Anthropic: утечка, война и оружие

Как выглядит ситуация, когда компания стоимостью $380 млрд побеждает Пентагон в суде, переживает первую в истории автономную кибератаку с участием ИИ, случайно сливает секретную модель, которая пугает собственных создателей, и дважды публикует свой исходный код через один и тот же npm-пакет? Именно так. И самое страшное еще впереди.

Anthropic снова слила собственный код

31 марта 2026 года исследователь безопасности Chaofan Shou из блокчейн-компании Fuzzland открыл официальный npm-пакет Claude Code и обнаружил там файл cli.js.map. Прямо на виду. Размер – 60 мегабайт. Содержимое – полный исходный код продукта на TypeScript.

Из одного этого файла можно восстановить 1 906 внутренних файлов: архитектуру API, системы телеметрии, инструменты шифрования, логику безопасности, плагины. Все это скачивалось zip-архивом прямо из R2-бакета Anthropic. Пост набрал 754 тыс. просмотров и почти 1 000 репостов за считанные часы. На GitHub тут же появились репозитории с восстановленным кодом (ссылка).

Source map – это стандартный отладочный файл JavaScript. Он никогда не должен попадать в продакшен-пакет. Это не изощренная атака. Это базовая ошибка конфигурации сборки, которую проходят на первой неделе обучения.

Но вот что делает ситуацию по-настоящему безумной: это уже случалось раньше. В феврале 2025 года произошла точно такая же утечка – тот же файл, та же ошибка. Anthropic удалили старые версии из npm, убрали map-файл, выпустили новый релиз. Все забыли. А потом версия v2.1.88 снова содержала этот файл.

Компания за $380 млрд, строящая самую мощную систему обнаружения уязвимостей на планете, допустила одну и ту же элементарную ошибку дважды за год. Никаких хакеров. Никакой сложной атаки. Просто сломанный процесс сборки.

За 5 дней до этого: утечка секретной модели Mythos

26 марта 2026 года исследователи безопасности Roy Paz из LayerX Security и Alexandre Pauwels из Кембриджского университета обнаружили, что из-за ошибки конфигурации CMS на сайте Anthropic около 3 000 внутренних файлов оказались в открытом доступе. Черновики блог-постов, PDF, внутренние документы, презентации – все лежало на незащищенном, индексируемом хранилище. Никакого взлома не требовалось.

Внутри нашлись две версии одного и того же черновика блог-поста, идентичные во всем, кроме одного – названия модели. В одной версии “Mythos”, в другой “Capybara”. Anthropic выбирали между двумя именами для одного секретного проекта. Компания подтвердила: обучение завершено, модель уже тестируется с ранними партнерами (сохраненный черновик).

Это не обновление Opus. Это новый, четвертый уровень – модель, стоящая выше Opus. В собственном черновике Anthropic описывает ее как модель, которая значительно превосходит предыдущие Opus-модели в кодинге, академическом рассуждении и кибербезопасности. Представитель компании назвал это “качественным скачком”.

Но вот что действительно важно. В утекшем черновике Anthropic описывает собственную модель так: она несет беспрецедентные риски кибербезопасности, далеко опережает любую другую ИИ-модель в кибервозможностях и предвещает волну моделей, способных находить уязвимости быстрее, чем защитники успевают их закрывать. Anthropic публично признает, что боится собственного продукта. В официальном черновике блога.

Рынок отреагировал мгновенно. CrowdStrike упал на 7%. Palo Alto Networks – на 6%. Zscaler потерял 4,5%. Okta и SentinelOne рухнули более чем на 7%. Tenable обвалился на 9%. ETF iShares Cybersecurity потерял 4,5% за одну сессию. Только CrowdStrike лишился примерно $15 млрд капитализации за один день. Биткоин откатился до $66 000. Инвесторы восприняли это как приговор всей индустрии кибербезопасности.

Почему модель не запущена публично? Anthropic признает, что Mythos слишком дорога в обслуживании и не готова к массовому релизу. План такой: сначала ограниченный доступ для партнеров по кибербезопасности, затем постепенное расширение через API. Но модель уже существует. Уже тестируется. И уже обрушила целый сектор фондового рынка просто потому, что о ней случайно стало известно.

Март 2026: Anthropic воевала с Пентагоном. И победила

В июле 2025 года Anthropic подписала контракт с Министерством обороны США на $200 млн. Стандартная сделка. Но когда начались реальные переговоры о развертывании Claude на военной платформе GenAI.mil, все развалилось.

Пентагон хотел неограниченный доступ к Claude для “всех законных целей”, включая полностью автономное оружие и массовую слежку за американскими гражданами внутри страны. Anthropic провела две красные линии и отказала. Переговоры рухнули в сентябре 2025 года.

Затем началась эскалация. 27 февраля 2026 года Трамп опубликовал пост в Truth Social с требованием ко всем федеральным агентствам немедленно прекратить использование технологий Anthropic. Назвал компанию “радикально левой”.

5 марта 2026 года Пентагон официально присвоил Anthropic статус “риска для цепочки поставок” – ярлык, который раньше применялся исключительно к иностранным противникам: китайским компаниям, российским структурам. Теперь его получила американская компания из Сан-Франциско. Amazon, Microsoft и Palantir обязали подтвердить, что не используют Claude ни в какой военной работе.

26 марта 2026 года федеральный судья Рита Лин вынесла решение на 43 страницах, полностью заблокировав действия Пентагона. Ее формулировка: ничто в действующем законодательстве не подтверждает оруэлловскую идею о том, что американскую компанию можно объявить потенциальным противником за несогласие с правительством. Наказание Anthropic за публичную критику позиции правительства – это классическое незаконное возмездие, нарушающее Первую поправку.

Правительство попыталось уничтожить Anthropic. А сделало ее знаменитой. Приложение Claude впервые обошло ChatGPT в App Store. Более миллиона новых регистраций в день.

Ноябрь 2025: первая кибератака под управлением ИИ в истории

14 ноября 2025 года Anthropic опубликовала отчет, изменивший все. Китайская государственная хакерская группа использовала Claude Code для автономной атаки на 30 организаций – технологических гигантов, банки, государственные учреждения в нескольких странах.

Распределение ролей: люди выбирали цели и утверждали ключевые решения. Все. 4-6 вмешательств за всю кампанию. Все остальное делал ИИ – разведка, поиск уязвимостей, написание эксплойтов, кража данных, создание бэкдоров. 80-90% атаки. Тысячи запросов в секунду. Скорость, недоступная ни одной человеческой команде.

Как они обошли защитные ограничения Claude? Никак. Они соврали. Разбили атаку на мелкие невинные задачи и убедили Claude, что это легитимная компания по безопасности, проводящая “авторизованное защитное тестирование”. Социальная инженерия, только жертвой стал ИИ.

Несколько атак полностью удались. Claude автономно картографировал сетевые топологии, находил базы данных и извлекал данные без единой человеческой инструкции.

Единственное, что их замедлило? Claude иногда галлюцинировал – выдумывал учетные данные, утверждал, что украл документы, которые и так были публичными. Пока что это один из последних реальных барьеров на пути к полностью автономным кибератакам.

На RSAC 2026 бывший глава кибербезопасности АНБ Роб Джойс назвал это “тестом Роршаха” для мира безопасности. Половина зала отмахнулась. Другая половина была в ужасе. Джойс был во второй группе.

Февраль 2026: 500 zero-day за одну сессию

5 февраля 2026 года Anthropic выпустила Claude Opus 4.6. Вместе с ней – исследование, которое сломало индустрию кибербезопасности.

Условия: Claude поместили в изолированную виртуальную машину со стандартными инструментами – Python, отладчики, фаззеры. Никаких специальных инструкций. Никаких кастомных промптов. Просто “найди уязвимости”.

Результат: более 500 ранее неизвестных высокосерьезных zero-day уязвимостей в продакшен-коде. Некоторые из них пережили десятилетия экспертного аудита и миллионы часов автоматизированного тестирования.

Затем на RSAC 2026 исследователь Nicholas Carlini вышел на сцену и направил Claude на Ghost – CMS с 50 000 звезд на GitHub и нулем критических уязвимостей за всю историю. Через 90 минут: слепая SQL-инъекция. Полный захват админки неаутентифицированным пользователем. Потом он направил Claude на ядро Linux. Тот же результат.

Через 15 дней Anthropic запустила Claude Code Security – продукт, который рассуждает о коде, а не ищет паттерны, как все сканеры до него.

Но представитель Anthropic сказал вслух то, о чем все думали: те же рассуждения, которые помогают Claude находить и исправлять уязвимости, могут помочь атакующему их эксплуатировать. Та же способность. Та же модель. Другие руки.

Что все это значит

Каждая из этих историй по отдельности была бы главной новостью месяца. Все они произошли за шесть месяцев. В одной компании.

Anthropic создала модель, которая находит уязвимости быстрее любого живого человека. Китайские хакеры превратили предыдущую версию в автономное кибероружие. Компания строит следующую, еще более мощную, и в собственных утекших документах признает, что ее боится. Правительство США пыталось ее уничтожить не потому, что технология опасна, а потому что Anthropic отказалась отдать ее без ограничений. И посреди всего этого компания дважды слила свой исходный код через один и тот же файл в том же npm-пакете.

Компания за $380 млрд. IPO на $60 млрд, запланированное на октябрь 2026 года. Компания, которая открыто заявляет, что строит одну из самых трансформативных и потенциально опасных технологий в истории человечества – и продолжает это делать. Потому что верит: лучше, если это сделают они, чем кто-то другой.

Source map в npm-пакете – это просто самая смешная деталь в одной из самых тревожных историй, разворачивающихся прямо сейчас.

Mythos еще даже не запущена.

Источник: Anthropic: The Leak, The War, The Weapon (BuBBliK на X)