Витік коду Claude спричинив кризу для LLM, хакери вже викрали ETH дослідника

Дослідник із безпеки 10 квітня розкрив системну уразливість ланцюга постачання в екосистемі LLM: під час емпіричних випробувань 428 сторонніх API-роутерів понад 20% безкоштовних роутерів було виявлено такими, що активно інжектять шкідливий код; один роутер уже успішно вкрадав ETH із приватного ключа, який контролювали дослідники.

Уразливість ланцюга постачання LLM-роутерів: системні ризики, які розкривають дослідницькі дані

Дослідник у соцмережах @Fried_rice зазначив, що сторонні API-роутери, які широко застосовуються в екосистемі LLM-агентів, фактично є прикладним проксі, вставленим між клієнтом і висхідним (upstream) провайдером моделей, здатним зчитувати JSON-навантаження кожної окремої переданої транзакції у відкритому вигляді. Ключова проблема полягає в тому, що наразі жоден роутер-провайдер не примусово впроваджує шифрувальний захист цілісності між клієнтом і висхідною моделлю, через що роутери стають високовартісною точкою втручання для атак ланцюга постачання.

Чотири ключові висновки дослідницьких тестів

Активна ін’єкція шкідливого коду: 1 платний роутер і 8 безкоштовних роутерів (понад 20%) інжектять шкідливий код у корисне навантаження, що передається

Адаптивні механізми обходу: 2 роутери розгорнули тригери, які динамічно уникають виявлення, здатні приховувати шкідливу поведінку під час безпекового аудиту

Активне зондування (探測) сертифікатів/дозволів: 17 роутерів торкнулися AWS Canary-облікових даних, розгорнутих дослідниками, що вказує на наявність активних спроб крадіжки облікових даних

Крадіжка зашифрованих активів: 1 роутер вкрав ETH із приватного ключа, який перебував у розпорядженні дослідників, підтвердивши, що уразливість уже напряму може призводити до втрати ончейн-активів

Експерименти з отруєнням додатково розкрили масштаб уразливості: використаний витіклий API-ключ OpenAI був застосований для генерації 100 мільйонів GPT-5.4 token; слабшіші приманки генерували 2B платіжних token, 99 сертифікатів (credentials) через 440 сесій Codex, а також 401 сесію, які працювали в автономному режимі «YOLO».

Витік коду Claude: ланцюг атаки від людської халатності до експлуатації хакерами

Наприкінці березня 2026 року файли відображення вихідного коду (Source Map File) у репозиторії NPM із кодом Claude були випадково оприлюднені; невдовзі багато розробників завантажили їх і поширили. Anthropic визнав, що всередині компанії дійсно стався витік внутрішнього вихідного коду, причиною стала людська халатність.

Однак хакери швидко перетворили цю подію на вектор атаки. Zscaler виявив, що нападники під назвою «Claude Code Leak» поширювали на GitHub ZIP-архіви, стверджуючи, що вони містять спеціальні версії коду Claude з функціями корпоративного рівня, зібрані на основі витіклого вихідного коду та без обмежень щодо повідомлень. Якщо розробники виконували інструкції, на пристрої одразу інсталювалися крадіжницьке ПЗ Vidar і інструменти проксі-сервера GhostSocks. Цей ланцюг атаки точно використовує цікавість розробників і їхню увагу до офіційної події витоку — типовий комбінований атакувальний ланцюг соціальної інженерії та шкідливого ПЗ.

Механізми захисту: три рівні захисту клієнта, підтверджені дослідженням

Дослідницька команда паралельно розробила дослідницький проксі під назвою Mine та перевірила три клієнтські механізми захисту, ефективні проти таких атак:

Політика запобігання відмові (Circuit Breaker Policy Gating): автоматично розриває з’єднання при виявленні аномальної поведінки роутера, щоб не допустити передавання шкідливих команд

Фільтрація аномалій на стороні відповіді (Response-side Anomaly Screening): виконує валідацію цілісності відповідей, що надсилає роутер, щоб ідентифікувати підміненний вміст

Лише додавання прозорих журналів (Append-only Transparent Logging): створює незмінювані журнали аудиту операцій для подальшого відстеження й аналізу

Поширені запитання

Що таке роутер LLM API і чому його наявність створює ризик для безпеки ланцюга постачання?

Роутер LLM API — це стороння сервісна прокладка між AI-додатком і постачальником висхідних моделей, яка може розподіляти запити викликів інструментів (tool calls) між кількома висхідними постачальниками. Оскільки роутери можуть читати всі JSON-навантаження в переданих даних у відкритому вигляді та наразі відсутній захист кінцево-до-кінцевого шифрування, шкідливий або скомпрометований роутер може інжектити шкідливий код, викрадати API-облікові дані або зашифровані активи без відома користувача.

Яка причина інциденту з витоком коду Claude і чому його використали хакери?

Витік коду Claude стався тому, що працівник(и) Anthropic випадково оприлюднили в репозиторії NPM файли відображення Java-вихідного коду (Java вихідні файли map). Після того як інцидент спричинив широкий резонанс, хакери, скориставшись цікавістю розробників до контенту витоку, поширили на GitHub зловмисні архіви, замасковані під витеклий код, і успішно спонукали цільових користувачів інсталювати шкідливе ПЗ.

Як розробники можуть захистити власну безпеку в такого роду атаках ланцюга постачання?

Ключові запобіжні заходи включають: використання лише роутер-сервісів із довірених джерел і з чіткими безпековими журналами аудиту; відмову від завантаження заявленого «спеціального» коду з неофіційних каналів; застосування принципу найменших привілеїв у керуванні API-обліковими даними; а також увімкнення детекції аномалій на стороні відповіді в фреймворку LLM-агентів, щоб не допустити втрати ончейн-активів у разі компрометації роутера.