Anthropic заключила партнерство с Python Software Foundation на два года. Компания вложит 1.5 миллиона долларов в развитие безопасности и инфраструктуры Python.

Основная цель — создать инструменты для проверки пакетов на PyPI. Это главный репозиторий библиотек для Python. Сейчас там нет автоматической проверки загружаемых пакетов. Система реагирует только на жалобы пользователей после публикации.

Anthropic планирует разработать AI-инструменты для проверки каждого нового пакета. Они будут анализировать код до того, как пакет станет доступен разработчикам. Это должно снизить риск распространения вредоносного кода.

На первом этапе команда соберет большой датасет известного вредоносного ПО. Возможно, его выложат в открытый доступ. Это поможет другим разработчикам создавать свои системы защиты.

PyPI — критически важная инфраструктура для миллионов разработчиков по всему миру. Через него распространяются библиотеки для машинного обучения, веб-разработки и других задач. Проблемы с безопасностью там могут затронуть огромное количество проектов.

В последние годы участились случаи публикации вредоносных пакетов на PyPI. Злоумышленники маскируют их под популярные библиотеки или создают похожие названия. Разработчики по ошибке устанавливают такие пакеты и заражают свои проекты.

Anthropic специализируется на разработке языковых моделей и AI-систем. Компания создала чат-бота Claude. Инвестиции в опенсорс помогут улучшить репутацию компании в сообществе разработчиков.

Python Software Foundation — некоммерческая организация, которая управляет развитием языка Python. Она поддерживает инфраструктуру, организует конференции и финансирует проекты.

Партнерство рассчитано на два года. За это время Anthropic выделит средства частями на разные задачи по безопасности. Конкретный график выплат не раскрывается.

Компания не уточнила, будут ли инструменты проверки доступны другим репозиториям кода. Пока речь идет только о PyPI.