
Anthropic удаляет из Claude Code скрытый механизм, который незаметно помечал запросы пользователей, работающих через сторонние прокси — в первую очередь китайские. Находку раскрыл пользователь Reddit под ником LegitMichel777, разбиравший бинарник инструмента. Теперь история получила развитие: Anthropic признала механизм и откатила его, а заодно выяснилось, что метки появились еще в версии 2.1.91 от 2 апреля 2026 года — то есть инструмент почти три месяца втихую передавал данные об окружении части пользователей.
Механизм срабатывал только при заданной переменной ANTHROPIC_BASE_URL — когда запросы шли не напрямую на api.anthropic.com, а через сторонний прокси или шлюз. В этом случае Claude Code проверял:
-
таймзону системы — совпадает ли она с Asia/Shanghai или Asia/Urumqi;
-
хостнейм прокси — по зашитому в код списку китайских доменов, от Baidu и Alibaba до известных реселлеров Claude;
-
наличие в адресе имен китайских ИИ-лабораторий: deepseek, zhipu, moonshot, minimax, dashscope и других.
Результат кодировался стеганографически — внутри безобидной строки системного промпта «Today’s date is». Апостроф заменялся одним из трех визуально неотличимых Unicode-символов, а при китайской таймзоне дефис в дате менялся на слэш: 2026/06/30 вместо 2026-06-30. Человек и даже сама модель видят обычную дату, но сервер Anthropic легко считывает метку. Списки доменов при этом были спрятаны в бинарнике через base64 и XOR с ключом 91, чтобы не всплывать при простом поиске по строкам, а в release notes о проверке не было ни слова.
Anthropic не стала отрицать находку. Тарик Шихипар из команды Claude Code назвал механизм «экспериментом, запущенным в марте, чтобы предотвратить злоупотребления аккаунтами со стороны неавторизованных реселлеров и защититься от дистилляции». По его словам, с тех пор команда внедрила более сильные меры защиты и «давно собиралась это убрать»: соответствующий pull request смержен, и в версии 2.1.197 скрытых меток больше нет.
Реакция сообщества разделилась. Автор находки называет произошедшее «фундаментальным нарушением доверия»: инструмент с полным доступом к файловой системе и шеллу молча передавал данные об окружении, при этом опытный нарушитель обойдет проверку за вечер — достаточно сменить таймзону и хостнейм. Скептики считают историю раздутой: в Cybernews напоминают, что сбор подобных данных прямо прописан в политике конфиденциальности Anthropic, а формулировку «шпионское ПО» из заголовка Reddit-поста высмеяли сами реддиторы — сетевые настройки системы и так доступны почти любому софту с выходом в интернет.
Мотивы Anthropic понятны из контекста: компания не продает доступ к своим моделям в Китае, ссылаясь на соображения национальной безопасности, однако многие китайские разработчики обходят запрет через зарубежные номера и карты. Ранее Anthropic обвиняла DeepSeek, Moonshot AI, MiniMax и Alibaba в обучении собственных моделей на ответах Claude, а недавно сообщила Сенату США, что Alibaba и ее лаборатория Qwen использовали почти 25 000 мошеннических аккаунтов и совершили 28,8 млн обменов с Claude, чтобы выкачивать возможности модели.
P.S. Поддержать меня можно подпиской на канал «сбежавшая нейросеть», где я рассказываю про ИИ с творческой стороны.
ссылка на оригинал статьи https://habr.com/ru/articles/1054810/