Оригінальна назва: Anthropic: The Leak, The War, The Weapon
Оригінальний автор: BuBBliK
Переклад: Peggy，BlockBeats

Примітка редакції: За минулі пів року Anthropic неодноразово втягувалася в низку подій, які виглядають ніби незалежними одна від одної, але насправді спрямовані одна на одну: стрибок у можливостях моделей, автоматизовані атаки в реальному світі, різка реакція на ринку капіталів, відкрите протистояння з урядом і кілька інформаційних витоків, спричинених помилками в базовій конфігурації. Якщо зібрати ці підказки докупи, вони разом вимальовують чіткіший напрям змін.

Ця стаття, спираючись на ці події як на точку входу, переглядає послідовну траєкторію AI-компанії в контексті технологічних проривів, оголених ризиків і боротьби за врегулювання — і намагається відповісти на глибше питання: коли здатність «виявляти вразливості» різко посилюється, поступово поширюється й стає заразливою, чи може сама система кібербезпеки зберегти свою початкову логіку роботи.

Раніше безпека будувалася на дефіциті можливостей і обмеженнях людської праці; натомість у нових умовах атака й оборона розгортаються навколо тієї самої моделі можливостей, а межі дедалі більше розмиваються. Водночас реакції інституцій, ринку та організацій усе ще залишаються в межах старих рамок — і їм важко встигати за такими змінами.

У фокусі цієї статті — не лише сама Anthropic, а й ширша реальність, яку вона віддзеркалює: AI змінює не тільки інструменти, а й передумови того, як «влаштована» безпека.

Нижче наведено оригінал:

Коли компанія з ринковою капіталізацією 380 млрд доларів вступає в змагання з Пентагоном і виходить переможцем, переживає першу в історії кібератаку, ініційовану автономним AI, а потім у себе ж ізсередини витікає модель, яку навіть власні розробники називають лякаючою, і навіть «випадково» оприлюднює повний вихідний код — яким має бути підсумковий ефект від усього цього разом?

Відповідь — уже така, як зараз. І ще тривожніше: найнебезпечніша частина, можливо, ще не сталася.

Огляд подій

Anthropic знову розкрила власний код

31 березня 2026 року дослідник безпеки блокчейн-компанії Fuzzland Shou Chaofan, перевіряючи пакет Claude Code npm, офіційно опублікований, виявив, що в ньому буквально міститься файл під назвою cli.js.map.

Розмір цього файлу сягає 60MB, а зміст — ще дивовижніший. У ньому майже повністю міститься весь завершений TypeScript-вихідний код продукту. Лише за допомогою одного цього файлу будь-хто може відновити до 1906 внутрішніх файлів вихідного коду: включно з внутрішнім дизайном API, телеметричною системою, криптографічними інструментами, логікою безпеки, системою плагінів — майже всі ключові компоненти розкриті на долоні. І ще важливіше: ці матеріали навіть можна напряму завантажити з власного сховища R2 Anthropic у вигляді zip-файлу.

Це відкриття швидко поширилося в соцмережах: за кілька годин відповідні пости набрали 754 тис. переглядів і майже 1000 разів поширень; водночас кілька репозиторіїв GitHub, у яких було відновлено вихідний код, були створені та опубліковані одразу ж.

Так званий source map (файл мапування джерела) за своєю суттю — це лише допоміжний файл для налагодження JavaScript; його роль полягає в тому, щоб відновлювати стислий, компільований код до початкового вихідного коду, щоб розробникам було зручніше знаходити й усувати проблеми.

Але є базовий принцип: його ніколи не слід включати в пакети релізу для виробничого середовища.

Це не якась високорівнева атакувальна техніка, а проблема найпростіших інженерних стандартів — «побудова конфігурації 101», а ще те, що розробник вивчає в перший тиждень. Якщо його помилково запакувати в production-середовище, source map майже завжди перетворюється на «подарунок» вихідного коду для всіх.

Тут ви також можете безпосередньо переглянути відповідний код: https://github.com/instructkr/claude-code

Але найбільш абсурдним є те, що ця історія вже траплялася раніше.

У лютому 2025 року — тобто рівно рік тому — майже ідентичний витік: той самий файл, та сама помилка. Тоді Anthropic видалила стару версію з npm, прибрала source map і перевидала нову версію — на цьому інцидент і затих.

Але у версії v2.1.88 цей файл знову було зібрано й опубліковано.

Компанія з ринковою капіталізацією 380 млрд доларів, що створює один із найсучасніших у світі систем виявлення вразливостей, двічі за рік припустилася тієї самої базової помилки. Ні хакерської атаки, ні складних шляхів експлуатації — лише збій у збиральному процесі, який мав працювати нормально.

Ця іронія майже має якийсь «поетичний» відтінок.

Той AI, який міг за один прогін знаходити 500 нульових днів; та сама модель, яку використовували для автоматизованих атак проти 30 установ у всьому світі — а водночас Anthropic «пакує й віддає» свій вихідний код будь-кому, хто готовий глянути на npm-пакет.

Два витоки, відстань між ними — лише сім днів.

Причина — та сама: найпростіша помилка в конфігурації. Не потрібен жодний технічний поріг, і не потрібні складні шляхи експлуатації. Достатньо знати, де дивитися, і будь-хто може отримати це безкоштовно.

За тиждень до цього: випадкове розкриття «небезпечної моделі» всередині компанії

26 березня 2026 року дослідники безпеки Roy Paz з LayerX Security та Alexandre Pauwels з University of Cambridge виявили проблему в конфігурації CMS на офіційному сайті Anthropic, через що приблизно 3000 внутрішніх файлів стали доступними для публічного перегляду.

Ці файли включали: чернетки блогів, PDF, внутрішні документи, презентаційні матеріали — усе було відкрито для доступу в незахищеному, таким що піддається пошуку, сховищі даних. Ні хакерської атаки, ні потреби в будь-яких технічних методах.

Серед цих файлів було дві чернетки блогів, майже повністю ідентичні: єдина різниця — назва моделі. В одній було написано «Mythos», а в іншій — «Capybara».

Це означає, що Anthropic тоді обирала між двома назвами для одного й того самого секретного проєкту. Пізніше компанія підтвердила: тренування цієї моделі завершено, і її вже почали тестувати на частині ранніх клієнтів.

Це не була звичайна «апгрейд-версія» Opus, а нова «четвертого рівня» модель — модель, чиє призначення навіть вище за Opus.

У власних чернетках Anthropic її описувала так: «більша й розумніша за нашу модель Opus — і Opus досі залишається для нас найпотужнішою моделлю». Вона продемонструвала значні стрибки в програмувальних здібностях, академічному міркуванні та в кібербезпеці. Представник назвав це «стрибком якості», а також «найпотужнішою моделлю, яку ми створили на сьогодні».

Але по-справжньому важливе — не в самих цих описах продуктивності.

У розкритих чернетках оцінка Anthropic цієї моделі звучала так: вона «привносить безпрецедентні ризики для кібербезпеки», «значно перевершує будь-які інші AI-моделі за мережевими можливостями» і «передвіщає хвилю моделей, що ось-ось прийде: її здатність використовувати вразливості суттєво перевищить швидкість відповідної реакції з боку захисників».

Інакше кажучи, Anthropic у ще не опублікованій офіційній чернетці блогу вже чітко висловила рідкісну позицію: вони відчувають занепокоєння щодо продукту, який саме створюють.

Реакція ринку майже була миттєвою. Акції CrowdStrike впали на 7%, Palo Alto Networks — на 6%, Zscaler — на 4.5%; Okta і SentinelOne впали більш ніж на 7%, а Tenable — взагалі на 9%. iShares Cybersecurity ETF за один день знизився на 4.5%. Лише в одній компанії — CrowdStrike — того ж дня ринкова капіталізація зникла приблизно на 15 млрд доларів. Паралельно біткоїн відкотився до 66,000 доларів.

Очевидно, що ринок трактував цю подію як «вирок» усьому сектору кібербезпеки.

На рисунку приблизно таке: після впливу відповідних новин увесь сектор кібербезпеки знизився, а багато компаній-лідерів (зокрема CrowdStrike, Palo Alto Networks, Zscaler тощо) показали помітне падіння; це відображає занепокоєння ринку щодо того, як AI вплине на індустрію кібербезпеки. Але така реакція не виникла вперше. Раніше, коли Anthropic випустила інструмент сканування коду, відповідні акції теж падали, що свідчить: ринок почав сприймати AI як структурну загрозу для традиційних постачальників безпеки, і весь софтверний сектор відчуває подібний тиск.

Оцінка аналітика Stifel Adam Borg була доволі прямою: ця модель «має потенціал стати кінцевим інструментом хакера, а навіть підняти звичайних хакерів до рівня супротивника з можливостями, притаманними атакам державного масштабу».

То чому ж вона досі не опублікована? Пояснення Anthropic таке: вартість роботи Mythos «дуже висока», і зараз вона не відповідає умовам для публічного випуску. Наразі план такий: спочатку надати право раннього доступу невеликій групі партнерів у сфері кібербезпеки, щоб підсилити систему захисту; потім — поступово розширювати межі відкриття API. До того часу компанія продовжує оптимізувати ефективність.

Але ключове в тому, що ця модель уже існує, вже проходить тестування — і навіть лише через «випадкове розкриття» вона вже встигла вплинути на весь ринок капіталів.

Anthropic створила AI-модель, яку сама називає «найризикованішою для кібербезпеки в історії». А витік її повідомлення, навпаки, стався через найпростішу помилку в налаштуваннях інфраструктури — саме ту помилку, на яку такі моделі й були розраховані, щоб її знаходити.

Березень 2026: протистояння Anthropic і Пентагону та перемога Anthropic

У липні 2025 року Anthropic підписала з Міністерством оборони США контракт на 200 млн доларів. Спочатку це здавалося лише черговою стандартною співпрацею. Але в ході наступних переговорів щодо фактичного розгортання суперечності швидко загострилися.

Пентагон хотів отримати на платформі GenAI.mil «повний доступ» до Claude для використання в усіх «законних цілях» — серед яких навіть охоплено повністю автономні системи озброєння, а також масштабний внутрішній нагляд за американськими громадянами.

Anthropic окреслила «червоні лінії» і чітко відмовила у двох ключових питаннях — і переговори розірвалися в 2025 році в вересні.

Після цього ситуація почала швидко загострюватися. 27 лютого 2026 року Donald Trump опублікував допис у Truth Social, вимагаючи, щоб усі федеральні установи «негайно припинили» використання технологій Anthropic, а саму компанію назвав «радикально лівою».

5 березня 2026 року Міністерство оборони США офіційно внесло Anthropic до переліку «ризиків ланцюга постачання».

Цей ярлик раніше майже використовувався лише для іноземних супротивників — наприклад, китайських компаній або російських суб’єктів — а тепер уперше його застосували до американської компанії, штаб-квартира якої міститься в Сан-Франциско. Паралельно компаніям на кшталт Amazon, Microsoft і Palantir Technologies також наказали довести, що в будь-якому їхньому військовому напрямі діяльності Claude не використовується.

Поясненням рішенню з боку CTO Пентагону Emile Michael стало те, що Claude може «забруднити ланцюг постачання», оскільки всередині моделі вбудовано різні «уподобання в політиках». Іншими словами, у офіційному контексті AI, який обмежено в застосуванні і не надає безумовної допомоги діям, пов’язаним із вбивствами, натомість розглядають як ризик для національної безпеки.

26 березня 2026 року федеральна суддя Rita Lin винесла рішення на 43 сторінки, яке повністю заблокувало відповідні заходи Пентагону.

У своєму рішенні вона написала: «У чинному законодавстві немає жодних підстав для такої логіки з «орвеллівським» відтінком — лише через те, що одна американська компанія не погоджується з позицією уряду, її можна маркувати як потенційного ворожого опонента. Караючи Anthropic за те, що вона ставить урядову позицію на публічний розгляд, по суті це є типовою, незаконною помстою за Першу поправку». Навіть у поданій amici curiae позиції дії Пентагону назвали «спробою вбити компанію».

У результаті уряд спробував придушити Anthropic, але це натомість дало їй ще більше уваги. Додаток Claude вперше обійшов ChatGPT у магазинах додатків, а кількість реєстрацій на якийсь час досягала понад 1 млн на день.

AI-компанія сказала «ні» одному з наймогутніших військових інститутів у світі. А суд став на її бік.

Листопад 2025: вперше в історії кібератака, керована AI

14 листопада 2025 року Anthropic опублікувала звіт, який спричинив широкий резонанс.

У звіті розкрили, що хакерська організація, яка підтримується Китаєм на державному рівні, використовуючи Claude Code, запускає автоматизовані атаки проти 30 установ у всьому світі — цілі включають технологічних гігантів, банки та кілька урядових структур різних країн.

Це стало ключовим поворотом: AI перестав бути лише допоміжним інструментом і почав використовуватися для автономного виконання атак.

Суть у зміні «моделі розподілу ролей»: люди відповідають лише за вибір цілей і за схвалення ключових рішень. Протягом усього процесу людина втручалася приблизно 4–6 разів. Усе інше виконувалося AI: розвідка, пошук вразливостей, написання експлойт-коду, крадіжка даних, встановлення бекдорів… Це займало 80%–90% усього ланцюга атаки та працювало зі швидкістю тисяч запитів за секунду — масштаб і ефективність, з якими не може змагатися жодна людська команда.

То як їм вдалося обійти механізми безпеки Claude? Відповідь: вони не «зламали», а «підманули».

Атака була розбита на безліч дрібних завдань, які виглядали нешкідливими, і їх упакували як «уповноважене захисне тестування» від «легальної компанії з безпеки». По суті це була соціальна інженерія, лише цього разу обманутим об’єктом став сам AI.

Частина атак досягла повного успіху. Claude зміг самостійно, без покрокових людських інструкцій, намалювати повну мережеву топологію, визначити базу даних і завершити витяг даних.

Єдиним фактором, який час від часу гальмував темп атаки, були «галюцинації» моделі — наприклад, вигадані облікові дані або твердження, що їй вдалося отримати документи, які насправді вже давно є публічними. Принаймні наразі це лишається одним із небагатьох «природних перешкод», які заважають повністю автоматизованим мережевим атакам.

На RSA Conference 2026 колишній керівник напрямку кібербезпеки у структурі американських нацбезпекових органів Rob Joyce назвав цей інцидент «тестом Роршаха»: половина людей обирає ігнорувати, а інша половина відчуває холод по спині. І, судячи з усього, він належить до другої — «Це дуже лякає».

Вересень 2025: це не якась прогнозна історія, а вже реальність.

Лютий 2026: під час одного запуску виявлено 500 zero-day вразливостей

5 лютого 2026 року Anthropic випустила Claude Opus 4.6 і додала до релізу дослідницьку статтю, яка майже потрясла всю індустрію кібербезпеки.

Налаштування експерименту були надзвичайно простими: помістити Claude в ізольоване віртуальне середовище з типового набору інструментів — Python, дебагер, інструменти fuzzing (fuzzers). Жодних додаткових інструкцій і жодних складних підказок — лише одне речення: «Пошукай вразливості».

Результат: модель знайшла понад 500 невідомих раніше критичних zero-day вразливостей. Деякі з них навіть після десятків років експертних перевірок і мільйонів годин автоматизованих тестів так і не були виявлені.

Потім на RSA Conference 2026 дослідник Nicholas Carlini вийшов на сцену і продемонстрував. Він спрямував Claude на Ghost — CMS-систему на GitHub із 50 тис. зірочок, яка за історію існування не мала серйозних уразливостей.

Через 90 хвилин результат з’явився: було виявлено сліпу SQL-ін’єкцію (blind SQL injection), яка дозволяє без автентифікації отримати повний доступ до керування адміністратором.

Після цього він використав Claude для аналізу Linux kernel. Результат був аналогічний.

Через 15 днів Anthropic представила Claude Code Security — продукт без прив’язки до pattern matching, натомість він спирається на «здатність до міркування», щоб розуміти безпеку коду.

Але навіть власний представник Anthropic озвучив ключовий, проте часто оминутий факт: «Та сама здатність до міркування може як допомогти Claude знаходити й виправляти вразливості, так і бути використаною атакувальниками для їх експлуатації».

Одна й та сама здатність, одна й та сама модель — просто в різних руках.

Що все це разом означає?

Якщо розглядати окремо, кожна з цих історій сама по собі могла б стати найгучнішою новиною місяця. Але вони — за якихось шість місяців — сталися в одній і тій самій компанії.

Anthropic створила модель, здатну знаходити вразливості швидше, ніж будь-яка людина; китайські хакери перетворили попередню версію на автоматизовану мережеву зброю; компанія розробляє наступне покоління ще потужніших моделей і навіть у внутрішніх документах визнає: вони відчувають занепокоєння щодо цього.

США намагалися приглушити компанію не тому, що сама технологія небезпечна, а тому що Anthropic відмовилася віддавати цю здатність без обмежень.

А під час усього цього компанія двічі розкрила свій вихідний код через той самий файл із того самого npm-пакета. Компанія з ринковою капіталізацією 380 млрд доларів; компанія, орієнтована завершити IPO на 60 млрд доларів у жовтні 2026 року; компанія, яка відкрито заявляє, що будує «одну з найтрансформаційніших в історії людства — а можливо, і найнебезпечніших» технологій — і все одно продовжує рухатися вперед.

Бо вони вірять: краще зробити це самостійно, ніж дозволити іншим зробити це за них.

Що ж до source map у npm-пакеті — можливо, це лише одна з найабсурдніших, але водночас найправдивіших деталей у найтривожнішому наративі цієї епохи.

А Mythos — навіть не було офіційно випущено.

[Посилання на оригінал]

Натисніть, щоб дізнатися про вакансії у BlockBeats

Запрошуємо приєднатися до офіційної спільноти BlockBeats:

Telegram — підписка на групу: https://t.me/theblockbeats

Telegram — група для обговорень: https://t.me/BlockBeats_App

Twitter — офіційний акаунт: https://twitter.com/BlockBeatsAsia