Код утек по упаковке
Чем обернется для рынка взлом инструмента ИИ-разработки от Anthropic
Вину сотрудников в масштабной утечке своего Claude Code признала компания Anthropic. В публичном доступе оказался один из ключевых инструментов для программирования с использованием искусственного интеллекта. Представители Anthropic сообщили, что проблема возникла «с упаковкой релиза, и вызвана человеческой ошибкой, а не нарушением безопасности».
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
Такая утечка может спровоцировать хакерские атаки в будущем, говорит руководитель направления Data Science компании «Наносемантика» Егор Кириллов:
«В сеть утек инструмент, которым пользуются разработчики по всему миру — ассистент для программирования, аналог решений вроде Codex и Cursor от OpenAI. Это помощник, позволяющий писать код с использованием ИИ, а также помогающий с отладкой и тестированием. Особенность приложения в том, что оно не просто генерирует код, а имеет доступ к логам, может создавать файлы и автоматически находить и исправлять ошибки в процессе работы.
Насколько масштабна утечка? Очень масштабна, и сразу по двум направлениям. Во-первых, ИИ-стартапы получили фактически готовый набор функций и подходов, которые теперь смогут копировать и адаптировать, усиливая конкуренцию на рынке редакторов кода. Во-вторых, это риск с точки зрения безопасности: имея исходный код, злоумышленники могут легче находить уязвимости, пытаться взломать систему и получить доступ к данным пользователей, поскольку отпадает необходимость в реверс-инжиниринге — вся логика работы становится прозрачной».
Слитый код был опубликован на платформе для программирования GitHub. Anthropic попросила удалить тысячи появившихся копий. Однако добиться этого не смогла, так как лишь часть кода защищена авторским правом. Проблем разработчика было бы гораздо больше, если бы в сеть утекли другие данные, считает гендиректор консалтинговой IT-компании Umbrella Group Станислав Мешков:
«Утекли именно новые версии и оболочки, а не исходные данные, на которых обучалась система. Это важно, потому что в обучающих данных потенциально могут содержаться персональные сведения — и их утечка стала бы действительно серьезной проблемой. Самое ценное в данном случае не пострадало.
Кто может воспользоваться этим кодом? В первую очередь конкуренты: они могут увидеть, в каком направлении развивается продукт, и копировать решения. Уже в тот же вечер появился похожий проект, частично повторяющий оригинал. При этом ситуация не критична: основной риск был бы связан именно с утечкой обучающих данных, но они, по сути, остались защищены».
В начале марта Anthropic подала иск против Министерства войны США, а также ряда федеральных структур. Причиной стало то, что компанию признали угрозой национальной безопасности и предприняли попытки разорвать с ней контракты. Гендиректор Anthropic Дарио Амодеи тогда пояснил: компания выступает против использования Пентагоном ее ИИ-моделей в целях массовой слежки или создания полностью автономного вооружения, поскольку «системы искусственного интеллекта пока недостаточно надежны».