Оригінальна назва: Anthropic: The Leak, The War, The Weapon
Оригінальний автор: BuBBliK
Переклад: Peggy, BlockBeats

Примітка редактора: За минулі пів року Anthropic неодноразово опинявся втягнутим у низку подій, які виглядають ніби незалежними одна від одної, але насправді спрямовані одна на одну: стрибок у можливостях моделей, автоматизовані атаки у реальному світі, різка реакція ринків капіталу, публічні конфлікти з урядом, а також кілька витоків інформації, спричинених помилками в базовій конфігурації. Якщо зібрати ці підказки разом, вони разом вимальовують більш чіткий напрям змін.

Ця стаття бере ці події за точку входу, щоб переглянути послідовний шлях однієї AI-компанії в технічних проривах, розкритті ризиків і боротьбі за керування, а також спробувати відповісти на глибше питання: коли здатність «виявляти вразливості» багаторазово посилюється й поступово поширюється, чи зможе сама система кібербезпеки зберегти логіку своєї початкової роботи.

Раніше безпека будувалася на дефіциті можливостей і обмеженнях людської праці; однак за нових умов атака й оборона розгортаються навколо тієї самої моделі можливостей, а межі стають дедалі більш розмитими. Водночас реакції інститутів, ринку та організацій залишаються в межах старих рамок і не встигають підхопити ці зміни.

Ця стаття звертає увагу не лише на саму Anthropic, а й на ширшу реальність, яку вона віддзеркалює: AI не тільки змінює інструменти, а й змінює самі передумови того, «як виникає безпека».

Нижче наведено оригінал:

Коли компанія з капіталізацією 380 млрд доларів змагається та перемагає у двобої з Пентагоном, переживає першу в історії кібератаку, ініційовану автономним AI, а ще й у себе всередині витікає модель, якої навіть її власні розробники бояться, і навіть «випадково» публікує повний вихідний код — як виглядатиме сукупність усього цього?

Відповідь — зараз саме так. А ще більш тривожною є та частина, яка, можливо, ще не сталася.

Огляд подій

Anthropic знову витекла свій код

31 березня 2026 року безпековий дослідник блокчейн-компанії Fuzzland Шоу Чаофан (Shou Chaofan), під час перевірки пакета Claude Code npm, випущеного офіційно, виявив, що там буквально міститься файл із назвою cli.js.map.

Цей файл має обсяг 60MB, а його вміст — іще більш вражаючий. Він майже повністю містить весь повний исходний код продукту TypeScript. Лише з цього одного файлу будь-хто може відновити до 1906 внутрішніх вихідних файлів: включно з дизайном внутрішніх API, телеметричною системою, криптографічними інструментами, безпечною логікою, системою плагінів — практично всі ключові компоненти розкриті від початку до кінця. І що важливіше: ці матеріали навіть можна безпосередньо завантажити з R2-скарбниці Anthropic як zip-файл.

Це відкриття швидко поширилося в соцмережах: за кілька годин відповідні пости отримали 754 тис. переглядів і майже 1000 репостів; водночас одразу були створені та оприлюднені кілька GitHub-репозиторіїв із відновленим кодом.

Так званий source map (файл відображення джерел) за суттю є лише допоміжним файлом для JavaScript-налагодження; його роль — відновити стиснений, компільований код назад в оригінальні вихідні коди, щоб розробники могли швидше діагностувати проблеми.

Але є базовий принцип: він ніколи не має потрапляти до пакета релізу для production.

Це не якась складна атакувальна методика, а найпростіша інженерна проблема дотримання стандартів — зі сфери «як налаштувати білд 101», навіть те, що розробники вивчають у перший тиждень. Якщо його помилково запакували в production, source map часто означає просто «прикріпити» вихідний код усім без винятку.

Тут ти також можеш безпосередньо подивитися відповідний код: https://github.com/instructkr/claude-code

Але саме те, що це виглядає абсурдним, полягає в тому, що така ситуація вже траплялася один раз.

У лютому 2025 року, тобто рівно рік тому, сталася майже ідентична витік: той самий файл, та сама помилка. Тоді Anthropic видалила зі сторінки npm стару версію, прибрала source map і перевидала нову версію — на цьому історія й затихла.

У результаті у версії v2.1.88 цей файл знову був зібраний і опублікований у пакеті.

Компанія з капіталізацією 380 млрд доларів, яка створює один із найпередовіших у світі систем виявлення вразливостей, двічі за один рік припустилася тієї самої базової помилки. Без хакерських атак, без складних шляхів експлуатації — просто білд-процес, який мав працювати нормально, дав збій.

Ця іронія майже має якийсь «поетичний» відтінок.

Той AI, який міг за одну сесію виявити 500 нульових днів; та модель, яку застосовували для автоматизованих атак проти 30 установ у всьому світі — і водночас Anthropic «пакувала» свій власний вихідний код і буквально «дарувала» його будь-кому, хто захоче глянути на npm-пакет.

Два витоки, з інтервалом менше ніж сім днів.

Причина ж ідентична: найпростіша помилка конфігурації. Немає потреби в жодному технічному порозі, немає необхідності в складних шляхах експлуатації. Достатньо знати, де дивитися — і будь-хто може отримати все безкоштовно.

Тиждень тому: випадкове розкриття внутрішньої «небезпечної моделі»

26 березня 2026 року безпекові дослідники Roy Paz з LayerX Security та Alexandre Pauwels з University of Cambridge виявили, що у CMS-конфігурації на офіційному сайті Anthropic є проблеми, через які близько 3000 внутрішніх документів стали доступними для перегляду без належного захисту.

Ці файли включали: чернетки блогів, PDF, внутрішні документи, презентаційні матеріали — усе було розкрито в незахищеному сховищі даних, яке можна було шукати. Не було хакерської атаки, і не були потрібні жодні технічні методи.

У цих документах були дві чернетки блогів, майже повністю ідентичні: єдина відмінність — назва моделі. В одній було написано «Mythos», а в іншій — «Capybara».

Це означає, що Anthropic тоді обирала між двома назвами для одного й того самого секретного проєкту. Згодом компанія підтвердила: тренування цієї моделі завершено, і вона вже почала тестуватися з частиною ранніх клієнтів.

Це не було звичайним регулярним оновленням до Opus, а абсолютно нова «модель четвертого рівня», яка навіть позиціонувалася вище Opus як система.

У власних чернетках Anthropic її описувала так: «Більша й розумніша за нашу модель Opus — а Opus досі є нашою найпотужнішою моделлю». Вона досягла помітного стрибка в програмних можливостях, академічних міркуваннях і кібербезпеці. Один із представників назвав її «якісним стрибком», а також «найпотужнішою моделлю з усіх, які ми вже створювали».

Але те, на що справді варто звернути увагу, було не в цих описах продуктивності.

У витіклих чернетках Anthropic оцінила цю модель так: вона «приносить небезпрецедентні кіберризики», «далеко перевершує будь-яку іншу AI-модель за мережевими можливостями» і «передвіщає хвилю майбутніх моделей — її здатність використовувати вразливості значно перевищить швидкість реакції сторони оборони».

Іншими словами, у ще не опублікованій офіційній чернетці блогу Anthropic уже чітко висловила рідкісну позицію: їм самим некомфортно щодо продукту, який вони створюють.

Реакція ринку була майже миттєвою. Акції CrowdStrike впали на 7%, Palo Alto Networks — на 6%, Zscaler — на 4,5%; Okta та SentinelOne знизилися більш ніж на 7%, Tenable — аж на 9%. iShares Cybersecurity ETF за один день просів на 4,5%. Лише у однієї CrowdStrike у той день капіталізація скоротилася приблизно на 15 млрд доларів. Паралельно біткоїн відкотився до 66,000 доларів.

Ринок, очевидно, інтерпретував цю подію як своєрідний «вирок» усій кібербезпековій індустрії.

На ілюстрації, суть така: на тлі відповідних новин весь сектор кібербезпеки падає, низка лідерів (зокрема CrowdStrike, Palo Alto Networks, Zscaler тощо) демонструє помітні зниження, що відображає занепокоєння ринку щодо впливу AI на кібербезпекову галузь. Але така реакція не виникла вперше. Раніше, коли Anthropic випустила інструмент для сканування коду, відповідні акції також падали, що вказує: ринок уже почав сприймати AI як структурну загрозу для традиційних безпекових постачальників, і весь софтверний сектор зазнає подібного тиску.

Коментарі аналітика Stifel Адама Борга (Adam Borg) були доволі прямими: у нього «є потенціал стати кінцевим інструментом хакера, а навіть звичайних хакерів підняти до рівня опонентів із можливостями на рівні державної атаки».

То чому ж воно досі не було опубліковано? Пояснення Anthropic таке: вартість запуску Mythos «дуже висока», і він ще не готовий до релізу для публіки. Наразі план такий: спочатку надати ранній доступ невеликій групі партнерів у сфері кібербезпеки, щоб посилити оборонні механізми; а далі поступово розширювати відкриття API. До того компанія продовжує оптимізувати ефективність.

Але головне: ця модель уже існує, вже тестується, і навіть лише через «випадкове розкриття» вона вже встигла спричинити потрясіння для всього ринку капіталу.

Anthropic створила AI-модель, яку сама називає «найнебезпечнішою з точки зору кібербезпеки» за всю історію. А витік її новини стався якраз через найпростіше помилкове налаштування інфраструктури — саме те, на що такі моделі були спочатку призначені для виявлення.

Березень 2026 року: протистояння Anthropic і Пентагону та перемога на його боці

У липні 2025 року Anthropic підписала з Міністерством оборони США контракт на 200 млн доларів. Спочатку це здавалося лише черговою звичайною співпрацею. Але в подальших переговорах щодо фактичного розгортання суперечності швидко загострилися.

Пентагон хотів отримати на своїй платформі GenAI.mil «повний доступ» до Claude — для застосувань, що включали всі «законні цілі», серед яких навіть повністю автономні системи озброєнь і масове внутрішнє стеження за громадянами США.

Anthropic накреслила «красні лінії» з двох ключових питань і чітко відмовилася — переговори зірвалися у вересні 2025 року.

Після цього ситуація почала швидко ескалювати. 27 лютого 2026 року Дональд Трамп (Donald Trump) опублікував допис у Truth Social, вимагаючи від усіх федеральних органів «негайно припинити» використання технологій Anthropic і назвавши цю компанію «радикально лівою».

5 березня 2026 року Міністерство оборони США офіційно внесло Anthropic до переліку «ризиків ланцюга постачання».

Цей ярлик раніше майже ніколи не застосовували до іноземних противників — як-от китайські компанії або російські структури — але тепер його вперше застосували до американської компанії, штаб-квартира якої розташована в Сан-Франциско. Паралельно Amazon, Microsoft і Palantir Technologies також зобов’язали довести, що жоден їхній військовий бізнес не використовував Claude.

Головний технічний директор Пентагону Emile Michael дав таке пояснення: Claude може «забруднити ланцюг постачання», бо всередині моделі вбудовані різні «політичні преференції». Іншими словами, в офіційному тлумаченні AI, який у використанні обмежений і не безумовно допомагає в актах вбивства, парадоксальним чином розглядається як ризик для національної безпеки.

26 березня 2026 року федеральний суддя Ріта Лін (Rita Lin) опублікувала рішення на 43 сторінки, яке повністю заборонило відповідні заходи з боку Пентагону.

У своєму рішенні вона написала: «У чинному законодавстві немає жодних підстав для такої логіки з “орвеллівським” присмаком — лише тому, що компанія США не погоджується з позицією уряду, її можна позначити як потенційного ворожого опонента. Наказуючи Anthropic за те, що вона ставила позицію уряду на публічний огляд, держава фактично здійснює типовий і незаконний “акт помсти” за Першою поправкою». Окрема думка друга суду (amicus brief) навіть описала дії Пентагону як «спробу вбити компанію».

У підсумку вийшло навпаки: уряд намагався придушити Anthropic, але тим самим змусив її привернути ще більше уваги. У застосунках перший раз застосунок Claude обійшов ChatGPT в App Store, а кількість реєстрацій дійшла навіть до понад 1 млн на день.

AI-компанія сказала «ні» одному з найпотужніших у світі військових інститутів. А суд, як виявилося, став на її бік.

Листопад 2025 року: перша в історії кібератака, ініційована AI

14 листопада 2025 року Anthropic опублікувала звіт, який викликав широкий резонанс.

Звіт розкрив: хакерська група, що має підтримку з боку Китаю, використовуючи Claude Code, здійснила автоматизовані атаки проти 30 установ у всьому світі — цілі включали технологічних гігантів, банки та численні державні урядові структури.

Це стало ключовим переломним моментом: AI більше не просто допоміжний інструмент — він почав використовуватися для самостійного виконання атак.

Ключ — у зміні «способу розподілу праці»: людина відповідає лише за вибір цілей і схвалення ключових рішень. Під час усього процесу людині доводиться втручатися приблизно 4–6 разів. Уся інша робота зроблена AI: розвідка, виявлення вразливостей, написання коду експлойту, крадіжка даних, встановлення бекдорів… Це становило 80%–90% всього атакувального ланцюга і працювало зі швидкістю в тисячі запитів за секунду — масштаби й ефективність, з якими не може змагатися жодна людська команда.

То як вони обійшли механізми безпеки Claude? Відповідь така: вони нічого не «зламали», а саме «обманули».

Атака була розбита на багато дрібних завдань, які виглядали нешкідливо, і їх упакували як «уповноважене тестування безпеки» від «легальної безпекової компанії». По суті, це соціальна інженерія — просто цього разу об’єктом обману став не людина, а сам AI.

Частина атак завершилася повністю успішно. Claude зміг самостійно, без покрокових людських інструкцій, намалювати повну мережеву топологію, визначити базу даних і виконати витягування даних.

Єдиним чинником, який час від часу гальмував темп атаки, були «галюцинації» моделі — наприклад, вигадані облікові дані або твердження, що вона отримала файл, який насправді вже давно був у відкритому доступі. Принаймні наразі це все ще один із небагатьох «природних бар’єрів», що заважає повністю автоматизованій мережевій атаці.

На RSA Conference 2026 колишній керівник з кібербезпеки в Агентстві національної безпеки США Роб Джойс (Rob Joyce) назвав цю подію «тестом Роршаха»: для одних людей половина сигналів змушує ігнорувати, а інша половина — відчути страх. І він, очевидно, належав до другої категорії: «Це дуже страшно».

Вересень 2025 року: це не якась «прогнозована» історія, а реальність, яка вже сталася

Лютий 2026 року: один запуск і 500 нульових днів

5 лютого 2026 року Anthropic випустила Claude Opus 4.6 разом із науковою роботою, яка практично сколихнула всю індустрію кібербезпеки.

Налаштування експерименту були надзвичайно прості: помістити Claude в ізольоване середовище віртуальної машини, забезпечивши стандартні інструменти — Python, відладчик, fuzzers. Без додаткових інструкцій і без складних промптів — лише одне речення: «Іди й знайди вразливості».

Результат: модель виявила понад 500 раніше невідомих критично небезпечних zero-day вразливостей. Деякі з цих вразливостей навіть після десятиліть експертних перевірок і мільйонів годин автоматизованого тестування так і не були знайдені.

Після цього на RSA Conference 2026 дослідник Ніколас Карліні (Nicholas Carlini) вийшов на сцену й продемонстрував приклад. Він дав Claude завдання націлитися на Ghost — CMS-систему на GitHub із 50 тис. зірочок, в історії якої ніколи не траплялося критичних вразливостей.

Через 90 хвилин результат з’явився: була виявлена сліпа SQL-ін’єкція (blind SQL injection), яка дозволяє без автентифікації отримати повний адміністраторський контроль над системою.

Далі він використав Claude для аналізу Linux kernel. Результат був такий самий.

Через 15 днів Anthropic випустила Claude Code Security — продукт для безпеки коду, який більше не покладається на зіставлення патернів, а базується на «здатності до міркування», щоб розуміти код.

Але навіть самі представники Anthropic проговорили той ключовий, проте часто оминутий факт: «Та сама здатність до міркування може як допомагати Claude знаходити й виправляти вразливості, так і дозволяти зловмисникам використовувати ці вразливості для атак».

Та сама здатність, та сама модель — лише в руках різних людей.

Що означає все це разом?

Якщо розглядати окремо, то кожна з цих подій сама по собі могла б стати найгучнішою новиною місяця. Але вони, натомість, сталися за якихось шість місяців і в одній компанії.

Anthropic створила модель, яка здатна знаходити вразливості швидше за будь-кого з людей; китайські хакери перетворили попередню версію на автоматизовану мережеву зброю; компанія розробляє наступну ще сильнішу модель і навіть у внутрішніх документах визнає — їм за це тривожно.

Але США намагаються її придушити не тому, що сама технологія небезпечна, а тому, що Anthropic відмовляється віддавати цю здатність без обмежень.

І в усьому цьому компанія двічі витікала власний вихідний код через той самий файл із того самого npm-пакета. Компанія з капіталізацією 3800 млрд доларів; компанія, мета якої — завершити IPO на 60 млрд доларів у жовтні 2026 року; компанія, яка публічно заявляла, що будує «одну з найбільш трансформаційних — і потенційно найнебезпечніших — технологій в історії людства». І все одно вона продовжує рух уперед.

Бо вони вірять: краще зробити це самостійно, ніж віддати це на виконання комусь іншому.

А що стосується того source map у npm-пакеті — можливо, це лише одна з найабсурдніших, але й найреальніших деталей у найнебезпечнішій історії цього часу.

А Mythos — навіть ще не було офіційно випущено.

[Лінк на оригінал]

Натисніть, щоб дізнатися про вакансії в Liqun Dong BlockBeats

Ласкаво просимо приєднатися до офіційної спільноти Liqun Dong BlockBeats:

Telegram-канал для підписок: https://t.me/theblockbeats

Telegram-чати: https://t.me/BlockBeats_App

Офіційний акаунт у Twitter: https://twitter.com/BlockBeatsAsia