Claude Code очень хочет знать ваши пароли (даже если вы прямо запретили ему их смотреть)

Разработчики, привыкшие доверять автоматике, могут неприятно удивиться новой находке специалистов. ИИ-помощник Anthropic Claude Code игнорирует файлы, которые не должен даже открывать. Речь идёт о служебных файлах с паролями, токенами и ключами доступа, которые обычно разработчики скрывают от посторонних глаз.

В проектах программисты часто хранят секретные данные в файлах .env. По стандартной практике такие файлы исключаются из репозиториев с помощью .gitignore, чтобы они не попадали в общий доступ. В Claude Code реализован похожий механизм с файлом .claudeignore, который, по заявлению самого помощника, должен запрещать ему читать указанные файлы.

Однако на практике это не работает. Как следует из публикации на Pastebin, Claude Code спокойно читает содержимое .env, даже если этот файл прописан в .claudeignore. В тесте создали каталог, добавили туда .env с тестовыми «секретами», указали в .claudeignore строки «.env» и «.env.*», запустили Claude Code версии 2.1.12 через командную строку и попросили модель прочитать файл. Помощник без проблем вывел его содержимое, хотя по логике доступа к нему быть не должно.

Проблема усугубляется тем, что Claude также игнорирует .gitignore. Даже при включённой настройке «Respect .gitignore in file picker», которая должна учитывать правила игнорирования, модель читает .env и выводит данные, сопровождая это предупреждением о том, что файл содержит учётные данные и его не стоит добавлять в систему контроля версий.

Это создаёт серьёзные риски безопасности, особенно для так называемых агентных моделей, которые могут выполнять действия с инструментами и файлами. В таком сценарии ИИ потенциально можно заставить раскрыть секретные данные через косвенные подсказки и манипуляции запросами.

Проблема уже зафиксирована в репозитории Claude Code на GitHub. В одном из открытых обращений с пометкой «высокий приоритет» прямо говорится, что модель раскрывает токены и секреты в выводе инструментов, и что это критическая уязвимость. Аналогичные жалобы появлялись ещё в ноябре 2025 года, а также в нескольких свежих отчётах об ошибках за последние недели. Во всех них разработчики указывают, что Claude не должен читать файлы, перечисленные в .claudeignore, по тем же правилам, что и .gitignore.

Формально существует другой способ ограничить доступ через настройки прав в файле settings.json внутри каталога .claude. В этом случае Claude действительно блокирует чтение .env и сообщает, что файл запрещён политиками доступа, так как обычно содержит секретные данные. Но и этот механизм оказался сложным в настройке. Разработчики жалуются на нестандартный синтаксис путей, где абсолютные пути начинаются с «//», а не с «/», а также на ошибки в работе ссылок на файлы и на то, что некоторые запреты не мешают загрузке файлов в память.

При этом разработчики всё чаще говорят о том, что если единственным рабочим способом защиты является settings.json, это должно быть чётко и ясно указано в документации. Сейчас же сам ИИ-помощник советует использовать .claudeignore, вводя пользователей в заблуждение и создавая ложное ощущение безопасности.