Разработчик обнаружил в Claude Code скрытый механизм, который определял использование стороннего API-шлюза, искал признаки китайских ИИ-компаний и кодировал результаты проверки в системном промпте. Для передачи меток клиент менял почти неразличимые варианты апострофа и разделители в строке с текущей датой.
Обычный пользователь видел фразу вида «Сегодняшняя дата — 2026-06-30». Сервер мог получить вместе с ней три дополнительных признака: известен ли шлюз Anthropic, содержит ли его домен название китайской ИИ-лаборатории и установлен ли на компьютере китайский часовой пояс.
Механизм нашёл веб-разработчик Thereallo во время анализа подписанного Anthropic бинарного файла Claude Code 2.1.196. Инженер компании Тарик Шихипар подтвердил, что код был частью эксперимента, запущенного в марте 2026 года для поиска нелегальных посредников и защиты Claude от массового извлечения возможностей модели.
Anthropic после огласки сообщила о намерении удалить эксперимент. Китайская Национальная база уязвимостей отнесла к затронутым версии 2.1.91–2.1.196 и рекомендовала перейти как минимум на 2.1.200. Официальный журнал Claude Code при этом не упоминает ни скрытую маркировку, ни её удаление.
Claude Code позволяет изменить адрес, на который отправляются запросы к модели, через переменную окружения ANTHROPIC_BASE_URL. Такая возможность нужна корпоративным шлюзам, локальным прокси, маршрутизаторам моделей и посредникам, перепродающим доступ к Claude.
Скрытая проверка не запускалась, если переменная отсутствовала или содержала официальный адрес api.anthropic.com. Поэтому большинство пользователей с обычной настройкой не попадало под дополнительную классификацию.
При обнаружении нестандартного адреса клиент извлекал из него имя домена. Затем оно сравнивалось с двумя внутренними наборами данных.
Первый содержал известные домены китайских корпораций, ИИ-разработчиков, прокси-сервисов и неофициальных поставщиков доступа к Claude. В примерах исследователя фигурировали адреса, связанные с Alibaba, Ant Group, ByteDance, Baidu, JD.com, Moonshot AI и несколькими коммерческими посредниками.
Второй набор состоял из ключевых слов: deepseek, moonshot, minimax, zhipu, bigmodel, baichuan, stepfun, 01ai, dashscope и других названий китайских ИИ-платформ.
Списки не хранились в бинарном файле открытым текстом. Anthropic закодировала их в Base64 и дополнительно преобразовала операцией XOR с постоянным ключом 91. Это не криптографическая защита: данные легко восстанавливаются после анализа программы. Обфускация лишь мешала обнаружить перечень обычным поиском строк.
Механизм использовал системную строку с текущей датой, которую Claude Code добавляет к контексту каждого сеанса.
Два признака кодировались через апостроф в английской фразе Today's date. Внешне похожие символы Unicode соответствовали разным результатам:
-
обычный апостроф означал отсутствие совпадений;
-
типографский апостроф указывал на известный домен;
-
модифицированный апостроф отмечал ключевое слово ИИ-лаборатории;
-
ещё один вариант сообщал о совпадении сразу по двум категориям.
Третий признак передавался через формат даты. При часовом поясе Asia/Shanghai или Asia/Urumqi дефисы заменялись косыми чертами. Строка 2026-06-30 превращалась в 2026/06/30.
В итоге обычное предложение несло три бита информации. Пользователь почти наверняка не замечал замену: символы выглядят одинаково в большинстве шрифтов, а оба формата даты воспринимаются как нормальные.
Такая техника действительно относится к стеганографии — скрытой передаче данных внутри внешне безобидного содержимого.
Маркированная дата становилась частью системного промпта Claude Code и отправлялась на адрес, указанный в ANTHROPIC_BASE_URL.
При использовании посредника запрос сначала попадал к нему. Если шлюз затем пересылал данные в Claude, метка доходила до инфраструктуры Anthropic вместе с остальным контекстом. Исследователь предположил, что серверная часть компании могла распознавать символы и связывать их с аккаунтом или сеансом.
Публичного описания серверного обработчика пока нет. Неизвестно, приводила ли метка к автоматической блокировке аккаунта, дополнительной проверке, изменению лимитов или только попадала во внутреннюю аналитику.
Механизм также не передавал полный адрес шлюза через строку даты. Он кодировал результаты локальной классификации: найден ли домен в списке, содержит ли он заданные ключевые слова и совпадает ли часовой пояс.
Само приложение уже отправляет модели запросы, системные инструкции и контекст, необходимый для работы агента. Спор возник из-за скрытого добавления дополнительных данных и отсутствия информации об эксперименте в документации.
Китайская Национальная база уязвимостей назвала функцию «бэкдором безопасности» и предупредила о передаче сведений о местоположении и личности без согласия пользователя. Китайским организациям рекомендовали удалить затронутые выпуски или обновить Claude Code.
Технически механизм не соответствует классическому бэкдору, который даёт постороннему лицу скрытый доступ к компьютеру, позволяет выполнять команды или обходить аутентификацию.
Найденный код не открывал сетевой порт, не читал файлы проекта сверх обычных возможностей Claude Code и не передавал содержимое репозитория через отдельный тайный канал. Он выполнял недокументированную классификацию окружения и скрывал результат в запросе.
Термин «скрытая телеметрия» точнее описывает поведение. Проблема остаётся серьёзной: разработчика не уведомляли о сборе признаков, список целей был обфусцирован, а передача маскировалась под обычную часть системного контекста.
Thereallo подтвердил механизм в версии 2.1.196, выпущенной 29 июня. Дополнительный анализ китайских специалистов показал такой же код в 2.1.159 и 2.1.197. В последнем выпуске названия внутренних функций изменились, но списки доменов, ключевые слова и логика маркировки сохранились.
Это не совпадает с первоначальными сообщениями о быстром удалении трекера. Версия 2.1.197 вышла 30 июня и содержала механизм, хотя команда Anthropic уже обсуждала его прекращение.
Китайская Национальная база уязвимостей позднее назвала диапазон 2.1.91–2.1.196 и указала, что версия 2.1.200 от 3 июля не затронута. Независимой подробной декомпиляции 2.1.200 в первичном исследовании Thereallo нет.
Anthropic не добавила в официальный журнал изменений отдельную запись об удалении телеметрии. Для 2.1.197 там указан переход на Claude Sonnet 5, а описание 2.1.200 состоит из обычных функций и исправлений.
Claude официально не предлагается пользователям и компаниям в Китае. С сентября 2025 года Anthropic распространила ограничения и на зарубежные организации, которые прямо или косвенно более чем на 50% принадлежат структурам из неподдерживаемых регионов.
Китайские разработчики всё равно получают доступ через прокси, зарубежные подразделения, перепроданные аккаунты и неофициальные шлюзы.
Главным риском Anthropic называет дистилляцию — обучение одной модели на ответах другой. Сам метод широко применяется легально, когда разработчик создаёт уменьшенную версию собственной системы. Нарушение возникает при массовом использовании чужого сервиса через поддельные аккаунты и обход установленных ограничений.
В феврале Anthropic сообщила о кампаниях DeepSeek, Moonshot AI и MiniMax. Компания связала с ними более 16 млн обменов с Claude через примерно 24 тыс. поддельных аккаунтов. Запросы были направлены на извлечение навыков рассуждения, программирования, работы с инструментами и управления агентами. Это вывод Anthropic, основанный на сетевых метаданных и поведенческих признаках; названные компании публично не подтверждали его.
В июне Anthropic направила в Сенат США отдельное письмо об Alibaba. Компания утверждает, что связанные с Alibaba и лабораторией Qwen операторы провели 28,8 млн обменов с Claude почти через 25 тыс. аккаунтов с 22 апреля по 5 июня. Эти сведения остаются обвинением Anthropic, а не установленным независимой экспертизой фактом.
После публикации исследования Alibaba запретила применение Claude Code в рабочих проектах. Сотрудникам рекомендовали перейти на собственную платформу Qoder. Источник Reuters связывал решение с опасениями из-за механизма, который проверял часовой пояс, прокси и признаки китайской инфраструктуры.
Alibaba и Anthropic не дали Reuters развёрнутых комментариев о запрете. Решение последовало вскоре после взаимного обострения: Anthropic обвинила связанную с Alibaba инфраструктуру в массовой дистилляции, а китайская компания ограничила использование инструмента из-за риска скрытого сбора данных.
Вопросы и ответы
Claude Code отправлял Anthropic исходный код без разрешения?
Исследование этого не подтверждает. Найденный механизм передавал признаки шлюза и часового пояса внутри системного промпта. Claude Code при обычной работе получает доступ к файлам, которые пользователь разрешает анализировать.
Какие версии затронуты?
Китайский регулятор назвал версии 2.1.91–2.1.196. Независимые специалисты также нашли механизм в 2.1.197. Версия 2.1.200 считается незатронутой в предупреждении регулятора.
Срабатывала ли проверка у всех пользователей?
Нет. Она запускалась при заданном нестандартном ANTHROPIC_BASE_URL. Официальный адрес Anthropic отключал дополнительную классификацию.
Какие данные кодировались?
Три признака: совпадение домена с внутренним списком, наличие названия китайской ИИ-лаборатории в адресе и использование часового пояса Шанхая или Урумчи.
Передавался ли полный адрес прокси?
Скрытая строка содержала результаты классификации, а не полный домен. Сам шлюз мог быть виден по другим сетевым и учётным данным.
Можно ли называть это шпионским ПО?
Исследователь использовал такое сравнение из-за скрытности. Технически точнее говорить о недокументированной телеметрии или скрытой маркировке запросов: удалённого управления компьютером механизм не давал.
Зачем Anthropic это сделала?
Компания назвала две цели: поиск посредников, нелегально перепродающих доступ, и обнаружение массовых запросов для дистилляции конкурирующих моделей.
Почему Alibaba запретила Claude Code?
Компания сочла недокументированный механизм риском для внутренней разработки и предложила сотрудникам использовать собственный инструмент Qoder.
Достаточно ли отключить стандартную телеметрию?
Нет гарантии. Найденные метки передавались внутри системного промпта и формально не относились к обычному каналу статистики.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.