Руководство Пентагона по удалению Anthropic демонстрирует возможный сценарий правоприменения, но большинство организаций сталкиваются с отсутствием прозрачности и отсутствием консенсуса, необходимого для реагирования на то, что администрация Трампа определяет как новую категорию риска цепочки поставок.
Решение администрации запретить компаниям, занимающимся искусственным интеллектом Anthropic, использовать активы Пентагона и другие правительственные системы в качестве «риска для цепочки поставок» ставит руководителей информационных систем в необычное положение: готовиться к идентификации, изоляции и потенциальному удалению определенной технологии ИИ из всех систем организации без четкого понимания того, где она применяется или насколько глубоко интегрирована.
Хотя администрация защищает свое определение в Федеральном суде как законную меру национальной безопасности и безопасности цепочки поставок, практическое бремя ложится на компании, в частности на государственных подрядчиков, которые вскоре могут быть вынуждены доказать, что они больше не используют технологии Anthropic ни в какой форме.
«Практически невозможно… Быть уверенным, что Anthropic был удален со всей среды», — говорит Том Пейс, генеральный директор NetRise, описывая проблему с операционной точки зрения.
Эта сложность возникает из-за давнего пробела, который сейчас невозможно обойти. Большинство предприятий не ведут полного или актуального учета использования систем ИИ и не до конца понимают, как они интегрированы в свои сети.
Доступ к моделям ИИ может осуществляться через API, интегрироваться во внутренние программы, использоваться в рабочих процессах разработчиков или внедряться опосредованно через стороннее ПО. Во многих случаях эти зависимости остаются невидимыми для групп безопасности, особенно там, где эксперименты с генеративным ИИ опережают управление.
Тем не менее, Пентагон активно продвигает удаление технологии Anthropic из своих сетей и сетей подрядчиков. В служебной записке от 6 марта военные компоненты получили приказ удалить продукты Anthropic из систем в течение 180 дней, отдавая приоритет критически важным средам, таким как ядерное оружие, противоракетная оборона и кибероперации.
Директива также обязывает должностных лиц уведомлять поставщиков и вынуждает подрядчиков сертифицировать соответствие требованиям в тот же срок, распространяя требования на всю оборонно-промышленную базу.
Эти действия демонстрируют изменение подхода к технологиям ИИ в контексте национальной безопасности. Модели теперь воспринимаются не только как инструменты, но и как регулируемые компоненты цепочки поставок. Для руководителей информационных систем (CISO) это создает новый класс риска, сочетающий политическую неопределенность, техническую непрозрачность и жесткие сроки выполнения.
Мандат предусматривает прозрачность, которой у CISO еще нет
На бумаге директива выглядит привычно: установлен срок, приоритет критически важных систем, каскадное распространение требований подрядчикам и ограниченные исключения. Подобные рамки использовались и раньше, например, при ограничении определенных поставщиков в телекоммуникационных системах федерального правительства.
Случай Anthropic отличается технологией: в отличие от аппаратного или традиционного ПО, системы ИИ трудно перечислить. Одну модель можно использовать через разные интерфейсы, интегрировать в приложения или скрыть в слоях инструментов. Зависимости могут быть транзитивными, проявляться через библиотеки, плагины или сервисы, интегрированные в более широкие системы.
Это усложняет первый шаг-определение мест использования Anthropic. Пейс сравнивает проблему со случаем Log4j, когда организации искали широко используемый компонент в крупных программных экосистемах. В ИИ ситуация сложнее: зависимости не всегда ведут себя как традиционные программные артефакты и не всегда видны.
Отсутствие прозрачности влияет на готовность отрасли
По индексу готовности к ИИ Cisco 2025 года только 31% организаций считают себя готовыми к защите агентных систем ИИ, а 27% имеют детальный контроль доступа к системам и данным ИИ. Это говорит о том, что базовое управление ИИ у многих компаний неполное, что затрудняет реагирование на директиву, требующую высокого уровня понимания.
Давление на соблюдение требований сверх ясности политики
Для организаций, работающих с федеральным правительством, вопрос выходит за рамки техники и касается юридических и контрактных рисков. Алекс Мейджор из McCarter and English отмечает, что обозначение цепочки поставок, такое как запрет Anthropic, быстро становится обязательным, даже если формальные правила закупок еще не обновлены.
«Невозможно управлять тем, что не найдено», – подчеркивает Мейджор. CISO должны определить, где существуют зависимости от Anthropic в системах и сетях поставщиков.
Процесс следует рассматривать как технический и с точки зрения соответствия. Организации могут быть вынуждены документировать, как были обнаружены затронутые системы, какие шаги были предприняты для удаления или замены компонентов и как они подтвердили эффективность. В сертификации способн