Оригинальный заголовок: Anthropic: The Leak, The War, The Weapon
Оригинальный автор: BuBBliK
Перевод: Peggy，BlockBeats

Примечание редакции: за последние полгода Anthropic снова и снова оказывалась вовлечена в целую серию событий, которые выглядят как независимые друг от друга, но на деле взаимно указывают друг на друга: скачки в возможностях моделей, автоматизированные атаки в реальном мире, резкая реакция рынка капитала, публичные столкновения с правительством и неоднократные утечки информации, вызванные ошибками в базовой конфигурации. Если сложить эти подсказки вместе, они рисуют более ясное направление грядущих изменений.

В этой статье, используя эти события как точку входа, рассматривается последовательная траектория одной AI-компании в контексте технологических прорывов, раскрытия рисков и конкуренции в области управления, а также делается попытка ответить на более глубокий вопрос: когда способность «находить уязвимости» многократно усиливается, постепенно распространяется и становится повсеместной, сможет ли сама система кибербезопасности сохранить логику своего прежнего функционирования.

Раньше безопасность строилась на дефиците возможностей и ограничениях, связанных с людьми; однако при новых условиях атака и оборона все больше вращаются вокруг одной и той же модели возможностей, а границы становятся все более размытыми. Между тем реакция институтов, рынка и организаций по-прежнему остается в рамках старых схем и с трудом успевает подхватывать эти изменения.

Эта статья посвящена не только самой Anthropic, но и более масштабной реальности, которую она отражает: AI меняет не только инструменты, но и предпосылки того, как вообще «состоит» безопасность.

Ниже приведен оригинальный текст:

Когда компания с капитализацией 380 млрд долларов ведет борьбу с Пентагоном и выходит победительницей, переживает первую в истории кибератаку, инициированную автономным AI, а затем еще и внутри утечкой раскрывает модель, которая пугает даже ее собственных разработчиков, и даже «случайно» публикует полный исходный код — что получится, если все это сложить вместе?

Ответ — уже сейчас именно такой. И еще более тревожно то, что, возможно, самая опасная часть еще даже не произошла.

Обзор событий

Anthropic снова утекла со своим кодом

31 марта 2026 года исследователь безопасности блокчейн-компании Fuzzland Шоу Чофань (Shou Chaofan) при проверке официально выпущенного пакета Claude Code npm обнаружил, что внутри в явном виде содержится файл с именем cli.js.map.

Размер этого файла достигает 60MB, а содержимое еще более удивительно. Он почти целиком включает весь полный исходный код продукта на TypeScript. Лишь по одному этому файлу любой человек может восстановить до 1906 внутренних исходных файлов: включая внутренний дизайн API, телеметрическую систему, криптографические инструменты, механизмы безопасности, систему плагинов — практически все ключевые компоненты видны как на ладони. Более того, эти данные даже можно напрямую скачать с собственного R2-бакета Anthropic в виде zip-файла.

Обнаружение быстро распространилось в соцсетях: в течение нескольких часов соответствующие посты набрали 754 тысячи просмотров и почти 1000 репостов; параллельно сразу были созданы и публично открыты несколько GitHub-репозиториев с восстановленными исходниками.

Так называемый source map (файл исходного отображения) по сути является вспомогательным файлом для отладки JavaScript: он нужен, чтобы вернуть сжатый и скомпилированный код к исходному, облегчая разработчикам поиск проблем.

Но есть базовый принцип: его ни в коем случае не должно быть в составе релизного пакета для production.

Это не какая-то высокоуровневая атака, а самая базовая проблема инженерного соответствия требованиям, из разряда «вход в сборку 101», даже то, что разработчики узнают в первую неделю. Если ошибочно упаковать source map в production-среду, то он в большинстве случаев равнозначен тому, что исходный код «добавляют в подарок» всем подряд.

Здесь вы тоже можете непосредственно посмотреть соответствующий код: https://github.com/instructkr/claude-code

Но по-настоящему абсурдным это делает то, что подобное уже происходило.

В феврале 2025 года — ровно год назад — утечка была почти идентичной: тот же файл, та же ошибка. Тогда Anthropic удаляла старую версию с npm, убрала source map и переиздала новую версию — и на этом история затихла.

Однако в версии v2.1.88 этот файл снова был повторно упакован и опубликован.

Компания с капитализацией 380 млрд долларов, которая строит глобально самый передовой систему обнаружения уязвимостей, дважды за год допускает одну и ту же базовую ошибку. Никакой хакерской атаки, никакой сложной цепочки эксплуатации — просто сборочный процесс, который должен был работать нормально, вышел из строя.

Эта ирония почти что с оттенком «поэтичности».

Тот AI, который способен обнаружить 500 zero-day уязвимостей за один запуск; та модель, которая используется для автоматизированных атак на 30 организаций по всему миру — и при этом Anthropic «преподносит» свой исходный код всем, кто готов бросить взгляд на npm-пакет.

Две утечки, разница между которыми всего семь дней.

А причина — как под копирку одна и та же: самая базовая ошибка в конфигурации. Не нужны никакие технические пороги, не требуется сложная цепочка эксплуатации. Достаточно знать, куда смотреть, и любой может получить все бесплатно.

За неделю до этого: случайное раскрытие внутренних «опасных моделей»

26 марта 2026 года исследователи безопасности Roy Paz из LayerX Security и Alexandre Pauwels из University of Cambridge обнаружили проблему в конфигурации CMS на официальном сайте Anthropic, из-за чего было получено открытое обращение примерно к 3000 внутренним файлам.

Среди этих файлов были: черновики блогов, PDF, внутренние документы, материалы для презентаций — все оказалось раскрыто в неприкрытом, не защищенном и доступном для поиска хранилище данных. Никакой хакерской атаки, и не нужно никаких технических средств.

В этих файлах обнаружились два почти полностью одинаковых черновика блогов, отличавшихся единственным: названием модели — один был с «Mythos», другой с «Capybara».

Это означает, что на тот момент Anthropic делала выбор между двумя названиями для одного и того же секретного проекта. Затем компания подтвердила: обучение этой модели завершено, и она уже начала проходить тестирование у части ранних клиентов.

Это не было очередным стандартным обновлением для Opus, а совершенно новая «модель четвертого уровня», которая по назначению даже выше, чем Opus, то есть система.

В собственных черновиках Anthropic описывает ее так: «Больше по размеру, умнее — наша модель Opus при этом до сих пор остается самым мощным из наших моделей». По ее возможностям в программировании, академическом рассуждении и кибербезопасности наблюдается заметный рост. Один из представителей назвал это «качественным скачком», а также «самой сильной моделью, которую мы построили на данный момент».

Но действительно важное для внимания — не сами эти описания производительности.

В утекших черновиках оценка этой модели со стороны Anthropic звучит так: она «создает беспрецедентные риски кибербезопасности», «далеко превосходит любые другие AI-модели в сетевых возможностях» и «предвещает волну моделей, которая уже близка — возможности использовать уязвимости будут намного превосходить скорость реагирования со стороны защитников».

Иными словами, в еще не опубликованном официальном черновике блога Anthropic уже прямо выразила редкую позицию: они испытывают беспокойство относительно продукта, который создают.

Реакция рынка последовала почти мгновенно. Акции CrowdStrike упали на 7%, Palo Alto Networks — на 6%, Zscaler — на 4,5%; Okta и SentinelOne потеряли более 7%, Tenable — обвалился на 9%. iShares Cybersecurity ETF за один день снизился на 4,5%. Всего за один день капитализация одной лишь CrowdStrike испарилась примерно на 15 млрд долларов. Параллельно биткоин откатился до 66,000 долларов.

Рынок, очевидно, интерпретировал это событие как «вердикт» для всей отрасли кибербезопасности.

Смысл рисунка: под влиянием соответствующих новостей весь сектор кибербезопасности снижается, многие ведущие компании (например, CrowdStrike, Palo Alto Networks, Zscaler и т. д.) показывают заметные падения, отражая обеспокоенность рынка риском для отрасли кибербезопасности со стороны AI. Но такая реакция возникла не впервые. Ранее, когда Anthropic публиковала инструменты для сканирования кода, соответствующие акции тоже падали, что означает: рынок уже начал рассматривать AI как структурную угрозу для традиционных компаний безопасности, и весь софтверный сектор испытывает похожее давление.

Оценка аналитика Stifel Адама Борга (Adam Borg) звучит довольно прямолинейно: эта модель «имеет потенциал стать конечным хакерским инструментом и даже повысить обычного хакера до уровня противника с возможностями атак государственного масштаба».

Тогда почему же она еще не опубликована в публичном доступе? Объяснение Anthropic: операционные издержки Mythos «очень высоки», и пока он не готов к выпуску для широкой публики. Текущий план состоит в том, чтобы сначала дать ранний доступ небольшой группе партнеров из сферы кибербезопасности для укрепления системы защиты; затем поэтапно расширять открытие API. До этого компания продолжает оптимизировать эффективность.

Но ключевое в том, что эта модель уже существует, уже проходит тестирование и даже только из-за «случайной утечки» уже вызвала шок на всем рынке капитала.

Anthropic построила AI-модель, которую сама называет «самой рискованной для кибербезопасности за всю историю». И при этом утечка ее сообщений произошла как раз из-за самой базовой ошибки в настройках инфраструктуры — той самой ошибки, на обнаружение которой подобные модели изначально и были рассчитаны.

Март 2026: противостояние Anthropic и Пентагона и победа

В июле 2025 года Anthropic подписала с Министерством обороны США контракт на 200 млн долларов, который поначалу выглядел просто как обычное сотрудничество. Но в ходе последующих переговоров по практическому внедрению противоречия быстро обострились.

Пентагон хотел получить «полный доступ» к Claude на платформе GenAI.mil, чтобы использовать его для всех «законных целей» — в том числе для полностью автономных систем вооружений и для массового внутреннего надзора за гражданами США.

Anthropic провела красные линии и отказалась по двум ключевым вопросам, после чего переговоры в сентябре 2025 года сорвались.

Затем ситуация начала быстро эскалировать. 27 февраля 2026 года Дональд Трамп (Donald Trump) опубликовал пост в Truth Social, где потребовал, чтобы все федеральные органы «немедленно прекратили» использование технологий Anthropic, назвав компанию «радикальными левыми».

5 марта 2026 года Министерство обороны США официально включило Anthropic в список «рисков цепочки поставок» (supply chain).

Этот ярлык ранее почти всегда применялся к иностранным противникам — например, к китайским компаниям или российским организациям — и вот теперь впервые его используют в отношении американской компании, штаб-квартира которой находится в Сан-Франциско. Параллельно такие компании, как Amazon, Microsoft и Palantir Technologies, также получили требование доказать, что в любых их военных связанных направлениях Claude не используется.

CTO Пентагона Эмиль Майкл (Emile Michael) объяснил это решение так: Claude может «загрязнить цепочку поставок», поскольку внутри модели встроены разные «политические предпочтения». Иными словами, в официальной логике AI, который в использовании ограничен и не помогает безоговорочно действиям, направленным на причинение вреда, вместо этого считается риском национальной безопасности.

26 марта 2026 года федеральная судья Рита Лин (Rita Lin) вынесла постановление длиной 43 страницы, полностью блокировав меры Пентагона.

В решении она написала: «В действующем законодательстве нет никаких оснований для подобной логики с «олруэлловским» подтекстом — лишь из-за расхождения с позицией правительства американская компания может быть помечена как потенциально враждебная сторона. Наказание Anthropic за то, что она поставила позицию правительства на публичное рассмотрение, по сути является типичной и незаконной местью по первой поправке (First Amendment).» В заключении amici curiae один из доводов даже описывает действия Пентагона как «попытку убить компанию».

В итоге получилось наоборот: правительство пыталось подавить Anthropic, но тем самым дало ей еще больше внимания. Приложение Claude впервые обошло ChatGPT в магазине приложений, а количество регистраций в какой-то момент достигало более 1 млн в день.

AI-компания сказала «нет» самому мощному военному учреждению в мире. И суд оказался на ее стороне.

Ноябрь 2025: первая в истории кибератака, инициированная AI

14 ноября 2025 года Anthropic опубликовала отчет, который вызвал широкий резонанс.

В отчете было раскрыто: хакерская группировка, поддерживаемая государством Китая, с помощью Claude Code инициировала автоматизированные атаки против 30 организаций по всему миру — цели включали технологических гигантов, банки и несколько правительственных ведомств государств.

Это стало ключевым поворотом: AI перестал быть только вспомогательным инструментом и начал использоваться для самостоятельного выполнения атак.

Ключ — изменение «разделения труда»: люди отвечают лишь за выбор целей и утверждение ключевых решений. Во время всего процесса человек вмешивается примерно 4–6 раз. Все остальное делает AI: сбор разведданных, поиск уязвимостей, написание exploit-кода, кража данных, внедрение бэкдоров… это занимает 80%–90% всего атакующего процесса и работает со скоростью в тысячи запросов в секунду — масштаб и эффективность, с которыми не может сравниться ни одна команда людей.

Тогда как они обошли механизмы защиты Claude? Ответ: они не «взламывали», а «обманывали».

Атака была разбита на множество мелких задач, которые выглядят безобидными, и упакована как «авторизованное защитное тестирование» от «легитимной компании по безопасности». По сути это социальная инженерия, просто на этот раз объектом обмана стал сам AI.

Часть атак достигла полной успешности. Claude смог самостоятельно нарисовать полную сетевую топологию, определить базы данных и завершить извлечение данных без пошаговых инструкций со стороны людей.

Единственным фактором, который иногда замедлял темп атаки, были «галлюцинации» модели — например, вымышленные учетные данные или заявления о доступе к файлам, которые на самом деле уже давно были общедоступными. По крайней мере на данный момент это остается одним из немногих «естественных препятствий», которые мешают полностью автоматизированной атаке.

На RSA Conference 2026 бывший руководитель отдела кибербезопасности в АНБ США Роб Джойс (Rob Joyce) назвал этот инцидент «тестом Роршаха»: половина людей выбирает игнорировать, а другая половина чувствует от этого ледяной страх. И, судя по всему, он относится ко второй: «Это очень страшно».

Сентябрь 2025: это не какая-то прогнозируемая история, а уже случившаяся реальность.

Февраль 2026: один прогон обнаружил 500 zero-day уязвимостей

5 февраля 2026 года Anthropic выпустила Claude Opus 4.6, а вместе с ним — исследовательскую статью, которая почти потрясла всю отрасль кибербезопасности.

Эксперимент был крайне простым: поместить Claude в изолированную виртуальную среду и снабдить стандартными инструментами — Python, отладчиком, fuzzers (инструментами фуззинга). Никаких дополнительных инструкций, никакого сложного промпта — только одна фраза: «Иди найди уязвимости».

Результат: модель обнаружила более 500 ранее неизвестных критически опасных zero-day уязвимостей. Некоторые из них даже после десятилетий экспертизы и миллионов часов автоматизированного тестирования так и не были обнаружены.

Затем на RSA Conference 2026 исследователь Николас Карлини (Nicholas Carlini) вышел на сцену и продемонстрировал это. Он направил Claude на Ghost — систему CMS, которая на GitHub имеет 50 тысяч звезд (star), и за всю историю у нее не было серьезных уязвимостей.

Через 90 минут результат проявился: были обнаружены слепые SQL-инъекции (blind SQL injection), позволившие неаутентифицированным пользователям получить полный контроль над администраторскими правами.

Затем он использовал Claude для анализа Linux kernel. Результат был таким же.

Через 15 дней Anthropic выпустила Claude Code Security — продукт безопасности, который больше не полагается на сопоставление паттернов, а основан на «способностях рассуждения», чтобы понимать безопасность кода.

Но даже собственный представитель Anthropic произнес тот ключевой, но часто обходимый факт: «Та же способность рассуждать может помочь Claude находить и исправлять уязвимости, но ее также могут использовать злоумышленники, чтобы эксплуатировать эти уязвимости».

Одна и та же способность, один и тот же модель — только в руках разных людей.

Что все это вместе означает?

Если смотреть по отдельности, каждое из этих событий само по себе могло бы стать главной новостью месяца. Но они — все — произошли за какие-то шесть месяцев в одной и той же компании.

Anthropic создала модель, которая обнаруживает уязвимости быстрее, чем кто-либо из людей; китайские хакеры преобразовали предыдущую версию в автоматизированное кибероружие; компания разрабатывает следующее поколение более сильной модели и даже во внутренних документах признает, что испытывает по этому поводу беспокойство.

Американское правительство пытается ее подавить не потому, что сама по себе технология опасна, а потому, что Anthropic отказывается передавать эту способность без ограничений.

И на всем этом фоне эта компания дважды из-за одного и того же npm-пакета с одним и тем же файлом раскрывала свой исходный код. Компания с капитализацией 380 млрд долларов; компания, нацеленная завершить IPO на 60 млрд долларов в октябре 2026 года; компания, публично заявившая, что строит «одну из самых преобразующих — и, возможно, самых опасных технологий в истории человечества» — и при этом все равно продолжает двигаться вперед.

Потому что они верят: лучше пусть это делают они сами, чем кто-то другой.

А что касается того source map внутри npm-пакета — возможно, это лишь самая абсурдная, но одновременно самая реальная деталь среди самых тревожных нарративов этой эпохи.

А Mythos — даже еще не был официально выпущен.

[Ссылка на оригинал]

Нажмите, чтобы узнать о найме в律动 BlockBeats

Добро пожаловать в официальное сообщество律动 BlockBeats:

Telegram канал-подписка: https://t.me/theblockbeats

Telegram группа общения: https://t.me/BlockBeats_App

Twitter официальный аккаунт: https://twitter.com/BlockBeatsAsia