Anthropic закрыла критическую уязвимость в Claude Code: обход deny-правил, риски для CI и что делать командам
У Claude Code обнаружилась неприятная брешь — из тех, что на бумаге выглядят почти как «краевой случай», а в реальной инфраструктуре могут обернуться очень даже некраевыми последствиями. 6 апреля 2026 года Anthropic закрыла критическую уязвимость в агенте Claude Code: ошибка в парсере команд позволяла обходить deny-правила, которые разработчики настраивали как защитный барьер. И да, обход был тихим, без лишнего шума.
Суть проблемы вот в чем: злоумышленник мог спрятать вредоносную 51-ю подкоманду за пределами жестко заданного лимита в 50 подкоманд. Из-за этого защитные ограничения применялись некорректно, а значит, появлялось окно для эксфильтрации SSH-ключей, API-токенов и других чувствительных секретов — особенно в CI-средах, где автоматизация, как назло, часто имеет широкий доступ. Для исправления Anthropic выпустила Claude Code v2.1.90.
Почему это важно
На первый взгляд история узкая: затронут конкретный инструмент, а не весь рынок AI. Но, если честно, проблема куда шире. Любая разработка AI-агентов и автоматизация, особенно в инженерных и DevOps-сценариях, упирается в одно и то же: агенту дают доступ к командам, файлам, секретам, пайплайнам — а потом надеются, что ограничения сработают именно так, как задумано. Надеяться, мягко говоря, мало.
Этот инцидент хорошо показывает старую, но вечно недооцененную вещь: безопасность агентных систем ломается не только на уровне модели, промпта или прав доступа, но и в «скучной» логике парсинга, маршрутизации команд и применения политик. Там, где все кажется механическим и надежным, иногда и прячется сюрприз. Не самый приятный.
Что именно произошло
Исследователи сообщили, что в Claude Code была ошибка в обработке командной структуры. Из-за нее deny-правила, заданные разработчиками, можно было обойти, если вредоносная инструкция оказывалась за пределами лимита в 50 подкоманд. Формально лимит существовал. Фактически защита в определенном сценарии, ну, проседала.
Это создавало риск для сред непрерывной интеграции и автоматизированной разработки, где AI-агенты работают с репозиториями, токенами, SSH-ключами, переменными окружения и внутренними API. А CI, как известно, штука удобная ровно до того момента, пока из нее не начинают утекать секреты.
Anthropic устранила проблему в версии Claude Code v2.1.90, восстановив корректное применение deny-правил. Если у вас где-либо используется этот агент в продакшене, в тестовом контуре или в песочнице для инженерных задач, обновление откладывать не стоит.
Практический разбор для команд
Если смотреть на ситуацию без лишнего драматизма — хотя повод для тревоги, конечно, есть, — инцидент подчеркивает важность нескольких базовых мер.
Во-первых, обновите Claude Code до версии 2.1.90 или выше.
Во-вторых, пересмотрите, какие секреты доступны агенту в CI/CD: SSH-ключи, API-токены, сервисные учетные данные, переменные окружения.
В-третьих, проверьте, как именно реализованы deny- и allow-политики, и не полагайтесь на один уровень контроля. Нужна многослойность.
В-четвертых, добавьте аудит команд, журналирование и детектирование аномалий в цепочках вызовов агента.
И, наконец, изолируйте агентные процессы настолько, насколько это вообще возможно: отдельные раннеры, минимальные права, короткоживущие токены. Банально? Да. Но работает.
Для компаний, которые строят более сложные контуры, особенно полезно заранее проектировать архитектуру AI-агентов с учетом ограничений исполнения, политик доступа и сценариев отказа. Когда это делается постфактум, выходит дороже. И нервнее.
Что этот случай говорит о рынке AI-агентов
Сейчас многие команды активно внедряют агентные системы: кодовые ассистенты, операционные copilots, внутренние AI-инструменты для поддержки разработки, аналитики и автоматизации. И вот тут начинается самое интересное. Чем полезнее агент, тем больше у него полномочий. Чем больше полномочий, тем выше цена даже маленькой логической ошибки.
Поэтому безопасность AI-агентов — это уже не факультатив и не красивый пункт в презентации для совета директоров. Это инженерная дисциплина: с threat modeling, проверкой политик, изоляцией среды, контролем инструментов, ограничением памяти и доступов, а также с регулярным пересмотром того, что агент вообще может делать.
Отдельный слой риска связан с памятью и доступом к контексту. Если агент умеет читать историю, документы, секреты, внутренние базы знаний или RAG-источники, ошибка в политике исполнения может стать не просто локальной проблемой, а каналом утечки. Поэтому агентная память и RAG тоже должны проектироваться с учетом разграничения доступа, а не по принципу «сначала подключим всё, потом разберемся». Потом, как водится, уже поздно.
Оценка значимости новости
Новость заслуживает высокого внимания по трем причинам. Первая: речь идет о подтвержденной уязвимости с официальным исправлением от вендора. Вторая: сценарий эксплуатации затрагивает реальные рабочие процессы — CI, автоматизацию разработки, доступ к секретам. Третья: инцидент дает очень прикладной урок для всех, кто строит агентные платформы, мультиагентные контуры и enterprise AI.
Да, проблема в первую очередь касается пользователей Claude Code, а не всей индустрии сразу. Но сигнал для рынка вполне громкий: если в агентной системе есть механизм ограничений, его нужно проверять не «в целом», а на уровне конкретной реализации. До последней мелочи. До этой самой 51-й подкоманды, если уж на то пошло.
Что стоит сделать прямо сейчас
Коротко. Без церемоний.
Обновить Claude Code до v2.1.90.
Провести ревизию секретов и прав доступа в CI/CD.
Проверить, не может ли агент выполнять команды в обход ожидаемых ограничений.
Настроить мониторинг подозрительных цепочек команд и обращений к секретам.
Пересмотреть политики безопасности и AI compliance и соответствие требованиям для агентных сценариев.
И да — возможно, это звучит чуть занудно, но именно такие «скучные» проверки обычно и спасают от очень нескучных инцидентов.