Blog Artykuły Narzędzia Wdrożenia Praca w AI Nauka AI Giełda AI Cennik Kontakt
BlogArtykułyNarzędziaWdrożeniaPraca w AINauka AIGiełda AICennikKontakt
bezpieczeństwo AI proprietary AI compliance GitHub Anthropic

Anthropic oszukał się - kiedy DMCA staje się czarnym łabędziem

W pierwszy dzień kwietnia 2026 roku społeczność programistów obudziła się z szokiem. Tysiące repozytoriów na GitHubie zostało zablokowanych przez żądania DMCA wysłane w imieniu Anthropic - firmy stojącej za Claude'em, jednym z najpopularniejszych modeli AI na świecie. Powód? Wyciek kodu źródłowego, który firma desperacko próbowała zatrzymać. Problem w tym, że większość zablokowanych repozytoriów nie miała nic wspólnego z wyciekiem.

W pierwszy dzień kwietnia 2026 roku społeczność programistów obudziła się z szokiem. Tysiące repozytoriów na GitHubie zostało zablokowanych przez żądania DMCA wysłane w imieniu Anthropic - firmy stojącej za Claude'em, jednym z najpopularniejszych modeli AI na świecie. Powód? Wyciek kodu źródłowego, który firma desperacko próbowała zatrzymać. Problem w tym, że większość zablokowanych repozytoriów nie miała nic wspólnego z wyciekiem.

Anthropic oficjalnie przyznał, że doszło do błędu. Automatyczny system skanujący GitHub w poszukiwaniu fragmentów wycieku zastosował zbyt szerokie kryteria dopasowania i trafił w tysiące niewinnych projektów. Repozytoria open source, projekty edukacyjne, narzędzia niezwiązane z Anthropic w żaden sposób - wszystkie padły ofiarą masowego takedownu. Dla wielu deweloperów oznaczało to kilkanaście godzin przestoju, utratę dostępu do własnego kodu i chaos w pipeline'ach CI/CD.

Ta historia to nie tylko ciekawostka z Doliny Krzemowej. To sygnał ostrzegawczy dla każdej firmy, która opiera swoją infrastrukturę na zewnętrznych platformach i narzędziach AI. W tym dla polskich MŚP, które coraz intensywniej wchodzą w ekosystem sztucznej inteligencji.

Co się dokładnie wydarzyło i dlaczego to ważne

Według relacji TechCrunch, Anthropic zlecił masowe wysłanie żądań DMCA (Digital Millennium Copyright Act) na GitHubie po tym, jak fragmenty kodu źródłowego firmy pojawiły się publicznie. DMCA to amerykański mechanizm prawny, który pozwala właścicielom praw autorskich żądać usunięcia materiałów naruszających ich własność intelektualną. GitHub, podobnie jak inne platformy, ma obowiązek reagować na takie żądania - najczęściej przez natychmiastowe zablokowanie wskazanych treści.

Problem polegał na skali i precyzji. System identyfikujący potencjalne naruszenia działał zbyt agresywnie. Zamiast celować wyłącznie w repozytoria zawierające faktycznie wyciekły kod, trafił w projekty, które jedynie zawierały podobne wzorce kodu, popularne biblioteki czy standardowe snippety. Szacuje się, że zablokowanych zostało od kilku do kilkunastu tysięcy repozytoriów. Anthropic przeprosił i współpracował z GitHubem przy przywracaniu dostępu, ale szkody - choć tymczasowe - były realne.

Warto zwrócić uwagę na kilka faktów. Po pierwsze, Anthropic nie jest małym startupem - to firma wyceniana na dziesiątki miliardów dolarów, z kontraktami rządowymi i klientami enterprise. Po drugie, nawet tak duża organizacja popełniła fundamentalny błąd w automatyzacji procesu prawnego. Po trzecie, GitHub jako platforma nie miał praktycznie żadnego mechanizmu weryfikacji zasadności masowych żądań DMCA przed ich wykonaniem. To systemowy problem, nie incydent jednej firmy.

Lekcja dla polskich firm: ryzyko zależności od jednej platformy

Polska firma produkująca oprogramowanie, która trzyma cały kod na GitHubie, mogłaby stracić dostęp do swoich repozytoriów z dnia na dzień. Nie z powodu własnego błędu, nie z powodu naruszenia regulaminu, ale dlatego że algorytm dużej korporacji pomylił ich projekt z wyciekiem. Brzmi absurdalnie, ale dokładnie to się stało 1 kwietnia 2026.

Dla małych i średnich firm w Polsce ten incydent podkreśla kilka praktycznych kwestii:

  • Backup kodu poza GitHubem jest koniecznością, nie luksusem. Lokalne kopie repozytoriów, mirror na GitLabie lub Bitbucket, regularne eksporty - to minimum. Firma z Wrocławia, która prowadzi rozwój aplikacji SaaS wyłącznie na GitHubie bez backupu, gra w ruletkę.
  • Procesy CI/CD powinny mieć plan awaryjny. Jeśli Twój pipeline budowania i wdrażania opiera się wyłącznie na GitHub Actions, jedno zablokowane repozytorium może zatrzymać cały proces dostarczania oprogramowania. Redundancja w infrastrukturze DevOps nie jest przesadą.
  • Umowy z klientami powinny uwzględniać ryzyko platformowe. Jeśli dostarczasz oprogramowanie klientowi i Twój kod zostanie zablokowany na 48 godzin przez błędne żądanie DMCA, kto ponosi koszty opóźnienia? Polskie firmy IT rzadko adresują takie scenariusze w umowach.

Dane z raportu PARP za 2025 rok wskazują, że ponad 67% polskich firm IT korzysta z GitHuba jako głównej platformy do zarządzania kodem. Wśród firm zatrudniających do 50 osób odsetek ten sięga 78%. To oznacza ogromną koncentrację ryzyka na jednej platformie, która - jak się okazało - może zablokować dostęp do kodu na podstawie błędnego algorytmu.

DMCA jako broń i tarcza - co musi wiedzieć polski przedsiębiorca

Mechanizm DMCA, choć jest prawem amerykańskim, ma bezpośredni wpływ na polskie firmy korzystające z amerykańskich platform. GitHub, AWS, Google Cloud - wszystkie podlegają DMCA i muszą reagować na żądania takedown. Polskie prawo autorskie (ustawa z 1994 r.) działa na innych zasadach, ale w praktyce jeśli Twój kod jest na GitHubie, to amerykańskie procedury decydują o jego dostępności.

Incydent Anthropic ujawnił kilka luk w systemie DMCA, które powinny niepokoić polskie firmy:

  • Brak weryfikacji przed blokadą. GitHub blokuje najpierw, weryfikuje potem. Twoje repozytorium może być offline przez 24-72 godziny zanim ktokolwiek sprawdzi, czy żądanie było zasadne.
  • Counter-notice wymaga ujawnienia danych osobowych. Jeśli chcesz zakwestionować blokadę DMCA, musisz podać swoje pełne dane kontaktowe, które trafiają do zgłaszającego. Dla małej polskiej firmy oznacza to ujawnienie danych właścicielowi zgłoszenia - w tym wypadku korporacji z budżetem prawnym większym niż roczne przychody wielu polskich firm.
  • Masowe takedowny są technicznie możliwe i trudne do zakwestionowania. Nie ma praktycznego limitu liczby żądań DMCA, które duża firma może wysłać jednego dnia. Automatyzacja tego procesu - jak zrobił Anthropic - czyni masowe blokady prostymi do wykonania i trudnymi do odwrócenia.

Polskie firmy powinny zapoznać się z procedurą DMCA counter-notice i mieć gotowy szablon odpowiedzi. Warto też skonsultować się z prawnikiem specjalizującym się w prawie własności intelektualnej w kontekście międzynarodowym. Kancelarie takie jak Traple Konarski Podrecki czy Maruta Wachta mają doświadczenie w sprawach na styku polskiego i amerykańskiego prawa autorskiego.

Bezpieczeństwo AI to nie tylko modele - to cały ekosystem

Incydent Anthropic odsłania szerszy problem. Kiedy myślimy o bezpieczeństwie AI, najczęściej rozmawiamy o hallucynacjach modeli, wyciekach danych treningowych czy manipulacji promptami. Ale bezpieczeństwo AI to również bezpieczeństwo firm, które te modele tworzą - i chaos, który mogą wywołać próbując chronić swoją własność intelektualną.

Anthropic - firma, która buduje swoją markę na odpowiedzialnym podejściu do AI i bezpieczeństwie - sama stworzyła incydent bezpieczeństwa dla tysięcy deweloperów. Automatyzacja bez odpowiednich zabezpieczeń obróciła się przeciwko własnemu ekosystemowi. To ironia, ale przede wszystkim lekcja: nawet najlepsze intencje nie chronią przed błędami w automatyzacji.

Dla polskich firm wdrażających rozwiązania AI ta historia ma konkretne implikacje. Jeśli korzystasz z API Claude'a, GPT czy Gemini, Twoja firma jest częścią ekosystemu, w którym jeden błąd dostawcy może kaskadowo wpłynąć na Twoją działalność. Nie chodzi o to, żeby nie korzystać z tych narzędzi - chodzi o to, żeby mieć plan B.

Praktyczne kroki, które warto wdrożyć:

  • Dywersyfikacja dostawców AI. Nie polegaj wyłącznie na jednym modelu. Jeśli Twoja aplikacja korzysta z API Claude'a, przygotuj fallback na GPT-5.3 lub Gemini. Koszt integracji z drugim dostawcą to zwykle 2-3 dni pracy programisty. Koszt przestoju, gdy jedyny dostawca ma problemy, jest wielokrotnie wyższy.
  • Lokalne kopie krytycznych narzędzi. Mniejsze modele open source (Phi-4, Llama 3) mogą obsłużyć podstawowe zadania offline. Nie zastąpią dużych modeli w złożonych scenariuszach, ale utrzymają ciągłość działania w sytuacji kryzysowej.
  • Monitoring statusu dostawców. Proste dashboardy sprawdzające dostępność API kosztują godzinę konfiguracji, a mogą zaoszczędzić godziny reakcji na incydenty. Narzędzia takie jak UptimeRobot czy Better Uptime mają darmowe plany wystarczające dla MŚP.
  • Dokumentacja zależności. Spisz każde zewnętrzne narzędzie AI, z którego korzysta Twoja firma, wraz z oceną ryzyka i planem awaryjnym. To wymóg AI Act (stosowanego od sierpnia 2025), ale przede wszystkim zdrowy rozsądek operacyjny.

Podsumowanie: chaos jest normalny - bądź na niego gotowy

Incydent z masowym DMCA Anthropic nie jest końcem świata. Repozytoria zostały przywrócone, firma przeprosiła, GitHub zapowiedział przegląd procedur. Ale ten incydent jest doskonałą ilustracją zasady, którą polskie firmy powinny wpisać w swoje strategie IT: w ekosystemie AI rzeczy będą się psuć w nieprzewidywalny sposób.

Nie chodzi o to, że Anthropic jest złą firmą. Chodzi o to, że w świecie, w którym automatyzacja przenika każdy proces - w tym procesy prawne - błędy mają coraz większy zasięg rażenia. Jeden źle skonfigurowany skaner kodu może zablokować tysiące projektów. Jeden błąd w modelu AI może wygenerować fałszywe dane dla setek klientów. Jeden wyciek może uruchomić kaskadę reakcji, która uderzy w niewinnych.

Polskie firmy, które traktują narzędzia AI i platformy chmurowe jako nieomylne czarne skrzynki, narażają się na dokładnie takie scenariusze. Te, które budują redundancję, mają backupy, plany awaryjne i świadomość ryzyka platformowego, przetrwają chaos bez większych strat. Wybór jest prosty - i po tym incydencie powinien być jeszcze prostszy.

Źródło: TechCrunch - Anthropic took down thousands of GitHub repos trying to yank its leaked source code

Najczesciej zadawane pytania

Czy wyciek kodu Anthropica wpłynie na polskie firmy?

Bezpośrednio nie — jeśli nie używacie Claude API. Ale pokazuje, że nawet giganty AI mogą stracić kontrolę nad kodem. Jeśli implementujecie AI w firmie, warto dokładniej sprawdzić umowy dotyczące bezpieczeństwa danych i IP.

Co to znaczy, że to był 'przypadek'?

Anthropic wysłał automatyczne DMCA notices na kilka tysięcy repozytoriów GitHuba próbując usunąć wyciekłe fragmenty. Potem okazało się, że lista była zbyt szeroka. To pokazuje, że nawet skoordynowana odpowiedź na crisis może byćfragmentaryczna i niedokładna.

Powinienem się obawiać proprietary AI w mojej firmie?

Wciąż warto korzystać z zaawansowanych modeli AI (Claude, GPT, itd.) — ale rozumieć, że żaden system nie jest 100% bezpieczny. Zamiast paranoi: wdrażaj Data Loss Prevention (DLP), czytaj terms of service, segreguj dane wrażliwe od promptów AI.

PR

Paweł Reutt

Przedsiębiorca i praktyk AI. Prowadzi 4 firmy zarządzane z pomocą systemów AI. Autor innowacje.ai — bloga o sztucznej inteligencji dla polskich firm.

LinkedIn innowacje.ai

Wdrożenie AI w Twojej firmie?

Audyt procesów, dobór narzędzi, automatyzacja — od strategii po wdrożenie.

Pakiet Starter od 1 499 zł
Umów konsultację →

Nie przegap nastepnego artykulu

Dołacz do newslettera — AI dla firm, bez buzzwordow.