Исходный код Claude Code компании Anthropic случайно утёк через пакет npm

Разбор утечки исходного кода Anthropic Claude: Тревожный звонок для безопасности цепочки поставок ИИ

Быстрые темпы разработки ИИ часто заставляют отдавать приоритет скорости внедрения, но недавний инцидент с участием Anthropic служит отрезвляющим напоминанием о критической важности операционной безопасности. Из-за заметного упущения Anthropic случайно раскрыла примерно 512 000 строк исходного кода, связанного с «Claude Code», своим агентным инструментом для написания кода, через неправильно настроенный пакет npm. Утечка, ставшая достоянием общественности в конце марта 2026 года, высветила риски, присущие современным конвейерам разработки программного обеспечения, где человеческая ошибка в конфигурациях непрерывной интеграции и непрерывного развертывания (Continuous Integration/Continuous Deployment — CI/CD) может привести к раскрытию проприетарной интеллектуальной собственности.

В Creati.ai мы рассматриваем это событие не просто как временное затруднение для ведущей исследовательской лаборатории ИИ, но как системный предвестник для всей индустрии ИИ. Поскольку компании, занимающиеся ИИ, все больше полагаются на сложные, взаимосвязанные экосистемы разработки — включая менеджеры пакетов, такие как npm, и интегрированные среды разработки — площадь поверхности для потенциальных утечек расширилась в геометрической прогрессии. Понимание механизмов этого взлома необходимо как разработчикам, так и архитекторам безопасности и заинтересованным сторонам в сфере ИИ.

Анатомия неправильной конфигурации

Суть инцидента сосредоточена на том, как процесс сборки Anthropic взаимодействовал с экосистемой npm. Отчеты указывают на то, что неправильная конфигурация в конвейере сборки привела к тому, что проприетарный исходный код TypeScript, который предназначался только для внутреннего использования, был включен в общедоступный npm-пакет.

Для непосвященных: npm (Node Package Manager) является менеджером пакетов по умолчанию для среды выполнения JavaScript. Для разработчиков стандартной практикой является «публикация» пакетов в общедоступном реестре. Однако публикация пакета обычно требует строгого контроля над тем, какие файлы включаются в дистрибутив — обычно это определяется файлом .npmignore или массивом files в конфигурации package.json. В данном случае, судя по всему, эти защитные механизмы не сработали, непреднамеренно позволив проиндексировать и распространить публично необработанный, неминифицированный и нескомпилированный исходный код.

Что раскрыли данные

Раскрытый репозиторий был не просто коллекцией шаблонного кода; он содержал значительную проприетарную ценность. Исследователи безопасности и любопытные разработчики, получившие доступ к пакету до того, как он был удален, обнаружили:

Невыпущенные функции: Код содержал хуки и логику для возможностей ИИ, которые Anthropic еще не анонсировала и не интегрировала в публичную версию Claude.
Внутренние кодовые имена: Репозиторий раскрыл структуру проекта и внутреннюю номенклатуру, предоставив конкурентам информацию о дорожной карте исследований и разработок (Research and Development — R&D) Anthropic.
Архитектурные нюансы: Для разработчиков наиболее ценным (и потенциально разрушительным) аспектом стало понимание того, как инженеры Anthropic создают рабочие процессы агентного ИИ (Agentic AI). Сообщается, что код подробно описывает, как инструмент управляет окнами контекста, взаимодействует с локальными файловыми системами и интерфейсами с бэкендами LLM Anthropic.

Сравнительные векторы рисков в разработке ИИ

Инцидент с Anthropic является частью более широкого спектра рисков безопасности, с которыми сегодня сталкиваются организации, работающие с ИИ. В то время как утечки весов моделей и данных для обучения часто попадают в заголовки газет, утечка исходного кода приложения — «логики», которая управляет агентом ИИ — представляет собой уникальную конкурентную угрозу.

Следующая таблица описывает различные категории рисков, часто встречающихся в жизненных циклах разработки программного обеспечения ИИ, и стратегии смягчения последствий, необходимые для их устранения.

Векторы рисков в разработке программного обеспечения ИИ

Фактор риска	Описание	Стратегия смягчения последствий
Конфигурация npm/реестра	Раскрытие артефактов разработки через публичные менеджеры пакетов	Внедрить автоматизированные аудиты CI/CD; использовать частные реестры для внутреннего кода
Проприетарный исходный код	Случайное включение невыпущенных функций и внутренней логики	Обеспечить строгую валидацию результатов сборки; использовать тестирование перед публикацией
Внутренние кодовые имена и данные	Утечка дорожной карты и архитектурных секретов через метаданные репозитория	Очищать результаты сборки; внедрять инструменты сканирования секретов; периодические аудиты разрешений
Раскрытие весов моделей	Несанкционированный доступ к параметрам обученных моделей ИИ	Строгий контроль доступа к облачному хранилищу; фильтрация исходящего трафика; решения для зашифрованного хранения

Последствия для безопасности и реакция отрасли

Последствия этой утечки для безопасности двояки: немедленные и стратегические. В краткосрочной перспективе раскрытие кода может потенциально выявить уязвимости в том, как Claude Code взаимодействует с хост-машиной. Если в том, как инструмент выполняет код или управляет переменными локальной среды, были недостатки, просочившийся исходный код фактически служит дорожной картой для злоумышленников при создании эксплойтов.

Anthropic быстро отреагировала на инцидент, удалив скомпрометированный пакет из реестра npm и, предположительно, проведя аудит своих конвейеров сборки для предотвращения повторения ситуации. Однако это событие поднимает неудобные вопросы о менталитете «двигайся быстро и ломай вещи» (move fast and break things), который пронизывает сектор ИИ.

В современном ландшафте ИИ грань между «продуктом» и «исследованием» становится все более размытой. Когда такие инструменты, как Claude Code, создаются для глубокого взаимодействия с операционной системой пользователя, сама кодовая база становится высокоценным активом. В отличие от традиционных платформ SaaS, где логика выполняется на стороне сервера, агентные инструменты ИИ часто запускаются локально или выполняют сложные операции от имени пользователя. Это делает безопасность канала распространения — в данном случае npm — не просто вопросом ИТ, а основным требованием к безопасности продукта.

Роль безопасности цепочки поставок

Безопасность цепочки поставок долгое время была проблемой для разработчиков программного обеспечения, но в эпоху ИИ она приобретает новые измерения. Поскольку компании автоматизируют все больше своих конвейеров разработки, чтобы не отставать от бешеной скорости инноваций в области ИИ, они часто интегрируют десятки сторонних зависимостей и внутренних автоматизированных скриптов.

Утечка Anthropic подчеркивает, что «цепочка поставок» означает не только угрозу внедрения вредоносного кода в проект с открытым исходным кодом хакерами; это также относится к риску внутренней «утечки», когда легитимный код раскрывается из-за ошибок конфигурации. Организации должны принять подход «нулевого доверия» (Zero Trust) к своим конвейерам сборки, гарантируя, что:

Артефакты сборки проверяются: Каждый пакет, предназначенный для публичного выпуска, должен сканироваться на предмет наличия конфиденциальных данных и включения исходного кода.
Аудит инфраструктуры как кода (Infrastructure as Code — IaC): К конфигурациям, управляющим конвейерами сборки, следует относиться с той же строгостью в плане безопасности, что и к самому коду приложения.
Автоматизированное обнаружение утечек: Используйте инструменты, которые могут обнаружить случайную фиксацию исходного кода или секретов в каталогах сборки или публичных реестрах.

Уроки для экосистемы ИИ

Чему могут научиться другие стартапы в области ИИ и состоявшиеся лаборатории? Во-первых, это подтверждает необходимость проверки с участием человека (human-in-the-loop), даже для высокоавтоматизированных процессов CI/CD. Хотя автоматизация необходима для масштабирования, конфигурация этих автоматизированных систем должна проходить строгую экспертную проверку.

Кроме того, отрасли необходимо переосмыслить свою зависимость от общедоступных менеджеров пакетов для внутренних инструментов. Несмотря на удобство, риск неправильной конфигурации присутствует всегда. Многие организации корпоративного уровня переходят на реестры, «закрытые по умолчанию», где внутреннему коду никогда не разрешается находиться в публичной сети, независимо от настроек безопасности.

Инцидент с Claude Code не является смертным приговором для Anthropic или катастрофическим провалом их команды безопасности — несчастные случаи случаются, особенно при создании нового сложного программного обеспечения. Однако это служит важной вехой. По мере распространения агентов ИИ безопасность их «мозгов» и «конечностей» — их базового исходного кода — станет критическим конкурентным преимуществом. Компании, которые смогут продемонстрировать надежный и безопасный жизненный цикл разработки, вызовут наибольшее доверие у пользователей и предприятий.

Заключение

Утечка 512 000 строк исходного кода Claude Code — это поучительная история для индустрии ИИ. Она подчеркивает хрупкость современных конвейеров разработки и серьезные последствия, казалось бы, незначительных ошибок конфигурации. Для Anthropic немедленный кризис был смягчен, но долгосрочное влияние на их репутацию в области безопасности будет зависеть от изменений, которые они внедрят сейчас.

Для остального сообщества ИИ это служит императивом пересмотреть внутренние аудиты безопасности, инвестировать в целостность цепочки поставок и признать, что в эпоху ИИ код так же ценен — и так же уязвим — как и веса самих моделей. По мере того как мы продолжаем продвигаться к более автономным агентам для написания кода, безопасности среды разработки должен уделяться такой же, если не больший, приоритет, как и разработке самих моделей ИИ.