Anthropic стикається з критикою через витік коду Claude, що розкрив 512 тисяч рядків внутрішнього коду

На тлі зростаючого занепокоєння безпекою ШІ витік коду claude поставив Anthropic під пильний контроль з боку розробників і дослідників по всьому світу.

Anthropic підтверджує витік внутрішнього вихідного коду

У вівторок Anthropic підтвердила, що випадково надіслала частину внутрішнього вихідного коду для свого інструмента для програмування Claude Code AI. Компанія описала інцидент як «проблему пакування релізу, спричинену людською помилкою, а не порушенням безпеки», наголосивши, що зовнішнього компрометації не відбувалося.

За даними незалежних аналітиків з кібербезпеки, експозиція охоплювала приблизно 1,900 файлів і близько 512,000 рядків коду. Крім того, експерти зазначили, що асистент працює безпосередньо всередині середовищ розробників, де він може отримувати доступ до чутливої інформації, що підвищило занепокоєння щодо можливого зловживання.

Ситуація швидко загострилася після публікації в X, яка поділилася посиланням на витертий матеріал. До ранку у вівторок ця публікація вже перевищила 30 мільйонів переглядів, різко збільшивши видимість репозиторію, що витік, і спонукавши фахівців із безпеки до вивчення файлів.

Питання безпекових наслідків і побоювання атакувальників

Розробники та дослідники почали вичитувати витерту базу коду, щоб зрозуміти, як побудовано Claude Code, і як Anthropic планує розвивати продукт. Однак деякі фахівці з безпеки одразу поставили запитання про те, що можуть зробити з детальними знаннями про внутрішні системи вельми досвідчені атакувальники.

Кібербезпекова фірма Straiker попередила в блозі, що тепер супротивники можуть вивчити, як дані проходять через внутрішній конвеєр Claude Code. Втім компанія застерегла, що така видимість може дозволити комусь спроєктувати корисні навантаження, які зберігаються протягом тривалих сесій, фактично створюючи прихований бекдор у робочому процесі розробника.

Ці попередження посилили ширші галузеві страхи щодо безпеки витоків коду. Крім того, аналітики підкреслили, що інструменти, які працюють у середовищах розробників і мають глибокий доступ до репозиторіїв та інфраструктури, є особливо привабливою мішенню для зловмисників.

Другий інцидент із даними Anthropic менш ніж за тиждень

Цей витік не був поодиноким невдалим кроком для Anthropic. Лише кілька днів тому Fortune повідомила, що компанія випадково зробила тисячі внутрішніх файлів публічно доступними, позначивши окремий інцидент із даними anthropic, який передував релізу вихідного коду.

Як повідомляється, ті попередні файли містили чернетку допису в блозі, що описувала майбутню модель ШІ, відому в компанії під назвами як «Mythos», так і «Capybara». У чернетці зазначалося, що експериментальна модель може спричинити помітні ризики для кібербезпеки, що тепер стало ще більш чутливим з огляду на подальшу експозицію вихідного коду.

У відповідь на обидві події Anthropic заявила, що впроваджує додаткові запобіжники, щоб не допускати подібних помилок. Крім того, компанія повторила, що жодні чутливі дані клієнтів або облікові дані (креденшали) не були задіяні в жодному з інцидентів, намагаючись заспокоїти корпоративних клієнтів і регуляторів.

Claude Code у цифрах і вплив на ринок

Anthropic випустила Claude Code для широкої публіки в травні минулого року, позиціонуючи його як асистента ШІ, який допомагає розробникам створювати функції, виправляти баги та автоматизувати повторювані завдання. Запуск став значним поштовхом компанії в прибутковий ринок інструментів для програмного забезпечення на базі ШІ.

Комерційне впровадження продукту відбувалося швидко. До лютого Anthropic повідомила, що Claude Code досягнув показника виручки за рівнем (run-rate) понад $2.5 мільярда. Однак ця вражаюча цифра також підвищила ставки для безпекової позиції Anthropic, оскільки більше підприємств інтегрують асистента в свої робочі процеси.

Конкурентний тиск посилився, адже суперники реагують на це зростання. OpenAI, Google та xAI виділили значні ресурси на створення власних асистентів для програмування, сподіваючись захопити частку зростаючого ринку й конкурувати напряму з флагманським інструментом Anthropic.

Заснування, репутація та наступні кроки після витоку claude code

Заснована у 2021 році колишніми керівниками та дослідниками OpenAI, Anthropic вибудувала свою репутацію навколо сімейства моделей Claude AI та наголосу на безпеці. Витік claude code тепер поставив цей меседж про безпеку під тиск, навіть попри те, що компанія наполягає: першопричина була операційною, а не зумисною з боку супротивника.

Компанія заявила, що впроваджує суворіші перевірки пакування, контроль доступу та процедури перегляду для релізів, які стосуються внутрішніх репозиторіїв. Втім експерти з безпеки стверджують, що сучасні платформи ШІ потребують безперервного, багаторівневого захисту, з огляду на їхню глибоку інтеграцію в середовища розробників і зростаючу майстерність потенційних атакувальників.

Спікер Anthropic підкреслив, що організація робить конкретні кроки, щоб гарантувати: такого типу інцидент не повториться. Підсумовуючи, нещодавні витоки показують, як швидко зростаючі компанії в сфері ШІ повинні балансувати агресивні релізи продуктів із ретельною безпековою гігієною, щоб підтримувати довіру.