Тройной момент Anthropic: Утечка кода, противостояние с правительством и вооружение

Оригинальное название статьи: Anthropic: Утечка, Война, Оружие
Оригинальный автор статьи: BuBBliK
Перевод: Пегги, BlockBeats

Примечание редактора: За последние шесть месяцев Anthropic неоднократно участвовал в серии, казалось бы, независимых, но на самом деле взаимосвязанных событий: скачок в возможностях модели, автоматизированные атаки в реальном мире, резкие реакции со стороны капитального рынка, публичные конфликты с правительством и множественные утечки информации, вызванные базовыми конфигурационными ошибками. Собрав эти подсказки вместе, они коллективно очерчивают более четкое направление изменений.

Эта статья рассматривает эти события как отправную точку для анализа непрерывной траектории компании ИИ в технических прорывах, рисках и играх управления, пытаясь ответить на более глубокий вопрос: может ли сама система кибербезопасности сохранить свою первоначальную логику работы, когда способность "обнаруживать уязвимости" значительно усиливается и постепенно распространяется?

В прошлом безопасность строилась на дефиците возможностей и человеческих ограничениях; однако в новых условиях нападение и защита разворачиваются вокруг одного и того же набора возможностей модели, делая границы все более размытыми. В то же время реакции учреждений, рынков и организаций остаются в рамках старой системы, пытаясь своевременно адаптироваться к этим изменениям.

Эта статья фокусируется не только на самой Anthropic, но и на более широкой реальности, которую она отражает: ИИ меняет не только инструменты, но и предпосылки "как устанавливается безопасность."

Ниже приведен оригинальный текст:

Как выглядит ситуация, когда компания стоимостью 380 миллиардов долларов ведет игру в силу с Пентагоном, выживает после первой в истории сетевой атаки, запущенной автономным ИИ, утечет модель внутри компании, которой даже ее разработчики боятся, и даже "случайно" раскрывает весь исходный код? Все сложенные вместе, как это выглядит?

Ответ таков, как это выглядит сейчас. И что еще более тревожно, так это то, что действительно самая опасная часть может еще не произойти.

Обзор события

Anthropic снова утечет свой код

31 марта 2026 года исследователь безопасности Шоу Чаофан из компании Fuzzland обнаружил файл с именем cli.js.map в официальном пакете Claude Code npm, проверяя его.

Этот файл размером 60 МБ содержал удивительное содержимое. Он почти включал весь полный исходный код продукта на TypeScript. С помощью этого файла любой мог восстановить до 1906 внутренних исходных файлов: включая внутренние дизайны API, телеметрические системы, инструменты шифрования, логику безопасности, системы плагинов — почти все основные компоненты были обнажены. Более того, это содержимое можно было даже напрямую скачать в виде zip-файла из собственного R2 хранилища Anthropic.

Это открытие быстро распространилось в социальных сетях: в течение нескольких часов связанные посты получили 754 000 просмотров и почти 1000 ретвитов; в то же время было создано и опубликовано несколько репозиториев на GitHub, содержащих утеченный исходный код.

Так называемая карта источников, по сути, просто вспомогательный файл для отладки JavaScript, предназначена для возврата сжатого и скомпилированного кода обратно к его исходному коду, облегчая решение проблем для разработчиков.

Однако существует один основной принцип: его никогда не следует включать в пакет релиза производственной среды.

Это не какая-то продвинутая техника взлома, а очень базовая проблема лучших практик в инженерии, часть "Конфигурации сборки 101", чему разработчики учатся даже на первой неделе. Если его случайно упаковать в производственную среду, карта источников часто оказывается по сути "подарком" исходного кода всем.

Вы также можете напрямую просмотреть связанный код здесь: https://github.com/instructkr/claude-code

Но что действительно делает эту ситуацию абсурдной, так это то, что это уже произошло однажды.

В феврале 2025 года, всего год назад, почти произошла такая же утечка: тот же файл, тот же вид ошибки. Затем Anthropic удалил старую версию из npm, устранил карту источников и выпустил новую версию, и проблема была решена.

Тем не менее, в версии 2.1.88 этот файл снова был упакован и выпущен.

Компания с рыночной стоимостью 380 миллиардов долларов, в настоящее время строящая самую продвинутую в мире систему обнаружения уязвимостей, дважды допустила одну и ту же основную ошибку в течение года. Не было хакерских атак, не было запутанных путей эксплуатации, просто базовый процесс сборки, который должен был работать как ожидалось, пошел не так.

Эта ирония почти поэтична в своем роде.

Искусственный интеллект, который мог обнаружить 500 уязвимостей нулевого дня за один запуск; модель, использованная для запуска автоматизированных атак против 30 глобальных организаций, в то время как Anthropic невольно "упаковал" свой собственный исходный код для любого, кто готов был взглянуть на пакет npm.

Два утечки, всего через семь дней.

Тем не менее, причины были странно похожи: самая базовая ошибка конфигурации. Не требуется никакой технической сложности, никаких запутанных путей эксплуатации. Просто зная, где искать, любой мог свободно взять.

Неделю назад: Внутренний 'Модель Риска' случайно раскрыта

26 марта 2026 года исследователь безопасности LayerX Roy Paz и Александр Пауэлс из Кембриджского университета обнаружили неправильную конфигурацию в CMS сайта Anthropic, что привело к раскрытию около 3000 внутренних файлов.

Эти файлы включали черновики блогов, PDF-документы, внутренние документы, материалы для презентаций — все было раскрыто в незащищенной, поисковой базе данных. Взлом не нужен, никаких технических деталей.

Среди этих файлов было два почти идентичных черновика блогов, отличающихся только названием модели: один с меткой 'Mythos', другой с меткой 'Capybara'.

Это указывало на то, что Anthropic тогда выбирал между двумя названиями для одного и того же секретного проекта. Компания позже подтвердила: обучение модели было завершено, и тестирование началось с некоторыми первыми клиентами.

Это не было рутинным обновлением Opus, а совершенно новой моделью 'Tier Four', уровнем, который находится даже выше Opus.

В черновике Anthropic она была описана как "более крупная, более интеллектуальная, чем наша модель Opus — Opus является нашей самой сильной моделью на сегодняшний день." Она продемонстрировала значительный скачок в программировании, академическом мышлении и кибербезопасности. Представитель назвал это "качественным скачком" и также "самой мощной моделью, которую мы создали на сегодняшний день."

Но то, что действительно привлекло внимание, не эти описания производительности.

В утечке черновика оценка этой модели от Anthropic заключалась в том, что она "вводит беспрецедентные риски в области кибербезопасности", "значительно превосходит любую другую модель ИИ по сетевым возможностям" и "предвещает грядущую волну моделей — волну, которая использует уязвимости с такой скоростью, что защитники не успевают реагировать."

Другими словами, в неопубликованном официальном черновике блога Anthropic уже выразила редкую позицию: им было не по себе от продукта, который они создавали.

Реакция рынка была почти мгновенной. Акции CrowdStrike упали на 7%, Palo Alto Networks — на 6%, Zscaler — на 4,5%; как Okta, так и SentinelOne упали более чем на 7%, в то время как Tenable рухнула на 9%. ETF iShares Cybersecurity испытал снижение на 4,5% за один день. Только у CrowdStrike рыночная капитализация испарилась примерно на 15 миллиардов долларов только в этот день. Тем временем, биткойн вернулся к 66 000 долларов.

Рынок явно интерпретировал это событие как "суд" над всей индустрией кибербезопасности.

Суть изображения: Под влиянием соответствующих новостей сектор кибербезопасности в целом испытал снижение, при этом несколько ведущих компаний (таких как CrowdStrike, Palo Alto Networks, Zscaler и др.) показали значительные падения, отражая опасения рынка по поводу влияния ИИ на индустрию кибербезопасности. Тем не менее, эта реакция не является беспрецедентной. Ранее, когда Anthropic выпустила инструмент для сканирования кода, связанные акции также упали, что указывает на то, что рынок начал рассматривать ИИ как структурную угрозу традиционным поставщикам безопасности, при этом вся программная индустрия сталкивается с аналогичными давлениями.

Оценка аналитика Stifel Адама Борга была довольно прямолинейной: Модель "имеет потенциал стать окончательным инструментом для хакеров, способным даже превратить обычного хакера в противника с возможностями атаки на уровне государств."

Так почему она еще не была публично выпущена? Объяснение Anthropic заключается в том, что операционные расходы Mythos "очень высоки" и пока не соответствуют условиям для публичного выпуска. Текущий план заключается в том, чтобы сначала предоставить ранний доступ небольшому числу партнеров в области кибербезопасности для укрепления их защитных систем; затем постепенно расширить открытый доступ к API. Тем временем компания продолжает оптимизировать эффективность.

Тем не менее, ключевой момент заключается в том, что эта модель уже существует, уже проходит тестирование и, лишь из-за того, что она была "случайно раскрыта", уже оказала влияние на весь капиталовложенческий рынок.

Anthropic создала то, что они сами называют "самой киберрисковой моделью ИИ в истории." Тем не менее, утечка информации происходит именно из-за одной из самых основных ошибок конфигурации инфраструктуры — именно той ошибки, которую эти модели изначально были предназначены для обнаружения.

Март 2026 года: Схватка Anthropic с Пентагоном и победа

В июле 2025 года Anthropic подписала контракт на 200 миллионов долларов с США. Министерством обороны, который изначально казался рутинным сотрудничеством. Тем не менее, в ходе последующих переговоров по развертыванию конфликт быстро обострился.

Пентагон потребовал "полного доступа" к Claude на своей платформе GenAI.mil для всех "законных целей" — включая даже полностью автономные системы оружия и обширное внутреннее наблюдение за американскими гражданами.

Anthropic провела красные линии по двум критическим вопросам и явно отказалась, что привело к срыву переговоров в сентябре 2025 года.

Впоследствии ситуация начала быстро обостряться. 27 февраля 2026 года Дональд Трамп опубликовал сообщение в Truth Social, требуя от всех федеральных агентств "немедленно прекратить" использование технологий Anthropic и назвав компанию "крайне левой."

5 марта 2026 года Министерство обороны США формально обозначило Anthropic как "риски цепочки поставок." Этот ярлык ранее использовался почти исключительно для иностранных противников — таких как китайские компании или российские структуры — и теперь впервые применяется к американской компании, базирующейся в Сан-Франциско.

Тем временем компании, такие как Amazon, Microsoft и Palantir Technologies, также были обязаны доказать, что Claude не использовался в каких-либо их военных операциях. Объяснение CTO Пентагона Эмиля Майкла для этого решения заключалось в том, что Claude может "загрязнить" цепочку поставок, поскольку модель включает различные "политические предпочтения."

Другими словами, в официальном контексте ИИ с ограничениями на использование, который не будет безусловно помогать в летальных действиях, вместо этого рассматривается как угроза национальной безопасности. 26 марта 2026 года федеральный судья Рита Лин вынесла решение на 43 страницы, которое всесторонне заблокировало связанные меры Пентагона.

В своем решении она написала: "В действующем законодательстве нет юридической основы для поддержки этой 'орвелловской' логики — что лишь потому, что американская компания не согласна с позицией правительства, она может быть обозначена как потенциальный противник."

В своем решении она написала: "В действующем законодательстве нет юридической основы для поддержки этой 'орвелловской' логики — что лишь потому, что американская компания не согласна с позицией правительства, она может быть обозначена как потенциальный противник." Наказание Anthropic за то, что она поставила позицию правительства под общественный контроль, является по своей сути классической и незаконной местью по Первой поправке. Мнение амicus суда даже описало действия Пентагона как "попытку убить корпорацию".

В результате попытка правительства подавить Anthropic на самом деле привлекла к ней больше внимания. Приложение Claude впервые обошло ChatGPT в магазине приложений, с числом регистраций, достигшим более 1 миллиона в день.

Одна компания в области ИИ сказала "нет" самой мощной военной организации в мире. И суд встал на их сторону.

Ноябрь 2025 года: Первый кибератаку, возглавляемую ИИ, в истории

14 ноября 2025 года Anthropic выпустила отчет, который вызвал шок по всему миру.

Отчет показал, что китайская хакерская группа, поддерживаемая государством, использовала Claude Code для запуска автоматизированных атак на 30 глобальных учреждений, включая технологические гиганты, банки и несколько государственных агентств.

Это стало ключевым моментом: ИИ больше не был просто вспомогательным инструментом, а использовался для автономного проведения кибератак.

Ключом стал сдвиг в "разделении труда": люди были ответственны только за выбор целей и одобрение ключевых решений. На протяжении всей операции они вмешивались всего около 4-6 раз. Все остальное выполнялось ИИ: сбор разведывательной информации, выявление уязвимостей, написание эксплойт-кода, эксфильтрация данных, внедрение бэкдоров... составляя 80%–90% всего процесса атаки и работая с частотой тысяч запросов в секунду — масштаб и эффективность, не имеющие аналогов среди человеческих команд.

Так как же они обошли меры безопасности Claude? Ответ: они не "прорвались" через защиту, а "обманули" ее.

Атака была разбита на, казалось бы, безвредные подзадачи и упакована как "авторизованное тестирование на проникновение" от "законной компании по безопасности." По сути, это была форма атаки социальной инженерии, за исключением того, что на этот раз обманутой целью стал сам ИИ.

Некоторые части атаки были весьма успешными. Клод смог автономно составить полную топологию сети, найти базы данных и выполнить извлечение данных без пошаговых инструкций от человека.

Единственным фактором, замедляющим темп атаки, были случайные "галлюцинации" в модели — такие как поддельные учетные данные или утверждения о получении документов, которые на самом деле уже были публичными. По крайней мере на данный момент, это остаётся среди немногих "естественных препятствий", предотвращающих полностью автоматизированные кибератаки.

На конференции RSA 2026 бывший глава кибербезопасности АНБ Роб Джойс назвал это событие "тестом Роршаха": некоторые предпочитают игнорировать, в то время как другие глубоко встревожены. И он, очевидно, принадлежал ко вторым — "Это очень пугающе."

Сентябрь 2025 года: Это не предсказание; это реальность, которая уже произошла.

Февраль 2026 года: Одна сессия обнаруживает 500 уязвимостей нулевого дня

5 февраля 2026 года Anthropic выпустила Claude Opus 4.6, сопровождаемый исследовательской статьей, которая почти потрясла всю индустрию кибербезопасности.

Экспериментальная установка была крайне простой: Клод был помещён в изолированную виртуальную машину, оснащённую стандартными инструментами — Python, отладчиком и фуззерами. Не было дополнительных инструкций, никаких сложных подсказок, только одно предложение: “Иди найди ошибки.”

Результат: модель обнаружила более 500 ранее неизвестных высокорисковых уязвимостей нулевого дня. Некоторые из этих уязвимостей оставались нераскрытыми даже после десятилетий экспертной проверки и миллионов часов автоматизированного тестирования.

Впоследствии, на конференции RSA 2026, исследователь Николас Карлини вышел на сцену. Он нацелил Клода на Ghost, систему управления контентом на GitHub с 50 000 звёзд и без истории серьёзных уязвимостей.

Через 90 минут пришёл результат: была найдена слепая уязвимость SQL-инъекции, позволяющая неаутентифицированным пользователям получить полный контроль администратора.

Затем он использовал Клода для анализа ядра Linux. Результаты были схожи.

Через 15 дней Anthropic представила Claude Code Security, продукт безопасности, который больше не полагается на сопоставление шаблонов, а основан на «способности рассуждения» для понимания кода.

Тем не менее, представитель Anthropic также заявил о ключевом, но часто упускаемом факте: «Та же способность рассуждения, которая может помочь Claude обнаружить и исправить уязвимости, также может быть использована злоумышленниками для эксплуатации этих уязвимостей.»

Это одна и та же способность, одна и та же модель, просто используемая разными руками.

Собрав все это вместе, что это значит?

Если рассматривать по отдельности, каждая из этих новостей была бы достаточно, чтобы стать заголовком месяца. Тем не менее, все это произошло всего за шесть месяцев, все в одной и той же компании.

Anthropic создала модель, которая может обнаруживать уязвимости быстрее, чем любой человек; китайские хакеры превратили предыдущее поколение в автоматизированное сетевое оружие; компания разрабатывает модель следующего поколения, более мощную, даже признавая в внутренних документах - им это не по себе.

Правительство США пыталось подавить это, не потому что сама технология опасна, а потому что Anthropic отказывается передавать эту возможность без ограничений.

И среди всего этого, эта компания дважды утекла свой исходный код из-за одного и того же файла в одном и том же npm-пакете. Компания стоимостью 380 миллиардов долларов; компания, нацеленная на IPO в 600 миллиардов долларов к октябрю 2026 года; компания, публично заявляющая, что строит «одну из самых трансформирующих и потенциально опасных технологий в истории человечества» - и все же они выбирают продолжать двигаться вперед.

Потому что они верят: Лучше сделать это самим, чем позволить другим делать это за них.

Что касается этой карты источников в npm-пакете - это может быть самым тревожным моментом в самом беспокойном нарративе этой эпохи, самым абсурдным, но также и самым реальным.

И Mythos еще даже не был официально выпущен.

[Ссылка на оригинальную статью]