«Скрытый трекер Клода Кода был „экспериментом“», — заявляет компания Anthropic

| 7 июля 2026 года
Логотип Claude

Как разработчик, вы хотите использовать инструменты, которым можно доверять и на которые можно положиться. Один из исследователей отнесся к этой идее настолько серьезно, что тщательно проанализировал свою локальную установку Claude Code (версия 2.1.196). Для разработчиков, использующих ИИ-помощников с доступом к их коду, файлам и терминалу, понимание того, что эти инструменты делают «за кулисами», становится не менее важным, чем оценка их способностей в области программирования.

Предоставляя помощнику по программированию на базе ИИ доступ к командной оболочке, файловой системе и репозиторию, вы уже идёте на осознанный риск. Вы готовы к появлению ошибок, возможно, даже к передаче некоторых телеметрических данных, но не к наличию скрытого канала, который незаметно регистрирует, куда направляется ваш трафик и кто может следить за ним на другом конце.

Именно это и обнаружил независимый разработчик «Thereallo» в ходе реверс-инжиниринга клиентского приложения Claude Code от компании Anthropic. В сжатом пакете JavaScript была спрятана функция, которая принимала на первый взгляд безобидную строку «Today’s date is 2026‑06‑30.» и превратил его в скрытый маркер для бэкэнда Anthropic, зависящий от конечной точки API пользователя и системного часового пояса.

Для пользователей и большинства разработчиков, просматривающих логи, текст по-прежнему выглядел как обычный английский. Только тот, кто анализировал исходные данные в формате Unicode или собственный бэкэнд Anthropic, мог заметить, что закодированный сигнал срабатывал, если локальный часовой пояс был установлен на Asia/Shanghai или Asia/Urumqi.

Как только информация об этом распространилась через социальные сети и новостные ресурсы, компания Anthropic подтвердила наличие данного кода и оперативно удалила его, однако пока не опубликовала подробного публичного отчета, посвященного этой функции.

Как сообщается, один из инженеров Anthropic подтвердил в X этот маркер представлял собой «эксперимент, запущенный нами в марте», целью которого было предотвращение злоупотребления учетными записями со стороны неавторизованных перепродавцов и защита от дистилляции. Возможно, поводом для этого послужило принятое 12 июня правительством США решение о приостановке доступа к моделям для иностранных граждан со ссылкой на соображения национальной безопасности. Эти экспортные ограничения были сняты 30 июня.

Еще одной возможной причиной может быть желание больше узнать о зафиксированных случаях китайских атак с использованием методов дистилляции, которые представляют серьезную угрозу национальной безопасности США и подрывают стандарты безопасности искусственного интеллекта.

Кому стоит беспокоиться

Компания Anthropic оказалась в центре широко освещаемого публичного спора по поводу «атак дистилляции». Речь идет о кампаниях, в ходе которых злоумышленники, как утверждается, повторно используют или передают через посредников результаты работы модели для обучения конкурирующих систем, причем зачастую из юрисдикций с менее строгой защитой интеллектуальной собственности. В этих обвинениях фигурируют связанные с Китаем лаборатории по разработке ИИ и посредники, а в новостных репортажах сообщается о несанкционированных продавцах, перепродающих доступ к Claude с существенными скидками.

Alibaba уже заблокировала Claude Code в связи с этим инцидентом. Alibaba не только является одним из крупнейших в мире ритейлеров и компаний в сфере электронной коммерции, но и вошла в 2020 году в пятерку крупнейших в мире компаний, занимающихся искусственным интеллектом.

Разработчики, опасающиеся, что они могут стать мишенью, могут:

  • Ведите учет хэшей и версий клиентских программ ИИ, используемых в средах с повышенными требованиями к безопасности, и избегайте автоматических обновлений без хотя бы беглого проверки.
  • Используйте функцию анализа сетевого трафика для сбора полных запросов к API искусственного интеллекта в тестовых средах, а затем проанализируйте их на наличие скрытых или неожиданных признаков, включая аномалии Unicode в системных подсказках.

Как показывает этот случай, решение одного поставщика может сделать ранее вызывавший доверие инструмент неприемлемым для некоторых организаций. Сохраняйте возможность выбора и избегайте жесткой зависимости от одного ИИ-помощника.


Просматривайте, как будто никто не смотрит. 

Malwarebytes Privacy VPN ваше соединение и никогда не регистрирует ваши действия, поэтому следующая статья, которую вы прочитаете, не будет казатьсявам личной.Попробуйте бесплатно → 

Об авторе

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.