Искусственный интеллект

Claude Code спрятал трекер в апострофе, чтоб выявлять китайских пользователей

Маша Даровская
By Маша Даровская , IT-редактор и автор
Claude Code спрятал трекер в апострофе, чтоб выявлять китайских пользователей
Обложка © Anonhaven

Разработчик обнаружил в Claude Code скрытый механизм, который определял использование стороннего API-шлюза, искал признаки китайских ИИ-компаний и кодировал результаты проверки в системном промпте. Для передачи меток клиент менял почти неразличимые варианты апострофа и разделители в строке с текущей датой.

Обычный пользователь видел фразу вида «Сегодняшняя дата — 2026-06-30». Сервер мог получить вместе с ней три дополнительных признака: известен ли шлюз Anthropic, содержит ли его домен название китайской ИИ-лаборатории и установлен ли на компьютере китайский часовой пояс.

Механизм нашёл веб-разработчик Thereallo во время анализа подписанного Anthropic бинарного файла Claude Code 2.1.196. Инженер компании Тарик Шихипар подтвердил, что код был частью эксперимента, запущенного в марте 2026 года для поиска нелегальных посредников и защиты Claude от массового извлечения возможностей модели.

Anthropic после огласки сообщила о намерении удалить эксперимент. Китайская Национальная база уязвимостей отнесла к затронутым версии 2.1.91–2.1.196 и рекомендовала перейти как минимум на 2.1.200. Официальный журнал Claude Code при этом не упоминает ни скрытую маркировку, ни её удаление.

Claude Code позволяет изменить адрес, на который отправляются запросы к модели, через переменную окружения ANTHROPIC_BASE_URL. Такая возможность нужна корпоративным шлюзам, локальным прокси, маршрутизаторам моделей и посредникам, перепродающим доступ к Claude.

Скрытая проверка не запускалась, если переменная отсутствовала или содержала официальный адрес api.anthropic.com. Поэтому большинство пользователей с обычной настройкой не попадало под дополнительную классификацию.

При обнаружении нестандартного адреса клиент извлекал из него имя домена. Затем оно сравнивалось с двумя внутренними наборами данных.

Первый содержал известные домены китайских корпораций, ИИ-разработчиков, прокси-сервисов и неофициальных поставщиков доступа к Claude. В примерах исследователя фигурировали адреса, связанные с Alibaba, Ant Group, ByteDance, Baidu, JD.com, Moonshot AI и несколькими коммерческими посредниками.

Второй набор состоял из ключевых слов: deepseek, moonshot, minimax, zhipu, bigmodel, baichuan, stepfun, 01ai, dashscope и других названий китайских ИИ-платформ.

Списки не хранились в бинарном файле открытым текстом. Anthropic закодировала их в Base64 и дополнительно преобразовала операцией XOR с постоянным ключом 91. Это не криптографическая защита: данные легко восстанавливаются после анализа программы. Обфускация лишь мешала обнаружить перечень обычным поиском строк.

Механизм использовал системную строку с текущей датой, которую Claude Code добавляет к контексту каждого сеанса.

Два признака кодировались через апостроф в английской фразе Today's date. Внешне похожие символы Unicode соответствовали разным результатам:

  • обычный апостроф означал отсутствие совпадений;

  • типографский апостроф указывал на известный домен;

  • модифицированный апостроф отмечал ключевое слово ИИ-лаборатории;

  • ещё один вариант сообщал о совпадении сразу по двум категориям.

Третий признак передавался через формат даты. При часовом поясе Asia/Shanghai или Asia/Urumqi дефисы заменялись косыми чертами. Строка 2026-06-30 превращалась в 2026/06/30.

В итоге обычное предложение несло три бита информации. Пользователь почти наверняка не замечал замену: символы выглядят одинаково в большинстве шрифтов, а оба формата даты воспринимаются как нормальные.

Такая техника действительно относится к стеганографии — скрытой передаче данных внутри внешне безобидного содержимого.

Маркированная дата становилась частью системного промпта Claude Code и отправлялась на адрес, указанный в ANTHROPIC_BASE_URL.

При использовании посредника запрос сначала попадал к нему. Если шлюз затем пересылал данные в Claude, метка доходила до инфраструктуры Anthropic вместе с остальным контекстом. Исследователь предположил, что серверная часть компании могла распознавать символы и связывать их с аккаунтом или сеансом.

Публичного описания серверного обработчика пока нет. Неизвестно, приводила ли метка к автоматической блокировке аккаунта, дополнительной проверке, изменению лимитов или только попадала во внутреннюю аналитику.

Механизм также не передавал полный адрес шлюза через строку даты. Он кодировал результаты локальной классификации: найден ли домен в списке, содержит ли он заданные ключевые слова и совпадает ли часовой пояс.

Само приложение уже отправляет модели запросы, системные инструкции и контекст, необходимый для работы агента. Спор возник из-за скрытого добавления дополнительных данных и отсутствия информации об эксперименте в документации.

Китайская Национальная база уязвимостей назвала функцию «бэкдором безопасности» и предупредила о передаче сведений о местоположении и личности без согласия пользователя. Китайским организациям рекомендовали удалить затронутые выпуски или обновить Claude Code.

Технически механизм не соответствует классическому бэкдору, который даёт постороннему лицу скрытый доступ к компьютеру, позволяет выполнять команды или обходить аутентификацию.

Найденный код не открывал сетевой порт, не читал файлы проекта сверх обычных возможностей Claude Code и не передавал содержимое репозитория через отдельный тайный канал. Он выполнял недокументированную классификацию окружения и скрывал результат в запросе.

Термин «скрытая телеметрия» точнее описывает поведение. Проблема остаётся серьёзной: разработчика не уведомляли о сборе признаков, список целей был обфусцирован, а передача маскировалась под обычную часть системного контекста.

Thereallo подтвердил механизм в версии 2.1.196, выпущенной 29 июня. Дополнительный анализ китайских специалистов показал такой же код в 2.1.159 и 2.1.197. В последнем выпуске названия внутренних функций изменились, но списки доменов, ключевые слова и логика маркировки сохранились.

Это не совпадает с первоначальными сообщениями о быстром удалении трекера. Версия 2.1.197 вышла 30 июня и содержала механизм, хотя команда Anthropic уже обсуждала его прекращение.

Китайская Национальная база уязвимостей позднее назвала диапазон 2.1.91–2.1.196 и указала, что версия 2.1.200 от 3 июля не затронута. Независимой подробной декомпиляции 2.1.200 в первичном исследовании Thereallo нет.

Anthropic не добавила в официальный журнал изменений отдельную запись об удалении телеметрии. Для 2.1.197 там указан переход на Claude Sonnet 5, а описание 2.1.200 состоит из обычных функций и исправлений.

Claude официально не предлагается пользователям и компаниям в Китае. С сентября 2025 года Anthropic распространила ограничения и на зарубежные организации, которые прямо или косвенно более чем на 50% принадлежат структурам из неподдерживаемых регионов.

Китайские разработчики всё равно получают доступ через прокси, зарубежные подразделения, перепроданные аккаунты и неофициальные шлюзы.

Главным риском Anthropic называет дистилляцию — обучение одной модели на ответах другой. Сам метод широко применяется легально, когда разработчик создаёт уменьшенную версию собственной системы. Нарушение возникает при массовом использовании чужого сервиса через поддельные аккаунты и обход установленных ограничений.

В феврале Anthropic сообщила о кампаниях DeepSeek, Moonshot AI и MiniMax. Компания связала с ними более 16 млн обменов с Claude через примерно 24 тыс. поддельных аккаунтов. Запросы были направлены на извлечение навыков рассуждения, программирования, работы с инструментами и управления агентами. Это вывод Anthropic, основанный на сетевых метаданных и поведенческих признаках; названные компании публично не подтверждали его.

В июне Anthropic направила в Сенат США отдельное письмо об Alibaba. Компания утверждает, что связанные с Alibaba и лабораторией Qwen операторы провели 28,8 млн обменов с Claude почти через 25 тыс. аккаунтов с 22 апреля по 5 июня. Эти сведения остаются обвинением Anthropic, а не установленным независимой экспертизой фактом.

После публикации исследования Alibaba запретила применение Claude Code в рабочих проектах. Сотрудникам рекомендовали перейти на собственную платформу Qoder. Источник Reuters связывал решение с опасениями из-за механизма, который проверял часовой пояс, прокси и признаки китайской инфраструктуры.

Alibaba и Anthropic не дали Reuters развёрнутых комментариев о запрете. Решение последовало вскоре после взаимного обострения: Anthropic обвинила связанную с Alibaba инфраструктуру в массовой дистилляции, а китайская компания ограничила использование инструмента из-за риска скрытого сбора данных.

Вопросы и ответы

Claude Code отправлял Anthropic исходный код без разрешения?

Исследование этого не подтверждает. Найденный механизм передавал признаки шлюза и часового пояса внутри системного промпта. Claude Code при обычной работе получает доступ к файлам, которые пользователь разрешает анализировать.

Какие версии затронуты?

Китайский регулятор назвал версии 2.1.91–2.1.196. Независимые специалисты также нашли механизм в 2.1.197. Версия 2.1.200 считается незатронутой в предупреждении регулятора.

Срабатывала ли проверка у всех пользователей?

Нет. Она запускалась при заданном нестандартном ANTHROPIC_BASE_URL. Официальный адрес Anthropic отключал дополнительную классификацию.

Какие данные кодировались?

Три признака: совпадение домена с внутренним списком, наличие названия китайской ИИ-лаборатории в адресе и использование часового пояса Шанхая или Урумчи.

Передавался ли полный адрес прокси?

Скрытая строка содержала результаты классификации, а не полный домен. Сам шлюз мог быть виден по другим сетевым и учётным данным.

Можно ли называть это шпионским ПО?

Исследователь использовал такое сравнение из-за скрытности. Технически точнее говорить о недокументированной телеметрии или скрытой маркировке запросов: удалённого управления компьютером механизм не давал.

Зачем Anthropic это сделала?

Компания назвала две цели: поиск посредников, нелегально перепродающих доступ, и обнаружение массовых запросов для дистилляции конкурирующих моделей.

Почему Alibaba запретила Claude Code?

Компания сочла недокументированный механизм риском для внутренней разработки и предложила сотрудникам использовать собственный инструмент Qoder.

Достаточно ли отключить стандартную телеметрию?

Нет гарантии. Найденные метки передавались внутри системного промпта и формально не относились к обычному каналу статистики.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.