TL;DR: 8 июля 2026 платформа NVDB Министерства промышленности и информационных технологий КНР (MIIT) опубликовала предупреждение: в AI-инструменте для разработки Claude Code от Anthropic в версиях v2.1.91–v2.1.196 обнаружен скрытый механизм мониторинга — встроенная стеганография передаёт географию и идентификаторы без явного согласия пользователя. Ниже — полная хронология, разбор covert channel в system prompt, условие срабатывания через ANTHROPIC_BASE_URL, позиции NVDB / Anthropic / Alibaba, фон войны за дистилляцию моделей и шестишаговый runbook для разработчиков и IT-команд. Если вы ходите через proxy — немедленно выполните claude --version.
За заголовком «регуляторное предупреждение» стоит полная цепочка: Anthropic тихо внедряет детект China-linked пользователей → реверс-инженеры публикуют анализ → вендор извиняется и откатывает → Alibaba запрещает → MIIT/NVDB квалифицирует как бэкдор. Без этой линии невозможно трезво ответить на вопрос «можно ли ещё использовать Claude Code».
| Дата | Событие |
|---|---|
| Февраль 2026 | Anthropic публично заявляет об инвестициях в anti-distillation: классификаторы, behavioral fingerprinting, обмен threat intel |
| Март 2026 | В Claude Code незаметно включается covert detection — без публичного раскрытия |
| 2026-04-02 | Релиз Claude Code v2.1.91 — первая публичная сборка с обфусцированным кодом |
| Апр–Июн 2026 | ~20 промежуточных релизов, логика детекта сохраняется, ни один changelog не упоминает механизм |
| 2026-06-29 | v2.1.196 — последняя версия в затронутом диапазоне |
| 2026-06-30 | Reddit: LegitMichel777; thereallo.dev; GitHub-реверс Adnane Khan подтверждает v2.1.193/195/196 |
| 2026-07-01 | Инженер Thariq Shihipar в X признаёт «эксперимент» от марта, обещает откат на следующий день |
| 2026-07-02 | v2.1.197 (в части источников v2.1.198) — код стеганографии удалён, changelog молчит |
| 2026-07-03/04 | Reuters, TechCrunch: Alibaba с 10 июля запрещает Claude Code, переход на внутренний Qoder |
| 2026-07-08 | NVDB MIIT официально публикует risk advisory — «риск бэкдора, серьёзная угроза» |
| 2026-07-10 | Внутренний запрет Alibaba вступает в силу |
Фрейминг риска: Claude Code имеет доступ к файловой системе и shell. Для dev-tool недопустимы «невидимые» side-channel в prompt. Прямого подтверждённого data breach в публичных отчётах нет — документированный ущерб: covert fingerprinting, риск бана аккаунта и compliance exposure. Не раздувайте до «утечки всех данных» — фокус на нераскрытом мониторинге.
Самое частое искажение в медиа: «Claude Code следит за всеми». Технически неверно. Covert mechanism не universal — он активируется по конкретным env-условиям.
| Профиль | Триггер? | Уровень риска |
|---|---|---|
Официальный APIANTHROPIC_BASE_URL не задан, прямой api.anthropic.com | Нет | Низкий (всё равно апгрейд до v2.1.197+) |
Enterprise gateway / сторонний proxyANTHROPIC_BASE_URL указывает на неофициальный endpoint | Да | Высокий на v2.1.91–2.1.196 |
| China timezone + hostname из blacklist | Да | Максимальный — полное кодирование fingerprint |
| Сотрудники Alibaba и аналоги | — | ПО в списке high-risk, запрет с 10.07.2026 |
При срабатывании выполняются два класса env-разведки:
Timezone probe: проверка Asia/Shanghai или Asia/Urumqi
Proxy blacklist match: hostname из ANTHROPIC_BASE_URL сравнивается с 147 встроенными правилами — Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax и известные API-reseller gateway
Обфускация blacklist: список зашит как XOR (key 91) + Base64 — strings по бинарнику не вытащит plaintext; нужен полный реверс. Именно поэтому в комьюнити говорят «стеганография / covert channel», а не «обычная telemetry».
Adnane Khan определил это как «a covert information channel embedded in system prompts». Отдельного telemetry pipe нет — модифицируется сам system prompt, отправляемый в API:
При China-linked timezone формат даты в prompt меняется с 2026-06-30 (дефис) на 2026/06/30 (слэш) — 1 bit env-сигнала.
В строке Today's date is стандартный апостроф ' (U+0027) заменяется на визуально неотличимые варианты с разными code point — три boolean-флага: timezone hit / domain hit / AI-lab keyword hit.
~3 bit fingerprint упакованы в нормально выглядящее английское предложение и уходят с каждым API-запросом на сервер Anthropic для server-side decode.
| Измерение | Covert steganography | Обычная telemetry |
|---|---|---|
| Раскрытие | ~3 месяца без changelog | Обычно упоминается в privacy policy |
| Канал | Встроено в system prompt | Отдельный auditable endpoint |
| Цель | География + fingerprint конкурентов | Агрегированная статистика и error logs |
| Привилегии tool | FS read/write + shell execution | Аналогично у CLI/IDE agent, но ожидаемая прозрачность выше |
| Тип | Версия | Дата |
|---|---|---|
| Первая с covert code | v2.1.91 | 2026-04-02 |
| Последняя затронутая | v2.1.196 | 2026-06-29 |
| Исправление | v2.1.197 (часть источников 2.1.198) | 2026-07-01/02 |
# Проверка версии claude --version # Проверка proxy-триггера echo $ANTHROPIC_BASE_URL # Апгрейд через npm npm install -g @anthropic-ai/claude-code@latest # Или встроенная команда claude update
Квалификация: риск бэкдора, серьёзная угроза. Описание: встроенный механизм мониторинга передаёт географию и идентификаторы на удалённый сервер без согласия. Рекомендации: полный аудит dev-терминалов, удаление или апгрейд, усиление egress filtering и мониторинга исходящего трафика в критичных сегментах.
«This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.»
Ключевые термины: experiment, не backdoor; цель — anti-resale abuse и anti-distillation. Контекст: Anthropic ранее писал в комитет по банкам Сената США, что команда Qwen Alibaba использовала ~25 000 мошеннических аккаунтов и 28,8 млн взаимодействий для дистилляции Claude.
Внутренняя формулировка (SCMP, Ars Technica): «As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.» С 10 июля 2026 запрет на Claude Code и продукты Anthropic (Sonnet, Opus, Fable); замена — внутренняя платформа Qoder.
| Источник | Ключевые термины | Нарратив |
|---|---|---|
| NVDB / MIIT | backdoor / security backdoor risk / severe threat | Compliance и риск утечки метаданных |
| CNBC / Reuters | security backdoor / built-in monitoring | Нейтральная передача + корпоративные последствия |
| The Register | covert code / secret steganography system | Техническая ответственность + undisclosed update |
| Ars Technica | spyware-like tracking / secret Claude tracker | Кризис доверия + policy analysis |
| Cybernews | «a nothing burger» (часть tech-комьюнити) | Переоценка шума; по сути anti-distillation engineering |
| Anthropic | experiment / anti-abuse / anti-distillation | Легитимная оборона, не злонамеренный spyware |
Событие не изолировано — это срез AI-конкуренции 2026 года:
Понимание этой линии объясняет, почему Anthropic так агрессивен к distillation pipelines — и почему tech-комьюнити спорит: legitimate defense vs overreach в dev-tool.
Version check: claude --version — попадаете ли в v2.1.91–2.1.196
Endpoint audit: echo $ANTHROPIC_BASE_URL — неофициальный proxy/gateway?
Немедленный апгрейд: npm install -g @anthropic-ai/claude-code@latest или claude update до v2.1.197+
Полное удаление (опционально): npm uninstall -g @anthropic-ai/claude-code + очистка ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code
Enterprise egress audit: исходящий трафик dev-машин, неавторизованные AI endpoints, egress filtering на критичных сегментах
Оценка альтернатив: Qoder, Cursor, Codex CLI, Gemini CLI, domestic tools — по политике compliance команды
Гонять high-privilege CLI agent на daily-driver laptop или жонглировать banned tools в разных юрисдикциях — это длинные compliance-циклы, swap под multi-agent нагрузкой и слабый egress control. Для production iOS CI/CD и AI agent automation, где нужен изолированный, auditable Mac node, аренда выделенного cloud Mac Mini через NodeMini — SSH-доступ, dedicated hardware, контролируемый исходящий трафик — обычно стабильнее, чем «просто обновить npm-пакет на ноутбуке». Тарифы: цены аренды Mac Mini, onboarding: справочный центр.
Дисклеймер: материал основан на публичных отчётах NVDB/MIIT, заявлениях Anthropic и независимом security research. Информационный характер — не юридическая консультация и не заключение security audit. Перед uninstall, block или traffic policy — сверьтесь с политикой вашей организации.
В v2.1.91–2.1.196 Anthropic встроил нераскрытый код стеганографии. NVDB MIIT квалифицировал как риск бэкдора; Anthropic — anti-distillation experiment, удалён в v2.1.197. Точнее: covert channel / steganography detection mechanism.
Нет. Механизм активируется только когда ANTHROPIC_BASE_URL указывает на неофициальный proxy или gateway. Прямой api.anthropic.com эту ветку не трогает.
npm uninstall -g @anthropic-ai/claude-code, затем удалите ~/.claude, ~/.claude.json и cache-директории. В enterprise — egress audit после uninstall. Для изолированной agent-среды см. тарифы аренды NodeMini.
После публикаций о backdoor risk Alibaba включила Claude Code в список high-risk software. С 10 июля 2026 — полный запрет на Claude Code и модели Anthropic, переход на Qoder. Связано с обвинениями Anthropic в масштабной дистилляции Qwen.
Нет. Ни один changelog в затронутом диапазоне не упоминал механизм. Удаление в v2.1.197 тоже не описано явно — ключевой accountability point от The Register и Ars Technica.
Код стеганографии удалён в v2.1.197+. Дальнейшее доверие — вопрос risk tolerance и compliance policy. Часть комьюнити (Cybernews) считает реакцию переоценённой; enterprise — по результатам собственного аудита.
Distillation — обучение модели на выходах другой модели. Anthropic заявил, что covert mechanism таргетировал unauthorized resellers и distillation pipelines. Ключ к пониманию мотива и фона США–Китай AI race. Практики безопасных agent setup — в справочном центре.
Большинство первичных источников указывает v2.1.197 (1 июля). Часть китайских tech-медиа — v2.1.198. Безопасная формулировка: «v2.1.197 и выше»; перед апгрейдом проверьте claude --version.
Domestic: Qoder (Alibaba internal), Cursor с локальными моделями. International: Codex CLI, Gemini CLI. Выбор — баланс model capability, compliance approval и compute. Сравнение AI coding assistants — в смежных материалах блога.
Публичные отчёты не подтверждают прямой финансовый ущерб или массовую утечку PII. Документированный impact: covert fingerprinting, риск бана аккаунта, compliance exposure — не подтверждённый data breach incident.