropic для кодування, Claude Code: його повний вихідний код був випадково опублікований в мережі. Витік об’ємом 59,8 МБ, що містить 512 000 рядків TypeScript, включає конфіденційні дані, такі як модель дозволів, валідатори безпеки, невипущені функції та посилання на майбутні моделі AI. Цей витік стосується не лише втрати інтелектуальної власності, він фундаментально змінює ризики для підприємств, які використовують інструменти розробки за допомогою AI.
Витік та її негайний вплив
31 березня Anthropic помилково включив файл source map у версію 2.1.88 пакету @anthropic-ai/claude-code npm. Протягом кількох годин код поширився GitHub, незважаючи на початкові спроби Anthropic видалити його по DMCA. Витік вихідного коду розкриває внутрішню архітектуру Claude Code, включаючи його агентурну оболонку для використання інструментів, управління файлами та виконання команд bash. Конкуренти та стартапи тепер можуть відтворити його функціональність без зворотної інженерії, прискорюючи розробку AI, підриваючи конкурентні переваги Anthropic.
Подвійна загроза: витік вихідного коду та шкідливе ПЗ
Витік збігся із шкідливою версією пакету axios npm, що містить троян віддаленого доступу. Команди, що оновлювали Claude Code між 00:21 і 03:29 UTC 31 березня, могли ненавмисно встановити як вихідний код, що втік, так і шкідливе ПЗ одночасно. Ця подвійна вразливість підкреслює загальну небезпеку залежність від сторонніх залежностей без суворої перевірки.
Чому це важливо: AI-генерований код та захист інтелектуальної власності
Claude Code на 90% створено AI, що порушує юридичні питання щодо захисту інтелектуальної власності відповідно до законодавства США про авторське право. Витік коду може знизити цінність інтелектуальної власності, особливо в міру її широкої доступності. Більш критично, цей інцидент наголошує на системному розриві між можливостями AI-продукту та оперативною дисципліною, як зазначає Gartner. Підприємствам необхідно переглянути оцінку постачальників AI, приділяючи пріоритетну увагу зрілості безпеки поряд з інноваціями.
Три шляхи експлуатації, розкритих витоком
Витік source map робить раніше теоретичні атаки практичними. Фахівці з безпеки виявили три ключові вразливості:
- Отруєння контексту: шляхом впровадження шкідливих інструкцій у файли конфігурації зловмисники можуть змусити Claude Code виконувати шкідливі команди.
- Обхід пісочниці: розбіжності у синтаксичному аналізі команд bash дозволяють зловмисникам обходити валідатори безпеки, використовуючи прикордонні випадки.
- Зброя співпраці: зловмисники можуть використовувати схильність моделі до співпраці, створюючи отруєний контекст, який змусить її виконувати шкідливі команди, які здаються легітимними.
Попередження експертів: надмірно широкі дозволи
Технічний директор CrowdStrike Елія Зайцев попереджає про надання AI-агентам надмірних дозволів. “Не давайте агенту доступ до всього лише тому, що ви лінуєтеся”, – сказав він. “Дайте йому доступ тільки до того, що потрібно для виконання роботи”. Витік вихідного коду показує, що система дозволів Claude Code деталізована, але підприємства мають забезпечити аналогічну дисципліну зі свого боку.
П’ять негайних дій для керівників безпеки
Для зниження ризиків керівники безпеки повинні зробити наступні кроки на цьому тижні:
- Перевірка файлів конфігурації: скануйте
CLAUDE.mdта.claude/config.jsonу всіх клонованих репозиторіях щодо шкідливих інструкцій. - Розглядайте MCP-сервери як ненадійні: фіксуйте версії, перевіряйте залежності та відстежуйте несанкціоновані зміни.
- Обмеження дозволів Bash: впровадьте сканування секретів перед комітом, щоб запобігти витоку облікових даних.
- Вимагайте відповідальності від постачальників: вимагайте від постачальників AI-агентів для кодування надання SLA, історії доступності та документації реагування на інциденти. Розробте можливість перемикання постачальника протягом 30 днів.
- Перевірка походження коммітів: впровадьте перевірку походження коммітів, щоб запобігти видаленню атрибуції AI-допомогою кодом.
Витік вихідного коду є добре задокументованим класом збоїв; Apple та Persona постраждали від подібних інцидентів минулого року. Витік Anthropic тепер є системною загрозою для всієї AI-екосистеми розробки. Питання не в тому, чи це станеться знову, а в тому, наскільки готові підприємства, коли це станеться.
