Утечка кода Claude подорвала кризис для LLM: хакеры уже похитили ETH исследователей

10 апреля исследователь по вопросам безопасности раскрыл системную уязвимость в цепочке поставок в экосистеме LLM: в ходе испытаний на 428 сторонних API-маршрутизаторах было обнаружено, что более 20% бесплатных маршрутизаторов активно внедряют вредоносный код; при этом один из маршрутизаторов успешно похитил ETH из приватного ключа, находившегося под контролем исследователей.

Уязвимости цепочки поставок LLM-маршрутизаторов: системный риск, раскрытый данными исследований

Исследователь из соцсетей @Fried_rice указал, что широко используемые в экосистеме LLM-агентов сторонние API-маршрутизаторы по сути являются приложенческими прокси уровня, вставляемыми между клиентом и вышестоящими поставщиками моделей; они способны читать JSON-нагрузку каждой передаваемой транзакции в открытом виде. Ключевая проблема заключается в том, что на данный момент ни один поставщик маршрутизаторов не реализует обязательную защиту целостности с шифрованием между клиентом и вышестоящей моделью, из-за чего маршрутизаторы превращаются в высокоценный узел вмешательства для атак на цепочки поставок.

Четыре ключевые находки по результатам исследовательских тестов

Активное внедрение вредоносного кода: 1 платный маршрутизатор и 8 бесплатных маршрутизаторов (более 20%) активно внедряют вредоносный код в полезную нагрузку при передаче

Адаптивное уклонение: 2 маршрутизатора развернули триггеры, которые могут динамически обходить обнаружение; они способны скрывать вредоносные действия при прохождении проверки безопасности

Активное обнаружение учетных данных: 17 маршрутизаторов затрагивали учетные данные AWS Canary, развернутые исследователями, что указывает на наличие активных попыток кражи учетных данных

Кража зашифрованных активов: 1 маршрутизатор похитил ETH из приватного ключа, находившегося у исследователей, подтверждая, что уязвимость уже напрямую приводит к потерям ончейн-активов

Эксперименты с отравлением дополнительно раскрыли масштаб уязвимости: утекший ключ OpenAI API был использован для генерации 100 миллионов токенов GPT-5.4; более слабые по настройке приманки производили 2 миллиарда оплачиваемых токенов, 99 учетных данных, охватывающих 440 сессий Codex, а также 401 сессию, работающую в автономном режиме «YOLO».

Утечка кода Claude: цепочка атак от человеческой ошибки до использования хакерами

В конце марта 2026 года файлы сопоставления исходного кода (Source Map File) из NPM-репозитория кода Claude случайно были раскрыты публично, после чего множество разработчиков сразу же скачали и распространили их. Anthropic признала, что утечка внутреннего исходного кода действительно произошла по причине человеческой ошибки.

Однако хакеры быстро превратили этот инцидент в вектор атаки. Zscaler обнаружила: злоумышленники под названием «Claude Code Leak» распространяли на GitHub ZIP-архивы, утверждая, что они содержат специальные версии кода Claude, скомпилированные на основе утекшего исходного кода, обладающие корпоративной функциональностью и без ограничений на сообщения. Если разработчики выполняли инструкции, на устройства устанавливались крадущая информацию программа Vidar и инструменты прокси-сервера GhostSocks. Эта цепочка атак точно использовала любопытство разработчиков и их внимание к официальному инциденту с утечкой, представляя собой типичную комбинированную атаку, сочетающую социальную инженерию и вредоносное ПО.

Механизмы защиты: три уровня защиты клиента, подтвержденные исследованиями

Исследовательская группа одновременно разработала исследовательский прокси под названием Mine и проверила три защитных механизма, эффективных на клиентской стороне:

Политика аварийного отключения с гейтингом (Circuit Breaker Policy Gating): при обнаружении аномального поведения маршрутизатора автоматически разрывается соединение, чтобы не допустить передачу вредоносных команд

Отбор аномалий на стороне ответа (Response-side Anomaly Screening): полная проверка целостности ответов, возвращаемых маршрутизатором, для распознавания измененного содержимого

Только дописываемые прозрачные журналы (Append-only Transparent Logging): создание неизменяемых учетных записей аудита операций для последующего расследования и анализа

Частые вопросы

Что такое LLM API-маршрутизатор и почему его наличие создает риск для безопасности цепочки поставок?

LLM API-маршрутизатор — это сторонний сервис, выступающий прокси между приложениями ИИ и поставщиками вышестоящих моделей; он может распределять запросы на вызов инструментов между несколькими вышестоящими поставщиками. Поскольку маршрутизатор может читать JSON-нагрузку всех передаваемых данных в открытом виде и в настоящее время отсутствует защита шифрованием end-to-end, вредоносный или скомпрометированный маршрутизатор может незаметно для пользователя внедрять вредоносный код, красть API-учетные данные или похищать криптоактивы.

Из-за чего произошла утечка кода Claude и почему ею воспользовались хакеры?

Причина утечки кода Claude — то, что сотрудник Anthropic случайно раскрыл в NPM-репозитории файл сопоставления исходного кода Java. После того как инцидент привлек широкое внимание, хакеры воспользовались любопытством разработчиков к содержимому утечки: они распространяли на GitHub вредоносные архивы, замаскированные под утекший код, и тем самым успешно подталкивали целевых пользователей к установке вредоносного ПО.

Как разработчики могут защитить себя в подобных атаках на цепочки поставок?

Ключевые меры защиты включают: использование только маршрутизаторов, поступающих из доверенных источников и имеющих четкие записи о проверках безопасности; отказ от загрузки кода «специальных версий», заявленных из неофициальных каналов; внедрение принципа наименьших привилегий в управление API-учетными данными; а также включение механизмов обнаружения аномалий на стороне ответа в фреймворке LLM-агентов, чтобы избежать потерь ончейн-активов вследствие компрометации маршрутизатора.