Terjed a fertőzés, a javítások késnek
Az Anthropic ugyan próbálta szerzői jogi eltávolítással visszaszerezni az irányítást, de a GitHubról csak rövid időre tűnt el több mint 8 000 példány. Idővel a vállalat visszavonta a legtöbb eltávolítási kérelmet, de a forrás már kint kering, sőt, fejlesztők MI-vel azóta más nyelvekre is lefordították, ezek a verziók szintén villámgyorsan terjednek a közösségben.
Mindezt tetézi, hogy a forráscsomag publikálása előtt néhány órával olyan npm-csomagot is kompromittáltak, amelyben távoli hozzáférést biztosító trójai rejtőzött. Aki március 31-én 00:21 és 03:29 UTC között frissített npm-en keresztül, egyszerre tölthette le mindkét veszélyt: a kiszivárgott kódot és a kártevőt.
Gigantikus leleplezés: Hogyan működik egy MI-kódoló ügynök
A kikerült forráskód bemutatja, miként irányítja, vezérli és bővíti a Claude nyelvi modelljét egy úgynevezett “agentic harness”. Ez teszi lehetővé az eszközhasználatot, fájlok kezelését, bash parancsok futtatását, valamint több ügynök összehangolt működését. Egy háromrétegű tömörítő rendszer kezeli a kontextust; több mint 40 integrált eszközhöz tartozik elkülönített séma és részletes jogosultsági vizsgálat. A shellparancsokra 23 egymást követő ellenőrzés fut le minden egyes alkalommal.
Az ügy súlyát mutatja, hogy maga az Anthropic is elismeri: a Claude Code-ot 90%-ban MI írta. Ez az amerikai szerzői jog alapján – amely megköveteli az emberi szerzőséget – komolyan visszaveti az ilyen kódok jogi védelmét. Jelenleg sem az Egyesült Államok Legfelsőbb Bírósága, sem a technológiai szektor nem ad érdemi választ arra, meddig érvényesíthető az MI által generált szellemi termékek joga.
Olcsóbb támadások, éles fenyegetések
A szabadon olvasható forrás jelentősen csökkenti a támadók kutatási költségeit. Három fő támadási irányban okoz ez új kockázatot:
– Kontextusmérgezés: egy egyszerűen klónozható CLAUDE.md fájlban elhelyezett káros utasítás túlélheti az adattömörítést, és tényleges, hitelesített kérésként jelenhet meg az MI számára.
– Sandbox megkerülése: többféle parancsértelmező használata során hibák, megkerülhető ellenőrzések bukkantak elő – már ismert, hogy egyes validátorok az első engedélyező döntés után leállnak, így kockázatos parancsok futnak le.
– Kombinált támadás: a támadó a kontextust fegyverré formálja, fájlműveleteket hajt végre, amelyeket maguk a fejlesztők is legitimnek gondolnának.
A vállalati környezet számára veszélyes, hogy az MI-ügynökök túl széles jogköreiből származik a kockázat. A szakértők egészen szűk, szükség alapú jogosultsági kiosztást javasolnak.
Mit mutat a gyakorlati adatelemzés?
A GitGuardian elemzése szerint a Claude Code használatával generált kódokban 3,2%-os volt a titokszértési arány, miközben az általános GitHub-átlag csak 1,5%. Az előző évhez képest 81%-kal nőtt a kiszivárgott MI-szolgáltatási hitelesítő adatok száma, 1 275 105 konkrét esetben. Mindehhez nem is a technológia, hanem a felhasználói munkafolyamatok hibái járultak hozzá.
Az MI-fejlesztési tempó sem hagy sok időt a védekezésre: egy hónap alatt több tucat újdonság (mint önműködő engedélyezés, távoli kódfuttatás mobilról, ütemezett háttérfeladatok) jelent meg a rendszerben, az azokat kísérő, új sérülékenységekkel.
Öt elengedhetetlen lépés a vállalati biztonsághoz
1. Vizsgálj át minden CLAUDE.md és .claude/config.json fájlt a klónozott repókban. Ezeken keresztül valósulhat meg a kontextusmérgezés.
2. Tekints minden MCP-szervert nem megbízható függőségként: mindig rögzítsd a verziókat, monitorozd az eltéréseket, engedélyezés előtt auditáld.
3. Szűkítsd a bash-hozzáférést, vezess be előzetes titokszkennelést. 100 heti commit esetén is átlagosan három érzékeny adat szivároghat ki.
4. Követeld meg a szolgáltatási szint megállapodást (SLA), a beszállító rendelkezzen megfelelő rendelkezésre állási és incidens-elhárítási múltját bemutató adatokkal, legyen 30 napos beszállítócsere-lehetőség.
5. Vezess be commit-származásellenőrzést MI-vel segített kódhoz – a forrásban talált Undercover mód (Undercover Mode) eltünteti az MI-eredetet, ami problémát okozhat az átláthatóságot vagy jogszabályi megfelelést igénylő ágazatoknak.
Hiába a 8 000 eltávolítási kérelem, a szellem kiszabadult
A source map típusú szivárgások nem ismeretlenek, nagy cégek – köztük az Apple is – áldozatul estek már ennek. De ilyen mértékű, teljes felépítést és működési logikát feltáró szivárgás szinte példa nélküli: a Claude Code már évi 920 milliárd forint körüli (2,5 milliárd dollár) bevételt termel a 143 billió forintos (380 milliárd dollár) értékelésű vállalatnak. Az architektúra végleg kikerült az ellenőrzés alól – és a támadók immár minden eddiginél jobban felkészülhetnek a nagy MI-ügynökök elleni akciókra.
