Claude Code, Alibaba и JADEPUFFER: почему компании закрывают доступ к AI-агентам
Alibaba ограничивает Claude Code, а Sysdig показывает agentic ransomware через Langflow. Что теперь проверять компаниям.
Claude Code, Alibaba и JADEPUFFER: почему компании закрывают доступ к AI-агентам
По состоянию на 4 июля 2026 года спор вокруг Claude Code уже не выглядит частной перепалкой Anthropic и китайских разработчиков. Reuters сообщил, что Alibaba запретила сотрудникам использовать Claude Code на работе, а TechCrunch уточнил дату начала запрета - 10 июля. Почти одновременно Sysdig описала JADEPUFFER: агентную ransomware-операцию, где LLM-агент сам связал разведку, эксплуатацию, поиск секретов, перемещение внутри сети и уничтожение данных.
Agentic ransomware - это атака-вымогатель, где LLM-агент не просто помогает оператору, а сам связывает разведку, эксплуатацию, поиск секретов, lateral movement и уничтожение данных в одну цепочку. Для компаний это сигнал не к паническому запрету всех AI coding agents, а к нормальному управлению доступом. Такие инструменты должны проходить через allowlist, изоляцию секретов, сетевые границы, журналы действий и понятную политику, где можно использовать облачный агент, а где нужен локальный или корпоративный контур.
Что произошло с Claude Code в Alibaba
SRN News опубликовал материал Reuters от 3 июля: по словам источника агентства, Alibaba запретила сотрудникам использовать Claude Code на работе после внимания к функциям, которые помогают выявлять пользователей, связанных с Китаем. Alibaba и Anthropic на запрос Reuters оперативно не ответили. Это важно: публичного технического доказательства «бэкдора» в Claude Code в этих материалах нет. Есть корпоративное решение Alibaba, сообщение источника Reuters и публичный контекст вокруг ограничений Anthropic.
TechCrunch 4 июля пишет, что запрет должен вступить в силу 10 июля, а Alibaba, по сообщениям, классифицировала Claude Code как high-risk software и предлагает сотрудникам использовать собственную платформу Qoder. Та же заметка напоминает, что Anthropic запрещает доступ китайским компаниям и иностранным структурам, принадлежащим таким компаниям. Официальная страница Anthropic о supported regions отдельно говорит, что компания может не предоставлять продукты организациям, чья мажоритарная собственность относится к странам вне списка поддерживаемых регионов.
Фон конфликта тянется не одну неделю. Toolarium уже разбирал, почему обвинения Anthropic в адрес Alibaba по дистилляции Claude стали вопросом экспортного контроля, а не только честной конкуренции. В новой истории добавился второй слой: доверие к инструменту, который запускается у разработчика локально, видит рабочий контекст и отправляет запросы во внешний сервис.
Что именно обвиняют в Claude Code
Формулировки надо держать аккуратно. Reuters пишет о механизмах, которые проверяли окружение пользователя, включая часовой пояс и признаки прокси, а также вставляли тонкие маркеры в промпты, отправляемые на серверы Anthropic. TechCrunch ссылается на пост сотрудника Anthropic Thariq Shihipar: по его словам, это был эксперимент, запущенный в марте, чтобы бороться с несанкционированными реселлерами и защититься от дистилляции моделей.
Для корпоративной службы безопасности вопрос всё равно остаётся. Даже если цель проверки легитимна, скрытое поведение в CLI-инструменте подрывает доверие. Разработчик ставит AI coding assistant туда, где лежит код, конфигурации, переменные окружения, токены доступа и рабочая история. Поэтому спор вокруг Claude Code хорошо стыкуется с нашей предыдущей статьёй про скрытую проверку окружения в Claude Code: проблема шире Китая. Она в том, как вендор объясняет контроль доступа и что именно видит локальный инструмент.
JADEPUFFER: второй сигнал той же недели
Sysdig 1 июля опубликовала исследование JADEPUFFER и оценила его как первый задокументированный end-to-end кейс agentic ransomware. По версии Sysdig Threat Research Team, оператор получил начальный доступ через уязвимый Langflow, а техническую цепочку дальше вёл LLM-агент: собирал сведения о хосте, искал ключи и конфигурации, проверял внутренние сервисы, добирался до production-базы и запускал разрушительный сценарий вымогательства.
Входной точкой стал CVE-2025-3248. NVD описывает его как уязвимость code injection в Langflow до версии 1.3.0: удалённый неаутентифицированный атакующий мог отправить подготовленный HTTP-запрос к endpoint /api/v1/validate/code и выполнить произвольный код. Уязвимость получила CVSS 9.8 и была добавлена в каталог CISA Known Exploited Vulnerabilities 5 мая 2025 года. То есть JADEPUFFER не требовал неизвестного zero-day. Достаточно было старого, уже исправленного и оставленного наружу сервиса.

Почему Langflow оказался удобной точкой входа
Langflow - open source-фреймворк для сборки LLM-приложений и агентных процессов. Такие серверы часто стоят рядом с ключами к провайдерам моделей, облакам, базам данных и внутренним сервисам. Sysdig отдельно подчёркивает этот риск: AI-adjacent инфраструктура привлекает атакующего не только как веб-сервис, а как место, где могут лежать API-ключи и cloud credentials.
По описанию Sysdig, JADEPUFFER после выполнения кода на Langflow-хосте перечислял процессы, сетевые интерфейсы и переменные окружения, искал ключи OpenAI, Anthropic, DeepSeek, Gemini, облачные креды AWS, GCP, Azure, Alibaba, Tencent и других провайдеров, а также секреты баз данных. The Hacker News со ссылкой на Sysdig пишет, что агент использовал MinIO с дефолтными логином и паролем minioadmin:minioadmin, затем вышел к отдельному серверу с MySQL и Nacos.
В Nacos, по пересказу The Hacker News, агент использовал старую уязвимость CVE-2021-29441 и дефолтный signing key, создал административный доступ, зашифровал 1 342 настройки, удалил исходные таблицы и оставил ransom note. Sysdig отмечает неприятную деталь: агент сгенерировал ключ шифрования, вывел его один раз и не сохранил. В такой схеме выплата выкупа не возвращает данные, потому что ключа восстановления у оператора может просто не быть.
Что здесь нового, если уязвимость старая
CVE-2025-3248 сам по себе не новый. Старые RCE, дефолтные пароли, root-доступ к базе и публичный Nacos - знакомые ошибки. Новым выглядит то, что модель собрала их в цельную операцию и быстро исправляла собственные неудачи. Sysdig приводит пример, где JADEPUFFER перешёл от неудачного входа к рабочему исправлению за 31 секунду. The Hacker News пишет о более чем 600 осмысленных payload в ходе атаки.
Именно поэтому полезно читать новость про Alibaba и разбор JADEPUFFER вместе. Первая история про доверие к AI-инструменту внутри компании: кто имеет право ставить локальный агент, какие данные он видит и какие проверки делает вендор. Вторая - про то, как агентная автоматизация удешевляет эксплуатацию небрежно настроенной инфраструктуры. Обе ведут к одной управленческой теме: AI Security агентных систем нельзя закрыть одним промптом или запретом в корпоративном чате.
Карта риска для компаний
| Риск | Пример | Что делать компании |
|---|---|---|
| Недоверенный AI coding assistant | Claude Code в Alibaba попал в список high-risk software после спора вокруг проверок окружения и ограничений Anthropic. | Вести allowlist инструментов, разделить личные и корпоративные аккаунты, запретить самовольные CLI-агенты в репозиториях с секретами. |
| Секреты рядом с агентной инфраструктурой | JADEPUFFER искал API-ключи LLM-провайдеров, cloud credentials и параметры баз данных на скомпрометированном Langflow-хосте. | Хранить секреты в менеджере, не держать provider keys в окружении публичного сервиса, регулярно проверять утечки переменных. |
| Публичные AI-adjacent сервисы | Langflow до 1.3.0 с CVE-2025-3248 позволял выполнить произвольный Python без аутентификации. | Обновить Langflow, убрать code-running endpoints из интернета, закрыть доступ VPN, mTLS или внутренним ingress-правилом. |
| Дефолтные пароли и ключи | В цепочке JADEPUFFER фигурируют MinIO с minioadmin:minioadmin и дефолтный signing key Nacos. |
Искать дефолты отдельной проверкой, запрещать root-доступ приложений к базам, вынести Nacos и БД из публичного периметра. |
| Слишком широкая сеть для агента | После первичного доступа агент сканировал внутренние сервисы и двигался к production-базе. | Сегментировать сеть, ограничивать egress, включить runtime detection и журналировать действия сервисных аккаунтов. |
Запретить или управлять доступом
Корпоративный запрет Alibaba понятен как быстрый risk response: если инструмент вызывает вопросы у security и compliance, его проще остановить до выяснения деталей. Но долгосрочно компаниям нужен не только список запретов. Нужен процесс, который отвечает на пять вопросов:
- какие AI coding agents можно использовать в корпоративном контуре;
- какие репозитории, секреты и логи им доступны;
- какие данные можно отправлять во внешний сервис, а какие остаются локально;
- кто видит журналы действий агента и может остановить подозрительную сессию;
- какой локальный или self-hosted вариант используется для проектов с повышенным риском.
Claude Code и JADEPUFFER показывают две стороны одной зрелости. Мощный агент у разработчиков требует понимания, что он делает с кодом. Langflow или похожий low-code-инструмент для LLM нельзя оставлять с RCE, ключами в окружении и доступом к production-сети. Агентные инструменты требуют той же дисциплины, что CI/CD, облачные роли и production-доступы.

/api/v1/validate/code, CVSS 9.8. Скриншот проверен 4 июля 2026 года.Что проверить в первую очередь
Для CISO, AppSec и платформенных команд минимальный план выглядит так.
- Составить реестр AI coding tools: Claude Code, Codex, Cursor, Copilot, локальные агенты, расширения IDE и самописные обвязки.
- Запретить запуск неутверждённых агентов в репозиториях с production-секретами и критичной интеллектуальной собственностью.
- Проверить, где в компании развёрнуты Langflow, Dify, Flowise, n8n и похожие инструменты для агентных процессов.
- Для Langflow отдельно проверить версию: всё ниже 1.3.0 требует срочного обновления или изоляции.
- Проверить публичные endpoints, которые выполняют код, строят flow, запускают workflow или обращаются к моделям с внутренними ключами.
- Убрать дефолтные логины, дефолтные signing keys и root-подключения к базам из пользовательских приложений.
- Разнести секреты: LLM provider keys, облачные роли, database credentials и ключи CI не должны лежать в окружении публичных AI-сервисов.
- Включить runtime detection и egress-контроль: агентная атака быстро переходит от одного сервиса к разведке всей внутренней сети.
Где граница между осторожностью и шумом
Шум начинается там, где Claude Code называют доказанным шпионским инструментом без публичных доказательств. Текущие источники этого не подтверждают. Корректная формулировка другая: Alibaba, по данным Reuters и TechCrunch, запрещает Claude Code на работе на фоне подозрений, ограничений Anthropic для китайских компаний и обсуждения скрытых проверок окружения. Это достаточно серьёзно для корпоративного risk response, но недостаточно для технического обвинения без оговорок.
С JADEPUFFER тоже нужна точность. Sysdig оценивает кейс как первый задокументированный end-to-end пример agentic ransomware, но отдельные шаги атаки не были новыми. Старые уязвимости, дефолтные пароли и плохая сегментация остались главной причиной ущерба. Модель изменила скорость и связность операции, а не законы безопасности.
После публикации появилась ещё одна важная оговорка. TechCrunch 6 июля, ссылаясь на интервью CyberScoop и комментарий Sysdig, уточнил: человек всё же выбрал жертву, подготовил командно-контрольную и staging-инфраструктуру и передал операции root-учётные данные MySQL, полученные вне цепочки, которую наблюдал агент. Поэтому JADEPUFFER корректнее описывать как технически агентную атаку с человеком на этапе постановки цели и снабжения, а не как полностью автономную ransomware-фабрику.
Есть и ограничение по подтверждению: по состоянию на 7 июля 2026 года нет публичного независимого подтверждения атаки от жертвы, правоохранителей или другого security-вендора. Поэтому корректная формула для текста — «по оценке Sysdig» и «Sysdig описывает», а не «доказан первый в мире agentic ransomware».
Что делать дальше
Компании входят в фазу, где AI-агенты становятся обычной частью инженерной работы и одновременно новой поверхностью атаки. Политика «можно всем всё» уже опасна, а политика «запретить всё» быстро упрётся в продуктивность и теневое использование. Рабочий компромисс: утверждённые инструменты, технические ограничения, журналирование, изоляция секретов и отдельные правила для проектов с повышенным риском.
Alibaba может заменить Claude Code на Qoder внутри своей среды. Другие компании выберут Copilot, Codex, Cursor, локальные модели или self-hosted контур. Название инструмента вторично. Первична архитектура доверия: что агент видит, что он может выполнить, куда уходит запрос и как быстро команда заметит, если агентный контур превратился из помощника в точку входа.
FAQ
Alibaba доказала, что Claude Code содержит бэкдор?
Нет. По открытым источникам на 4 июля 2026 года есть сообщения Reuters и TechCrunch о запрете, статусе high-risk software и подозрениях. Публичного технического доказательства бэкдора в этих материалах нет.
Что такое JADEPUFFER?
JADEPUFFER - название, которое Sysdig дала агентной ransomware-операции. По оценке Sysdig, LLM-агент провёл цепочку от эксплуатации Langflow до destructive database extortion почти end-to-end.
Была ли атака полностью автономной?
Не полностью. По уточнениям TechCrunch и CyberScoop от 6 июля 2026 года, человек выбрал цель, подготовил инфраструктуру и передал операции MySQL-учётные данные. Автономной была техническая цепочка действий агента внутри атаки, а не весь цикл преступной операции.
Какая версия Langflow уязвима к CVE-2025-3248?
NVD указывает Langflow до версии 1.3.0. Уязвимость связана с code injection в endpoint /api/v1/validate/code и допускает удалённое выполнение произвольного кода без аутентификации.
Нужно ли запрещать AI coding agents в компании?
Полный запрет может быть временной мерой для конкретного риска, как в случае Alibaba. Более устойчивый подход - allowlist, контроль данных, изоляция секретов, журналирование, egress-ограничения и разные правила для обычного кода, production-систем и закрытых проектов.
Источники и дата проверки
Факты исходного материала проверены 4 июля 2026 года. Дисклеймер по подтверждению JADEPUFFER добавлен 6 июля 2026 года после повторной проверки Sysdig, The Decoder и NVD. Уточнение про участие человека в постановке цели и подготовке инфраструктуры добавлено 7 июля 2026 года после проверки TechCrunch, CyberScoop и первоисточника Sysdig. Данные о корпоративных запретах, доступности Claude Code, уязвимостях и индикаторах компрометации быстро меняются; перед использованием в корпоративном регламенте их стоит перепроверить.
- Reuters через SRN News: Alibaba to ban employees from using Anthropic's coding tool, 3 июля 2026 года.
- TechCrunch: Alibaba reportedly bans employees from using Claude Code, 4 июля 2026 года.
- Anthropic: Updating restrictions of sales to unsupported regions, 4 сентября 2025 года.
- Anthropic: Supported countries & regions, проверено 4 июля 2026 года.
- Sysdig: JADEPUFFER: Agentic ransomware for automated database extortion, 1 июля 2026 года.
- The Decoder: JADEPUFFER is the first agentic ransomware operation, 6 июля 2026 года; использовано для редакционной оговорки о том, что независимого подтверждения от жертвы, правоохранителей или других security-вендоров пока нет.
- TechCrunch: The ‘first’ AI-run ransomware attack still needed a human, 6 июля 2026 года.
- CyberScoop: Sysdig clocks first documented case of agentic ransomware, 6 июля 2026 года.
- The Hacker News: AI Agent Exploits Langflow RCE to Automate Database Ransomware Attack, 2 июля 2026 года.
- NVD: CVE-2025-3248 Detail, проверено 4 июля 2026 года.
- Tproger: ИИ-агент впервые провёл полную ransomware-атаку, использовано как русскоязычный контекст, факты сверены по Sysdig и NVD.