Эксперты выяснили: Claude разрешает опасные действия после 50 запросов

Утечка исходного кода нейросети Claude Code (которую маркетингово представляют как «AI-помощник») — одно из главных событий марта 2026. Всего за несколько дней, прошедших после инцидента, специалисты уже погрузились в данные полностью и накопали там множество интересного.

Кое-что из этого интересного — не очень хорошие новости в плане ИБ. Так, израильская компания Adversa выяснила ^[1], что в коде Claude — одной из самых популярных сейчас в мире нейросетей, которой люди в диапазоне от ученых до программистов полностью делегируют свою работу — присутствует ручное ограничение на блокировку рискованных действий. 

Речь про файл bashPermissions.ts ^[2], в котором исследователи обнаружили константу MAX_SUBCOMMANDS_FOR_SECURITY_CHECK = 50. Она означает, что Claude проверяет на соответствие правилам безопасности только первые 50 подкоманд в одной строке. Когда их становится хотя бы 51, то «предохранитель» перестает работать и вместо блокировки запрашивает у пользователя прямое разрешение на совершение опасного действия. 

Если — как часто происходит, учитывая высокий уровень доверия к Claude — при использовании нейросети человек кликает на такое разрешение, не прочитав внимательно, что от него требуется, то возможны любые последствия. 

Используя Markdown-файл CLAUDE.md ^[3] с инструкциями и контекстом, Adversa протестировали уязвимость, заставив Claude после 50 пустых запросов 51-м активировать curl (инструмент командной строки, предназначенный для передачи данных по различным сетевым протоколам) — и подтвердили, что такое ограничение в коде может использоваться злоумышленниками для инъекционных атак.