Claude Code Backdoor
стеганография, затронутые версии и руководство по безопасности (2026)

TL;DR: 8 июля 2026 платформа NVDB Министерства промышленности и информационных технологий КНР (MIIT) опубликовала предупреждение: в AI-инструменте для разработки Claude Code от Anthropic в версиях v2.1.91–v2.1.196 обнаружен скрытый механизм мониторинга — встроенная стеганография передаёт географию и идентификаторы без явного согласия пользователя. Ниже — полная хронология, разбор covert channel в system prompt, условие срабатывания через ANTHROPIC_BASE_URL, позиции NVDB / Anthropic / Alibaba, фон войны за дистилляцию моделей и шестишаговый runbook для разработчиков и IT-команд. Если вы ходите через proxy — немедленно выполните claude --version.

01

Предупреждение MIIT о бэкдоре Claude Code: хронология и цепочка событий

За заголовком «регуляторное предупреждение» стоит полная цепочка: Anthropic тихо внедряет детект China-linked пользователей → реверс-инженеры публикуют анализ → вендор извиняется и откатывает → Alibaba запрещает → MIIT/NVDB квалифицирует как бэкдор. Без этой линии невозможно трезво ответить на вопрос «можно ли ещё использовать Claude Code».

ДатаСобытие
Февраль 2026Anthropic публично заявляет об инвестициях в anti-distillation: классификаторы, behavioral fingerprinting, обмен threat intel
Март 2026В Claude Code незаметно включается covert detection — без публичного раскрытия
2026-04-02Релиз Claude Code v2.1.91 — первая публичная сборка с обфусцированным кодом
Апр–Июн 2026~20 промежуточных релизов, логика детекта сохраняется, ни один changelog не упоминает механизм
2026-06-29v2.1.196 — последняя версия в затронутом диапазоне
2026-06-30Reddit: LegitMichel777; thereallo.dev; GitHub-реверс Adnane Khan подтверждает v2.1.193/195/196
2026-07-01Инженер Thariq Shihipar в X признаёт «эксперимент» от марта, обещает откат на следующий день
2026-07-02v2.1.197 (в части источников v2.1.198) — код стеганографии удалён, changelog молчит
2026-07-03/04Reuters, TechCrunch: Alibaba с 10 июля запрещает Claude Code, переход на внутренний Qoder
2026-07-08NVDB MIIT официально публикует risk advisory — «риск бэкдора, серьёзная угроза»
2026-07-10Внутренний запрет Alibaba вступает в силу
warning

Фрейминг риска: Claude Code имеет доступ к файловой системе и shell. Для dev-tool недопустимы «невидимые» side-channel в prompt. Прямого подтверждённого data breach в публичных отчётах нет — документированный ущерб: covert fingerprinting, риск бана аккаунта и compliance exposure. Не раздувайте до «утечки всех данных» — фокус на нераскрытом мониторинге.

02

Кто реально затронут: условия срабатывания и ANTHROPIC_BASE_URL

Самое частое искажение в медиа: «Claude Code следит за всеми». Технически неверно. Covert mechanism не universal — он активируется по конкретным env-условиям.

ПрофильТриггер?Уровень риска
Официальный API
ANTHROPIC_BASE_URL не задан, прямой api.anthropic.com
НетНизкий (всё равно апгрейд до v2.1.197+)
Enterprise gateway / сторонний proxy
ANTHROPIC_BASE_URL указывает на неофициальный endpoint
ДаВысокий на v2.1.91–2.1.196
China timezone + hostname из blacklistДаМаксимальный — полное кодирование fingerprint
Сотрудники Alibaba и аналогиПО в списке high-risk, запрет с 10.07.2026

При срабатывании выполняются два класса env-разведки:

  1. 1

    Timezone probe: проверка Asia/Shanghai или Asia/Urumqi

  2. 2

    Proxy blacklist match: hostname из ANTHROPIC_BASE_URL сравнивается с 147 встроенными правилами — Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax и известные API-reseller gateway

info

Обфускация blacklist: список зашит как XOR (key 91) + Base64strings по бинарнику не вытащит plaintext; нужен полный реверс. Именно поэтому в комьюнити говорят «стеганография / covert channel», а не «обычная telemetry».

03

Механизм стеганографии Claude Code: технический разбор в три шага

Adnane Khan определил это как «a covert information channel embedded in system prompts». Отдельного telemetry pipe нет — модифицируется сам system prompt, отправляемый в API:

Шаг 1: вариант разделителя даты

При China-linked timezone формат даты в prompt меняется с 2026-06-30 (дефис) на 2026/06/30 (слэш) — 1 bit env-сигнала.

Шаг 2: Unicode-апострофы

В строке Today's date is стандартный апостроф ' (U+0027) заменяется на визуально неотличимые варианты с разными code point — три boolean-флага: timezone hit / domain hit / AI-lab keyword hit.

Шаг 3: silent exfiltration

~3 bit fingerprint упакованы в нормально выглядящее английское предложение и уходят с каждым API-запросом на сервер Anthropic для server-side decode.

ИзмерениеCovert steganographyОбычная telemetry
Раскрытие~3 месяца без changelogОбычно упоминается в privacy policy
КаналВстроено в system promptОтдельный auditable endpoint
ЦельГеография + fingerprint конкурентовАгрегированная статистика и error logs
Привилегии toolFS read/write + shell executionАналогично у CLI/IDE agent, но ожидаемая прозрачность выше

Затронутые vs безопасные версии

ТипВерсияДата
Первая с covert codev2.1.912026-04-02
Последняя затронутаяv2.1.1962026-06-29
Исправлениеv2.1.197 (часть источников 2.1.198)2026-07-01/02
bash
# Проверка версии
claude --version

# Проверка proxy-триггера
echo $ANTHROPIC_BASE_URL

# Апгрейд через npm
npm install -g @anthropic-ai/claude-code@latest

# Или встроенная команда
claude update
04

Позиции сторон: NVDB, Anthropic и Alibaba

MIIT / NVDB

Квалификация: риск бэкдора, серьёзная угроза. Описание: встроенный механизм мониторинга передаёт географию и идентификаторы на удалённый сервер без согласия. Рекомендации: полный аудит dev-терминалов, удаление или апгрейд, усиление egress filtering и мониторинга исходящего трафика в критичных сегментах.

Anthropic / Thariq Shihipar

«This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.»

Ключевые термины: experiment, не backdoor; цель — anti-resale abuse и anti-distillation. Контекст: Anthropic ранее писал в комитет по банкам Сената США, что команда Qwen Alibaba использовала ~25 000 мошеннических аккаунтов и 28,8 млн взаимодействий для дистилляции Claude.

Alibaba

Внутренняя формулировка (SCMP, Ars Technica): «As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.» С 10 июля 2026 запрет на Claude Code и продукты Anthropic (Sonnet, Opus, Fable); замена — внутренняя платформа Qoder.

ИсточникКлючевые терминыНарратив
NVDB / MIITbackdoor / security backdoor risk / severe threatCompliance и риск утечки метаданных
CNBC / Reuterssecurity backdoor / built-in monitoringНейтральная передача + корпоративные последствия
The Registercovert code / secret steganography systemТехническая ответственность + undisclosed update
Ars Technicaspyware-like tracking / secret Claude trackerКризис доверия + policy analysis
Cybernews«a nothing burger» (часть tech-комьюнити)Переоценка шума; по сути anti-distillation engineering
Anthropicexperiment / anti-abuse / anti-distillationЛегитимная оборона, не злонамеренный spyware
05

Контекст: война за дистилляцию моделей США–Китай

Событие не изолировано — это срез AI-конкуренции 2026 года:

  • Anthropic блокирует прямой доступ из Китая и «враждебных» регионов; обход — VPN, иностранные карты, third-party proxy
  • В феврале 2026 исследователи PKU и CAS опубликовали paper о следах дистилляции западных моделей в китайских LLM
  • Anthropic обвинял DeepSeek, Moonshot, MiniMax, Alibaba в несанкционированном использовании выходов Claude для обучения
  • Claude Opus 4.8 в тестах «путал себя с Qwen / DeepSeek» — аргумент о двойных стандартах в дискуссии
  • Китайские компании ускоряют domestic stack: DeepSeek, Qwen, Kimi/Moonshot, Zhipu, MiniMax; Qoder у Alibaba — конкретное воплощение тренда

Понимание этой линии объясняет, почему Anthropic так агрессивен к distillation pipelines — и почему tech-комьюнити спорит: legitimate defense vs overreach в dev-tool.

06

Что делать: шестишаговый checklist и мост к NodeMini

  1. 01

    Version check: claude --version — попадаете ли в v2.1.91–2.1.196

  2. 02

    Endpoint audit: echo $ANTHROPIC_BASE_URL — неофициальный proxy/gateway?

  3. 03

    Немедленный апгрейд: npm install -g @anthropic-ai/claude-code@latest или claude update до v2.1.197+

  4. 04

    Полное удаление (опционально): npm uninstall -g @anthropic-ai/claude-code + очистка ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code

  5. 05

    Enterprise egress audit: исходящий трафик dev-машин, неавторизованные AI endpoints, egress filtering на критичных сегментах

  6. 06

    Оценка альтернатив: Qoder, Cursor, Codex CLI, Gemini CLI, domestic tools — по политике compliance команды

Hard numbers (EEAT)

  • Окно экспозиции: v2.1.91 (2026-04-02) — v2.1.196 (2026-06-29), ~3 месяца без changelog disclosure
  • Proxy blacklist: 147 доменов — независимо воспроизведено LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach
  • Ёмкость кодирования: 1 bit разделителя даты + 3 Unicode-апострофа ≈ 3 bit env fingerprint в system prompt
  • Масштаб обвинений в дистилляции: ~25 000 fraud-аккаунтов, 28,8 млн interactions (письмо Anthropic в Сенат)

Гонять high-privilege CLI agent на daily-driver laptop или жонглировать banned tools в разных юрисдикциях — это длинные compliance-циклы, swap под multi-agent нагрузкой и слабый egress control. Для production iOS CI/CD и AI agent automation, где нужен изолированный, auditable Mac node, аренда выделенного cloud Mac Mini через NodeMini — SSH-доступ, dedicated hardware, контролируемый исходящий трафик — обычно стабильнее, чем «просто обновить npm-пакет на ноутбуке». Тарифы: цены аренды Mac Mini, onboarding: справочный центр.

Дисклеймер: материал основан на публичных отчётах NVDB/MIIT, заявлениях Anthropic и независимом security research. Информационный характер — не юридическая консультация и не заключение security audit. Перед uninstall, block или traffic policy — сверьтесь с политикой вашей организации.

FAQ

Частые вопросы

В v2.1.91–2.1.196 Anthropic встроил нераскрытый код стеганографии. NVDB MIIT квалифицировал как риск бэкдора; Anthropic — anti-distillation experiment, удалён в v2.1.197. Точнее: covert channel / steganography detection mechanism.

Нет. Механизм активируется только когда ANTHROPIC_BASE_URL указывает на неофициальный proxy или gateway. Прямой api.anthropic.com эту ветку не трогает.

npm uninstall -g @anthropic-ai/claude-code, затем удалите ~/.claude, ~/.claude.json и cache-директории. В enterprise — egress audit после uninstall. Для изолированной agent-среды см. тарифы аренды NodeMini.

После публикаций о backdoor risk Alibaba включила Claude Code в список high-risk software. С 10 июля 2026 — полный запрет на Claude Code и модели Anthropic, переход на Qoder. Связано с обвинениями Anthropic в масштабной дистилляции Qwen.

Нет. Ни один changelog в затронутом диапазоне не упоминал механизм. Удаление в v2.1.197 тоже не описано явно — ключевой accountability point от The Register и Ars Technica.

Код стеганографии удалён в v2.1.197+. Дальнейшее доверие — вопрос risk tolerance и compliance policy. Часть комьюнити (Cybernews) считает реакцию переоценённой; enterprise — по результатам собственного аудита.

Distillation — обучение модели на выходах другой модели. Anthropic заявил, что covert mechanism таргетировал unauthorized resellers и distillation pipelines. Ключ к пониманию мотива и фона США–Китай AI race. Практики безопасных agent setup — в справочном центре.

Большинство первичных источников указывает v2.1.197 (1 июля). Часть китайских tech-медиа — v2.1.198. Безопасная формулировка: «v2.1.197 и выше»; перед апгрейдом проверьте claude --version.

Domestic: Qoder (Alibaba internal), Cursor с локальными моделями. International: Codex CLI, Gemini CLI. Выбор — баланс model capability, compliance approval и compute. Сравнение AI coding assistants — в смежных материалах блога.

Публичные отчёты не подтверждают прямой финансовый ущерб или массовую утечку PII. Документированный impact: covert fingerprinting, риск бана аккаунта, compliance exposure — не подтверждённый data breach incident.