2 апреля 2026 года исследователи из Adversa AI (Тель-Авив) опубликовали отчёт о критической уязвимости в Claude Code. Суть в одном предложении: ваши deny-правила молча перестают работать после 50 выполненных команд.
Anthropic подтвердил проблему и анонсировал патч. Но патча ещё нет — а значит, прямо сейчас ваши агентные рабочие процессы могут работать без части правил безопасности.
Как работает уязвимость
Claude Code оптимизирует потребление токенов. Это разумная инженерная решение: проверка каждого действия против deny-правил стоит токенов, и при длинных сессиях это накапливается.
Проблема в реализации: при превышении 50 команд в сессии система автоматически отключает принудительную проверку deny-правил. Это происходит молча — без предупреждения, без сообщения об ошибке, без логирования факта отключения.
Пользователь видит: агент продолжает работать как обычно.
Что происходит на самом деле: агент работает без ограничений, которые вы установили.
По данным The Register и meterpreter.org, это hardcoded лимит в одной строке кода — не баг случайного поведения, а намеренная оптимизация, которая создала дыру в безопасности.
Кого это касается
Проблема актуальна, если вы:
- Запускаете длинные агентные сессии (больше 50 команд)
- Используете deny-правила для ограничения действий Claude Code
- Работаете с чувствительными данными или системами
Если ваши сессии короткие и вы не используете deny-правила — уязвимость вас не касается. Но стоит проверить.
Что значит "50 команд"
Важно понять масштаб: 50 команд — это не 50 запросов к ChatGPT. Это 50 выполненных инструментов или действий внутри одной сессии Claude Code.
При активной разработке с агентами 50 команд — это примерно 15-20 минут работы. При сложных агентных рабочих процессах (анализ данных, автоматизация) — может быть и 10 минут.
Другими словами: для реальных production-сценариев порог превышается регулярно.
Конкретный пример
Допустим, вы настроили deny-правило: "Не отправлять файлы за пределы рабочей директории".
Первые 50 команд: правило работает, Claude Code соблюдает ограничение.
51-я команда и дальше: правило молча не проверяется. Если агент получает инструкцию (от вас или через prompt injection) отправить файл куда-то — ничего его не остановит.
Временные меры защиты
Патч от Anthropic ещё не вышел. Вот что можно сделать прямо сейчас.
Рестарт сессий каждые 30-40 команд. Самое простое и надёжное. Добавьте в рабочий процесс принудительный рестарт до достижения лимита. Да, это неудобно. Нет, другого способа пока нет.
Счётчик команд в логах. Если вы логируете действия агента — добавьте счётчик выполненных команд. При достижении 45 — предупреждение. При 50 — принудительный рестарт.
Критические deny-правила продублировать на уровне системы. Если есть правила, нарушение которых критично (не трогать production БД, не удалять файлы) — продублируйте их ограничениями на уровне операционной системы или файловых прав. ИИ-правила не должны быть единственным барьером.
Изолируйте чувствительные сессии. Если работаете с чувствительными данными — держите такие сессии короткими и изолированными. Отдельная сессия на каждую задачу, а не одна длинная мастер-сессия.
Технический разбор: как именно работает лимит
Для тех, кто хочет понять механику глубже.
Claude Code при запуске загружает правила из .claude/settings.json — файла, где разработчик описывает, что агенту разрешено, а что нет. Deny-правила — это список запрещённых действий: конкретные bash-команды, файловые пути, сетевые запросы.
При каждом действии агента Claude Code должен проверить его против списка deny-правил. Это требует дополнительных токенов — системный промпт с правилами добавляется к каждому запросу.
Проблема: при длинных сессиях накопленный контекст растёт. При достижении определённого порога бюджета токенов система начинает сжимать контекст — убирает менее важные части. Deny-правила попали в категорию "менее важных".
По данным GitHub Issues на репозитории anthropics/claude-code, разработчики сообщали о похожих проблемах ещё в марте: deny-правила не срабатывали для составных bash-команд, не проверялись подкоманды в pipes. Adversa AI обнаружила системный корень этих частных симптомов.
Важный нюанс: проблема не только в лимите 50 команд. По тем же данным GitHub, deny-правила имеют несколько слабых мест:
- Не всегда проверяются подкоманды в составных командах (`rm file && другая команда`)
- При установке плагинов (`/plugin install`) правила могут не применяться
- Многострочные команды с комментариями иногда обходят фильтрацию
Это говорит о том, что архитектура проверки правил требует более глубокой ревизии, а не точечного патча.
Что говорит Anthropic
По данным The Register, Anthropic знает о проблеме. Компания работает над патчем, который уберёт жёсткий лимит или как минимум будет явно уведомлять пользователя при отключении проверки.
Точных сроков публично не называли.
Adversa AI опубликовала исследование через responsible disclosure — дала Anthropic время отреагировать до публичного раскрытия. Это стандартная практика в сфере безопасности.
14 апреля Anthropic анонсировал Project Glasswing — инициативу по безопасности критического ПО в эпоху ИИ, куда вошли AWS, Apple, Google, Microsoft, Cisco. Это совпадение по времени или ответ на давление сообщества — неизвестно. Но сигнал очевиден: безопасность агентных систем стала публичным приоритетом.
Почему это важно за пределами технической детали
Уязвимость показывает системную проблему: ИИ-агенты оптимизируют под производительность, и иногда эта оптимизация жертвует безопасностью молча.
Раньше если система переставала проверять правила безопасности — она об этом сообщала или падала с ошибкой. С ИИ-агентами появился новый паттерн: молчаливая деградация. Система продолжает работать, выглядит нормально, но тихо нарушает ограничения.
Это требует нового подхода к мониторингу: не только "агент работает / не работает", но и "агент работает с нужными ограничениями / без них".
Как правильно настроить deny-правила — базовый пример
Если вы ещё не настраивали deny-правила в Claude Code, вот минимальный набор для production:
`json
{
"permissions": {
"deny": [
"Bash(rm -rf *)",
"Bash(curl * | bash)",
"Bash(wget * | sh)",
"Write(/etc/*)",
"Write(/root/*)",
"Bash(ssh *)"
]
}
}
`
Это базовая защита от наиболее очевидных опасных действий. Но помните: при сессиях длиннее 40-50 команд эти правила могут не сработать.
Более надёжная архитектура: дублировать критические ограничения на уровне операционной системы. Если агент не должен трогать production базу — права доступа должны физически это запрещать, независимо от того, что написано в settings.json.
Что делать прямо сейчас
Шесть конкретных шагов:
1. Проверьте длину текущих сессий. Если регулярно превышают 40 команд — нужно изменить архитектуру. Добавьте принудительный рестарт между задачами.
2. Добавьте счётчик команд в логах. Даже простой лог с количеством действий за сессию. При 45 командах — предупреждение, при 50 — рестарт.
3. Проверьте deny-правила на составные команды. Запустите тест: работает ли ваше deny-правило для запрещённая_команда && другая_команда? Если нет — добавьте покрытие.
4. Задублируйте критические ограничения на системном уровне. Файловые права Unix/Linux, сетевые политики firewall — резервная линия, которая работает независимо от Claude Code.
5. Подпишитесь на обновления Anthropic. Когда патч выйдет — обновитесь сразу же. Следите за releases в репозитории anthropics/claude-code на GitHub.
6. Пересмотрите модель угроз для ваших агентных систем. Включите "молчаливую деградацию правил" как отдельную категорию риска. Мониторинг должен проверять не только "агент работает", но и "агент работает с нужными ограничениями".
Итог
Claude Code — мощный инструмент. Уязвимость с deny-правилами не повод его не использовать. Это повод использовать его осознанно: с короткими сессиями, внешними ограничениями и мониторингом.
Patch выйдет. До тех пор — 30 команд на сессию, и резервные ограничения на системном уровне. Это минута настройки сейчас против серьёзной проблемы потом.
---
Строите автоматизацию на Claude Code? На fabrika.galson.pro — архитектурные паттерны для безопасных и устойчивых агентных систем: изоляция сессий, аудит действий, резервные барьеры.