Anthropic Claude Code šaltinio kodas nutekėjo: 512 000 eilučių atsidūrė viešumoje
·
Dario Amodei turėjo blogą savaitę. Tiksliau, blogą mėnesį.
Pirmiausia nutekėjo informacija apie slaptą Mythos modelį, apie kurį rašėme anksčiau. O antradienį, kovo 31 dieną, paaiškėjo, kad Anthropic per klaidą viešai išplatino visą Claude Code šaltinio kodą. 512 000 eilučių. Beveik 2 000 failų.
Kaip tai nutiko
Claude Code yra programuotojų įrankis, leidžiantis rašyti kodą naudojant DI. Jį galima įdiegti per npm, tai standartinis būdas dalintis programomis JavaScript pasaulyje.
Versijoje 2.1.88 kažkas suklydo su paketo konfigūracija. Vietoj to, kad npm pakete būtų tik reikalingi failai, ten atsidūrė viskas. Vidinis kodas, architektūra, veikimo logika.
Saugumo tyrėjas Chaofan Shou pastebėjo tai per kelias minutes po išleidimo ir paviešino socialiniuose tinkluose.
Kodėl tai svarbu ne tik programuotojams
Claude Code nėra eilinis produktas. OpenAI neseniai nutraukė savo konkuruojantį įrankį, nes negalėjo su juo konkuruoti. Tai vienas stipriausių Anthropic produktų.
Kai šaltinio kodas atsiduria viešumoje, konkurentai gali jį analizuoti. Suprasti, kaip veikia agentas. Kokios technikos naudojamos. Kokia architektūra.
Anthropic pavadino tai „žmogiška klaida paketo išleidime”. Ne saugumo pažeidimu. Techninė formuluotė teisinga. Bet reputacinis poveikis tikras.
Du kartus per savaitę
Štai kas kelia didžiausią nerimą. Tai antras rimtas incidentas per septynias dienas.
Pirmasis: nutekėjo Mythos modelio dokumentacija, kuri atskleidė, kad Anthropic kuria modelį su „precedento neturinčiomis kibernetinio saugumo galimybėmis”.
Antrasis: Claude Code šaltinio kodas.
Kompanija, kuri pozicionuoja save kaip saugiausią DI kūrėją pasaulyje, per vieną savaitę padarė dvi rimtas klaidas. Tai nereiškia, kad jų produktai blogi. Bet tai rodo, kad net geriausios kompanijos turi silpnų vietų operaciniuose procesuose.
Ką tai reiškia DI rinkai
Anthropic ruošiasi IPO ir siekia 60 milijardų dolerių vertinimo. Tokie incidentai prieš pat biržos debiutą nėra tai, ko nori bet kurios kompanijos vadovybė.
Tuo pačiu metu jie kovoja su Pentagonu dėl DI etikos. Ir pats DI saugumas tampa vis svarbesne tema. Kalifornijos gubernatorius ką tik pasirašė DI saugumo įsakymą.
Paradoksas akivaizdus. Kompanija, kurios visa prekės ženklo esmė yra saugumas, susiduria su saugumo problemomis. Ne technologinėmis. Žmogiškomis.
Ir galbūt tai yra pati svarbiausia pamoka. DI gali būti tobulas. Bet kol jį kuria, diegia ir prižiūri žmonės, žmogiškos klaidos neišvengiamos.
FAQ
Kas nutekėjo iš Anthropic?
Claude Code šaltinio kodas. 512 000 eilučių ir beveik 2 000 failų atsidūrė viešai prieinamame npm pakete dėl konfigūracijos klaidos.
Ar tai saugumo pažeidimas?
Anthropic teigia, kad ne. Tai buvo paketo išleidimo klaida, padaryta žmogaus. Tačiau rezultatas panašus: konfidenciali informacija tapo vieša.
Kaip tai paveiks Anthropic?
Kompanija ruošiasi IPO ir siekia 60 mlrd. dolerių vertinimo. Du rimti incidentai per savaitę gali paveikti investuotojų pasitikėjimą, nors patys produktai išlieka stiprūs.
