Wpadka Anthropic: Pół miliona linii kodu Claude Code trafiło do sieci

Chwila nieuwagi z kosztownymi skutkami

W świecie tworzenia oprogramowania chwila nieuwagi przy publikacji paczki danych może zakończyć się ujawnieniem najgłębszych sekretów firmy. Przekonał się o tym właśnie Anthropic, jeden z liderów sektora generatywnej sztucznej inteligencji. W publicznym repozytorium NPM, służącym programistom JavaScript do dzielenia się bibliotekami, omyłkowo opublikowano ponad 500 tysięcy linii kodu źródłowego narzędzia Claude Code wraz z ponad tysiącem powiązanych plików.

Problem nie wynikał z wyrafinowanego cyberataku, lecz z prozaicznego błędu ludzkiego. Podczas rutynowego procesu wydawniczego do paczki NPM dołączono znacznie szerszy zestaw plików wewnętrznych, niż planowano. W efekcie osoby postronne zyskały wgląd w mechanizmy działania narzędzia, a także odnalazły wzmianki o niezapowiedzianych jeszcze modelach AI i funkcjach, nad którymi firma dopiero pracuje.

Seria niefortunnych zdarzeń

Anthropic błyskawicznie zareagował na incydent, zapewniając, że dane użytkowników ani wrażliwe informacje o klientach nie zostały naruszone. Przedstawiciele firmy podkreślili, że infrastruktura bezpieczeństwa pozostała nienaruszona, a jedynym winowajcą była wadliwa procedura operacyjna. Obecnie trwają prace nad wdrożeniem mechanizmów, które mają wyeliminować ryzyko podobnych potknięć w przyszłości.

Mimo zapewnień o kontroli nad sytuacją, incydent ten następuje w niezręcznym momencie. To już drugi wyciek informacji z Anthropic w ciągu zaledwie kilku dni – niedawno do sieci przedostały się wewnętrzne wpisy blogowe dotyczące nowego modelu Mythos. Choć skala merytoryczna obu zdarzeń jest inna, podważają one wizerunek startupu jako podmiotu dbającego o najwyższe standardy dyskrecji w wyścigu zbrojeń na rynku AI.

Dla branży to jasny sygnał: nawet firmy budujące najbardziej zaawansowane systemy na świecie nie są odporne na błędy u podstaw zarządzania kodem i automatyzacji procesów DevOps.