В конце марта 2026 года компания Anthropic, разработчик ИИ-модели Claude, столкнулась с серьезным инцидентом в области кибербезопасности: сотрудники случайно опубликовали в открытом доступе исходный код внутреннего инструмента Claude Code. Утечка произошла через npm-пакет @anthropic-ai/claude-code-core версии 1.0.0-leaked, размещенный в реестре примерно 28 марта. Пакет содержал файл cli.js.map объемом 57 МБ в формате JSON, который включал массивы sources с путями к файлам и sourcesContent с полным исходным кодом. Это позволило восстановить проект без декомпиляции: в итоге в сеть попали данные 4756 файлов, из которых 1906 — оригинальный TypeScript/TSX-код, а 2850 — зависимости из node_modules. Инцидент обнаружил исследователь Чаофан Шоу (Chaofan Shou), отметивший, что это не взлом, а ошибка при сборке, связанная с использованием фреймворка React и библиотеки Ink для интерфейса командной строки. Пакет удалили 31 марта, но зеркала и форки уже распространились в сети.
Событие привлекло внимание ИТ-сообщества, поскольку Claude Code — не публичный релиз модели Claude 3.7 Sonnet (вышедшей несколькими неделями ранее), а внутренний инструмент разработки. Anthropic ранее вела переговоры с Пентагоном, который хотел использовать их модели для всех законных целей, но компания настаивала на исключениях, запрещающих массовую слежку и автономное оружие. Утечка подчеркивает риски в цепочке поставок ПО: npm-реестр, популярный среди разработчиков JavaScript/Node.js, стал каналом компрометации. По мнению экспертов, такая ошибка могла раскрыть проприетарные алгоритмы, архитектуру и потенциальные уязвимости, хотя Anthropic не подтвердила наличие критических секретов в коде.
Последствия для рынка и пользователей оказались многогранными: разработчики получили доступ к коду, что стимулировало анализ и возможное создание форков, но усилило риски форка на пиратство и модификации. Для Anthropic это удар по репутации в условиях конкуренции с OpenAI и Google, потенциально замедливший коммерциализацию Claude Code. Пользователи ИИ-сервисов теперь скептичнее относятся к безопасности проприетарного ПО, что повышает спрос на открытые альтернативы и инструменты аудита сборок. Инцидент подчеркнул необходимость строгих проверок перед публикацией пакетов, повлияв на практики тысяч разработчиков и компании, аналогичные Yandex Cloud, где акцент на предотвращении утечек.
Инцидент с утечкой кода Anthropic стал важным событием для ИТ-сообщества, подчеркивающим уязвимости в безопасности программного обеспечения. Это также вызывает вопросы о доверии к проприетарным решениям в свете растущих рисков.
Источник: https://yandex.cloud/ru/blog/yandex-cloud-security-team
Комментарии(0)
Оставьте комментарий
Войдите, чтобы присоединиться к обсуждению