Claude Code скрыто отслеживал пользователей из Китая - «Новости»

  • 14:30, 08-июл-2026
  • Новости / Линии и рамки / Изображения / Заработок / Преимущества стилей / Вёрстка / Списки / Текст / Блог для вебмастеров / Статьи об афоризмах / Самоучитель CSS / Отступы и поля
  • Павел
  • 0

На прошлой неделе исследователь обнаружил в Claude Code скрытый механизм, который отслеживал пользователей из Китая и передавал в Anthropic сведения об их часовом поясе, домене альтернативного шлюза и возможной связи с местными ИИ-лабораториями. После публикации расследования трекер быстро удалили, и разработчики Anthropic прокомментировали ситуацию.


Скрытый в коде трекер нашел веб-разработчик под ником Thereallo, который изучал приватность Claude Code и исследовал бинарник версии 2.1.196. Оказалось, что приложение проверяло системный часовой пояс и переменную окружения ANTHROPIC_BASE_URL, позволяющую направлять запросы через альтернативный API-шлюз.


По словам исследователя, в Anthropic использовали «стеганографию в системном промпте»: неприметные символы позволяли помечать определенных пользователей таким образом, что обычный человек вряд ли обратил бы внимание на сбор данных.


Трекер активировался в том случае, если пользователь настраивал собственный базовый URL вместо официального api.anthropic.com. Claude Code извлекал домен шлюза и проверял его по двум критериям: присутствует ли адрес в скрытом списке известных сервисов и содержит ли он названия китайских ИИ-компаний.


В список ключевых слов входили DeepSeek, Moonshot, MiniMax, Zhipu, Baichuan, StepFun, 01.AI, DashScope и другие. Кроме того, отдельная база содержала домены китайских корпораций, ИИ-лабораторий, прокси, реселлеров и неофициальных шлюзов Claude. Среди них исследователь обнаружил адреса, связанные с Baidu, Alibaba, Ant Group, ByteDance, JD.com, Moonshot AI, а также сервисами вроде Claude Code Hub, OpenClaude, ProxyAI и Yunwu. Списки хранились в обфусцированном виде: строки были закодированы Base64 и дополнительно обрабатывались с помощью XOR.


Также приложение проверяло, установлен ли на компьютере пользователя часовой пояс Asia/Shanghai или Asia/Urumqi.


Результаты всех этих проверок Claude Code скрывал в строке с текущей датой, которая добавлялась в системный контекст. Так, приложение подменяло апостроф во фразе «Today's date» одним из четырех почти неразличимых Unicode-символов. Китайский часовой пояс, в свою очередь, кодировался заменой дефисов в дате на косые черты: например, 2026-06-30 превращалось в 2026/06/30.





В итоге одна неприметная строка передавала на сервер информацию о том, использует ли человек известный сторонний шлюз, связан ли домен с определенной ИИ-лабораторией, и работает ли система в одном из китайских часовых поясов. Маркер становился частью системного промпта, отправляемого модели, и мог обрабатываться на стороне Anthropic. Пользователь при этом видел обычную строку с датой и едва ли мог заметить подмену символов.


Thereallo подчеркивает, что код не выполнял вредоносных действий и вообще не активировался для большинства пользователей (если переменная ANTHROPIC_BASE_URL не задана или указывала на официальный API Anthropic).  То есть злоумышленник мог без труда обойти следящий механизм, например, сменив домен или часовой пояс, пропатчив бинарник или запустив Claude Code через врапер. По мнению исследователя, трекер лучше всего выявлял обычных разработчиков с нестандартной, но легитимной конфигурацией.


Тем не менее в своей статье Thereallo сравнивает подход Anthropic со шпионским ПО и называет его серьезным нарушением доверия. Ведь пользователей не уведомляли ни о самом сборе телеметрии, ни о причинах этого сбора.


Вскоре после публикации этого исследования инженер Anthropic Тарик Шихипар (Thariq Shihipar) подтвердил в соцсети X, что следящий механизм добавили в Claude Code в марте 2026 года в рамках «эксперимента». Трекер был предназначен для выявления нелегальных реселлеров аккаунтов и защиты модели от дистилляции — массовых запросов к Claude, которые конкуренты используют для обучения собственных систем.


Стоит отметить, что проблема нелегальной перепродажи доступа к аккаунтам Claude и платным подпискам действительно существует. По данным издания The Washington Post, посредники предлагают доступ к бесплатным моделям за 1 доллар в месяц, а подписки стоимостью 100 долларов продают всего за 12 долларов.


Однако Шихипар подчеркивал, что трекер давно собирались убрать, поскольку инженеры Anthropic уже внедрили более надежные меры защиты.


Кроме того, в Anthropic давно считают дистилляцию серьезной угрозой. Китайские модели все быстрее догоняют американские (к примеру, недавно сообщалось, что бесплатная модель компании Zhipu AI обошла Claude Opus 4.8 в вопросе поиска уязвимостей).


Чтобы сохранить технологический отрыв на 12–24 месяца, представители Anthropic предлагают властям ограничивать нарушителям доступ к продвинутым моделям, чипам и американским дата-центрам. Также в Anthropic утверждают, что в июне 2026 года Alibaba провела крупнейшую из известных дистилляционных атак на ее модели. Представители китайской компании эти обвинения не комментировали.


По информации СМИ, после обнаружения трекера руководство Alibaba запретило своим сотрудникам использовать Claude Code в работе. Во внутренней записке ИИ-инструмент назвали потенциально опасным из-за риска наличия бэкдора и внесли в список ПО с уязвимостями.


В своей публикации Thereallo подчеркивает, что сбор данных можно было реализовать открыто: добавить документированное поле телеметрии, описать политику и упомянуть изменения в примечаниях к релизу. Скрывать механизм в системном промпте не требовалось.


По словам исследователя, доверие особенно важно для ИИ-агентов, которые способны читать локальный код, случайно раскрывать секреты, запускать команды, устанавливать пакеты, редактировать файлы и пушить коммиты.


«Скрытая маркировка в системном промпте заставляет сомневаться во всех остальных заявлениях Anthropic о приватности», — резюмировал Thereallo.


На прошлой неделе исследователь обнаружил в Claude Code скрытый механизм, который отслеживал пользователей из Китая и передавал в Anthropic сведения об их часовом поясе, домене альтернативного шлюза и возможной связи с местными ИИ-лабораториями. После публикации расследования трекер быстро удалили, и разработчики Anthropic прокомментировали ситуацию. Скрытый в коде трекер нашел веб-разработчик под ником Thereallo, который изучал приватность Claude Code и исследовал бинарник версии 2.1.196. Оказалось, что приложение проверяло системный часовой пояс и переменную окружения ANTHROPIC_BASE_URL, позволяющую направлять запросы через альтернативный API-шлюз. По словам исследователя, в Anthropic использовали «стеганографию в системном промпте»: неприметные символы позволяли помечать определенных пользователей таким образом, что обычный человек вряд ли обратил бы внимание на сбор данных. Трекер активировался в том случае, если пользователь настраивал собственный базовый URL вместо официального api.anthropic.com. Claude Code извлекал домен шлюза и проверял его по двум критериям: присутствует ли адрес в скрытом списке известных сервисов и содержит ли он названия китайских ИИ-компаний. В список ключевых слов входили DeepSeek, Moonshot, MiniMax, Zhipu, Baichuan, StepFun, 01.AI, DashScope и другие. Кроме того, отдельная база содержала домены китайских корпораций, ИИ-лабораторий, прокси, реселлеров и неофициальных шлюзов Claude. Среди них исследователь обнаружил адреса, связанные с Baidu, Alibaba, Ant Group, ByteDance, JD.com, Moonshot AI, а также сервисами вроде Claude Code Hub, OpenClaude, ProxyAI и Yunwu. Списки хранились в обфусцированном виде: строки были закодированы Base64 и дополнительно обрабатывались с помощью XOR. Также приложение проверяло, установлен ли на компьютере пользователя часовой пояс Asia/Shanghai или Asia/Urumqi. Результаты всех этих проверок Claude Code скрывал в строке с текущей датой, которая добавлялась в системный контекст. Так, приложение подменяло апостроф во фразе «Today's date» одним из четырех почти неразличимых Unicode-символов. Китайский часовой пояс, в свою очередь, кодировался заменой дефисов в дате на косые черты: например, 2026-06-30 превращалось в 2026/06/30. В итоге одна неприметная строка передавала на сервер информацию о том, использует ли человек известный сторонний шлюз, связан ли домен с определенной ИИ-лабораторией, и работает ли система в одном из китайских часовых поясов. Маркер становился частью системного промпта, отправляемого модели, и мог обрабатываться на стороне Anthropic. Пользователь при этом видел обычную строку с датой и едва ли мог заметить подмену символов. Thereallo подчеркивает, что код не выполнял вредоносных действий и вообще не активировался для большинства пользователей (если переменная ANTHROPIC_BASE_URL не задана или указывала на официальный API Anthropic). То есть злоумышленник мог без труда обойти следящий механизм, например, сменив домен или часовой пояс, пропатчив бинарник или запустив Claude Code через врапер. По мнению исследователя, трекер лучше всего выявлял обычных разработчиков с нестандартной, но легитимной конфигурацией. Тем не менее в своей статье Thereallo сравнивает подход Anthropic со шпионским ПО и называет его серьезным нарушением доверия. Ведь пользователей не уведомляли ни о самом сборе телеметрии, ни о причинах этого сбора. Вскоре после публикации этого исследования инженер Anthropic Тарик Шихипар (Thariq Shihipar) подтвердил в соцсети X, что следящий механизм добавили в Claude Code в марте 2026 года в рамках «эксперимента». Трекер был предназначен для выявления нелегальных реселлеров аккаунтов и защиты модели от дистилляции — массовых запросов к Claude, которые конкуренты используют для обучения собственных систем. Стоит отметить, что проблема нелегальной перепродажи доступа к аккаунтам Claude и платным подпискам действительно существует. По данным издания The Washington Post, посредники предлагают доступ к бесплатным моделям за 1 доллар в месяц, а подписки стоимостью 100 долларов продают всего за 12 долларов. Однако Шихипар подчеркивал, что трекер давно собирались убрать, поскольку инженеры Anthropic уже внедрили более надежные меры защиты. Кроме того, в Anthropic давно считают дистилляцию серьезной угрозой. Китайские модели все быстрее догоняют американские (к примеру, недавно сообщалось, что бесплатная модель компании Zhipu AI обошла Claude Opus 4.8 в вопросе поиска уязвимостей). Чтобы сохранить технологический отрыв на 12–24 месяца, представители Anthropic предлагают властям ограничивать нарушителям доступ к продвинутым моделям, чипам и американским дата-центрам. Также в Anthropic утверждают, что в июне 2026 года Alibaba провела крупнейшую из известных дистилляционных атак на ее модели. Представители китайской компании эти обвинения не комментировали. По информации СМИ, после обнаружения трекера руководство Alibaba запретило своим сотрудникам использовать Claude Code в работе. Во внутренней записке ИИ-инструмент назвали потенциально опасным из-за риска наличия бэкдора и внесли в список ПО с уязвимостями. В своей публикации Thereallo подчеркивает, что сбор данных можно было реализовать открыто: добавить документированное поле телеметрии, описать политику и упомянуть изменения в примечаниях к релизу. Скрывать механизм в системном промпте не требовалось. По словам исследователя, доверие особенно важно для ИИ-агентов, которые способны читать локальный код, случайно раскрывать секреты, запускать команды, устанавливать пакеты, редактировать файлы и пушить коммиты. «Скрытая маркировка в системном промпте заставляет сомневаться во всех остальных заявлениях Anthropic о приватности», — резюмировал Thereallo.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!