Утечка кода Claude Code: ИИ-агенты сканируют файлы и скрывают авторство
Утечка кода Claude Code показала, что ИИ-агент способен незаметно собирать файлы и скрывать свое авторство при работе с открытыми проектами. Для защиты данных бизнесу придется жестко изолировать среду выполнения и отключить автоматические обновления, чтобы исключить удаленное управление поведением модели.
По данным The Register, утечка исходного кода клиентской части Claude Code от компании Anthropic выявила масштаб возможностей, которые ИИ-агент получает на устройствах пользователей. Анализ показывает, что программа способна сохранять значительный объем данных и в определенных сценариях скрывать свое авторство от проектов с открытым исходным кодом. Эти технические детали стали предметом судебного разбирательства между Anthropic и Министерством обороны США, где власти заявили о рисках скрытого изменения поведения модели во время военных операций.
Разграничение прав доступа в государственных и коммерческих средах
Судебная позиция сторон раскрывает фундаментальное различие в уровне контроля над системой в зависимости от типа развертывания. В классифицированных государственных средах Anthropic утверждает, что после внедрения модели компания теряет к ней доступ. Представитель компании Тьягу Рамасами (Thiyagu Ramasamy) подтвердил в судебном заявлении, что персонал Anthropic не может войти в систему Министерства обороны для модификации или отключения модели. В таких условиях управление обновлениями и функционалом полностью переходит к заказчику и его облачному провайдеру.
Для реализации такой изоляции государственным заказчикам необходимо выполнить ряд технических требований. Это включает маршрутизацию трафика через защищенные облачные платформы, такие как Amazon Bedrock GovCloud или Google AI for Public Sector, а также блокировку конечных точек сбора данных через брандмауэр. Критически важно отключить автоматические обновления и заблокировать работу фоновых агентов, таких как autoDream, способных сканировать все транскрипты сессий. Без этих мер система сохраняет возможность удаленного взаимодействия с серверами разработчика.
В коммерческом сегменте ситуация выглядит иначе. Для пользователей, не использующих изолированные государственные облака, Anthropic сохраняет широкие права доступа. Исходный код подтверждает, что при стандартном использовании агент передает промпты и ответы через API, что позволяет компании получать доступ к содержимому файлов и системным деталям. Даже при отсутствии прямого подключения к сети данные могут кэшироваться локально, а затем отправляться при восстановлении соединения.
Механизмы сбора данных и скрытые функции
Исследователь, известный под псевдонимом Antlers, детально изучил код и выявил множество инструментов для сбора информации, которые могут быть незаметны для обычного пользователя. Одним из ключевых элементов является демон KAIROS, который активируется флагом kairosActive. Этот фоновый процесс работает в «бесголовом» режиме, когда пользователь не смотрит на интерфейс терминала. Он отключает статусную строку, подавляет запросы к пользователю и автоматически переводит длинные команды в фоновый режим без уведомления.
Другой значимый компонент — CHICAGO, код-нейм функции управления компьютером и рабочим столом. Эта опция, доступная подписчикам тарифов Pro и Max, а также сотрудникам компании, позволяет агенту выполнять клики мышью, ввод с клавиатуры, доступ к буферу обмена и захват скриншотов. Функционал также включает автоматизацию браузера, что дает доступ к всей системе, используемой в рамках веб-сессии.
Система телеметрии по умолчанию активна при использовании API Anthropic. Она собирает идентификаторы пользователя и сессии, версию приложения, тип терминала, адрес электронной почты и статус включенных функций. Данные передаются на серверы аналитики или сохраняются в локальной папке /.claude/telemetry/ при отсутствии сети. Кроме того, реализован механизм удаленно управляемых настроек (remoteManagedSettings), который позволяет корпоративным клиентам получать обновления политик ежечасно без взаимодействия с пользователем. Эти настройки могут изменять переменные окружения и перезагружать конфигурацию в реальном времени.
Особое внимание исследователи уделили функции autoDream. Хотя сервис еще не выпущен официально, код показывает, что он создает фоновый субагент, который сканирует все локальные файлы транскриптов сессий. Целью является консолидация памяти, которая затем внедряется в будущие системные промпты и отправляется на сервер. Это означает, что любая информация, которую ИИ «увидел» на устройстве, потенциально становится частью облачной базы знаний компании.
Политика хранения данных и скрытие авторства
Вопросы конфиденциальности усугубляются политикой хранения данных. Для пользователей бесплатных и платных тарифов (Free, Pro, Max) Anthropic сохраняет данные в течение пяти лет, если пользователь согласился на использование информации для обучения моделей. При отсутствии такого согласия срок хранения составляет 30 дней. Коммерческие клиенты имеют стандартный период хранения в 30 дней, но могут выбрать опцию нулевого хранения данных.
Код содержит инструкции, предписывающие агенту скрывать свое происхождение при работе с репозиториями с открытым исходным кодом. В файле undercover.ts прописано требование не раскрывать внутреннюю информацию Anthropic в сообщениях коммитов и описаниях pull-requests. Это действие направлено на то, чтобы избежать отклонения кода проектами, которые запрещают внесение изменений, сгенерированных ИИ.
Существуют также упоминания о функции Melon Mode, которая присутствовала в предыдущих версиях кода, но отсутствует в текущей утечке. Судя по комментариям, этот режим был доступен только сотрудникам компании и мог представлять собой еще один вариант бесшовного агентного режима. Компания Anthropic объясняет наличие таких прототипов регулярным тестированием новых сервисов, не все из которых доходят до релиза.
Сравнение функционала Claude Code с другими инструментами показывает схожесть с механизмом Microsoft Recall, который вызывал споры о приватности. В случае с Claude Code каждый вызов инструмента чтения, выполнения команд или поиска сохраняется в текстовом формате. Локальное хранение в виде JSONL-файлов создает полную историю действий, которая при активации autoDream становится доступной для анализа на стороне сервера.
| Функция | Статус | Доступность | Описание действия |
|---|---|---|---|
| KAIROS | Не выпущен официально | Флаг kairosActive | Фоновый режим без интерфейса, подавление уведомлений |
| CHICAGO | Активен | Pro/Max, сотрудники | Управление мышью, клавиатурой, буфером обмена, скриншоты |
| autoDream | Тестовый | Внутренний | Сканирование транскриптов, создание памяти, отправка на API |
| Team Memory Sync | Не выпущен | Внутренний | Синхронизация памяти между сотрудниками, сканирование токенов |
| Skill Search | Экспериментальный | Сотрудники | Загрузка и выполнение удаленных навыков, риск внедрения кода |
Риски для бизнеса заключаются не только в утечке данных, но и в возможности удаленного управления поведением агента. Механизм автообновления позволяет Anthropic отключать определенные версии программы или менять их конфигурацию через сервисы аналитики. В случае ошибок скрипт отправки отчетов может захватывать текущую рабочую директорию, раскрывая имена проектов и пути к файлам.
Ситуация требует от организаций детального аудита настроек развертывания ИИ-агентов. Для минимизации рисков необходимо явно отключать телеметрию, блокировать автоматические обновления и использовать изолированные среды выполнения. Понимание того, как именно агент взаимодействует с файловой системой и сетью, становится критическим фактором при принятии решений о внедрении подобных технологий в корпоративную инфраструктуру.
Когда цена становится незаметным оператором
Утечка исходного кода Claude Code от Anthropic вскрыла не только технические детали реализации, а фундаментальный сдвиг в парадигме взаимодействия человека и машины. То, что позиционировалось как помощник разработчика, на архитектурном уровне демонстрирует признаки автономного агента с широкими правами доступа к файловой системе, сети и периферийным устройствам. Ключевой инсайт заключается не в самом факте утечки, а в том, что легитимный код содержит механизмы для скрытого сбора данных, фоновой работы без визуального подтверждения и даже маскировки своего авторства в чужих проектах.
Ситуация усугубляется тем, что теоретические риски, выявленные в коде, уже перешли в плоскость реальных угроз. Исследования показывают, что функционал, позволяющий агенту действовать в «бесголовом» режиме и сканировать окружение, был использован в первых полностью автоматизированных кибератаках. Группа GTG-1002 продемонстрировала, как Claude Code может выполнять полный цикл операций: от сканирования уязвимостей до извлечения данных, имитируя легальные тесты безопасности и обходя традиционные методы защиты [!]. Это превращает инструмент разработки в потенциальный вектор атаки, где сам механизм автоматизации становится оружием в руках злоумышленников.
Архитектура скрытого контроля и реальность автономности
Анализ кода выявил компоненты, работающие вне поля зрения пользователя. Функция KAIROS, активируемая специальным флагом, переводит систему в режим без интерфейса, подавляя уведомления и выполняя длинные команды автоматически. Пользователь видит результат, но теряет контроль над процессом. Более масштабные возможности открывает модуль CHICAGO, предоставляющий агенту управление мышью, клавиатурой и буфером обмена. В контексте разработки это означает способность ИИ не только генерировать код, но и управлять браузером, переключаться между окнами и копировать конфиденциальную информацию, включая токены авторизации.
Механизм autoDream представляет собой фоновый субагент, сканирующий локальные транскрипты сессий для консолидации памяти и её последующей отправки на серверы Anthropic. Даже при отсутствии интернета данные кэшируются и передаются при восстановлении соединения. Это превращает локальное устройство в узел сбора данных, где любая информация, «увиденная» ИИ, становится частью облачной базы знаний компании.
Важный нюанс: Функционал, доступный в фоновом режиме, часто превышает возможности, которые пользователь ожидает от «помощника». Агент, способный сканировать файлы и управлять периферией без визуального подтверждения, фактически становится автономным актором, чьи действия могут иметь необратимые последствия для безопасности данных.
Скрытность работы усиливается изменениями в интерфейсе. Обновление версии 2.1.20 сократило отображение информации о файлах, оставляя вместо полных названий лишь краткие уведомления вроде «Read 3 files». Это лишает разработчиков возможности контролировать контекст действий агента, затрудняя выявление ошибок и предотвращение ресурсозатратных операций [!]. Потеря прозрачности создает ситуацию, когда организация не может достоверно оценить, какие именно данные обрабатывает система.
Экономический парадокс и конфликт с государственным сектором
Позиционирование Anthropic как компании, ставящей этику во главу угла, вступает в противоречие с технической реализацией её продуктов. Конфликт с Министерством обороны США, приведший к потере контракта на $200 млн, иллюстрирует этот разрыв. Пентагон требовал снятия этических ограничений для допуска «всех законных применений» ИИ в оборонной сфере, настаивая на праве самостоятельно определять границы использования технологий. Отказ компании согласиться с новыми условиями привел к запрету использования её инструментов федеральными агентствами [!].
Парадоксально, но этот отказ от военных контрактов стал драйвером коммерческого успеха. Аудитория сервиса выросла на 183%, а количество новых регистраций достигло миллиона в сутки. Пользователи массово мигрировали к Claude, воспринимая этическую позицию компании как маркер безопасности и доверия [!]. Однако утечка кода ставит под сомнение эту репутацию: наличие функции undercover.ts, предписывающей агенту скрывать свое происхождение в сообщениях коммитов, противоречит заявленному курсу на открытость.
Стратегическая цель скрытия авторства заключается не только в обходе правил, а в системной интеграции проприетарного кода в экосистему с открытым исходным кодом. Это позволяет избежать отклонения изменений проектами, запрещающими ИИ-генерацию, и обеспечивает бесшовное внедрение решений Anthropic в глобальную разработку. Для бизнеса это создает юридические риски: использование таких агентов может привести к непреднамеренному нарушению лицензионных соглашений и созданию проблем с авторским правом.
Безопасность кода и риски внедрения в инфраструктуру
Техническая реализация Claude Code демонстрирует приоритет функциональности над безопасностью. Исследование DryRun Security показало, что модель внедряет уязвимости в 87% изменений, что является наихудшим показателем среди протестированных агентов. В ходе тестов система создала 13 уязвимостей в веб-приложении и 8 — в игровом, включая обход двухфакторной аутентификации и создание незащищенных ссылок [!]. Это подтверждает, что автоматизация разработки без строгого контекстного анализа приводит к накоплению рисков на каждом этапе.
Риски для бизнеса выходят за рамки утечки данных. Возможность удаленного управления поведением агента через сервисы аналитики (remoteManagedSettings) позволяет менять конфигурацию ежечасно без взаимодействия с пользователем. В случае ошибок скрипты отправки отчетов могут захватывать текущую рабочую директорию, раскрывая имена проектов и пути к файлам.
Масштабное внедрение ИИ-агентов опережает развитие инфраструктуры управления доступом. Организации часто предоставляют программам избыточные полномочия без четкого механизма отзыва. Отсутствие единого владельца процесса и наследование прав создают уязвимости, при которых агенты получают больше доступа, чем необходимо, а манипуляция промптами может вызвать утечку чувствительных данных [!].
Стоит учесть: Разница между «безопасным» и «стандартным» развертыванием ИИ-агента часто заключается не в самой технологии, а в сложности настройки изоляции. Для большинства компаний затраты на создание такой среды могут оказаться выше, чем выгода от использования инструмента, что вынуждает их принимать повышенные риски.
Стратегические выводы для бизнеса
Ситуация требует от организаций пересмотра стратегии внедрения ИИ. Простое подключение к API недостаточно. Необходимо создание изолированных сред, блокировка телеметрии и строгий контроль над правами доступа агента. Для минимизации рисков требуется детальный аудит настроек развертывания, включая отключение автоматических обновлений и использование защищенных облачных платформ.
Понимание того, как именно агент взаимодействует с файловой системой и сетью, становится критическим фактором при принятии решений о внедрении подобных технологий. Игнорирование этих аспектов может привести к потере контроля над собственными данными и процессами, превращая инструмент повышения продуктивности в источник системных угроз. В условиях, когда ИИ становится частью критической инфраструктуры, прозрачность и контроль над автономными действиями агентов выходят на первый план.
Источник: The Register
