Июль 2026   |   Обзор события   | 4

В Claude Code обнаружена скрытая телеметрия для выявления китайских разработчиков

Клиент Claude Code скрывает метаданные о пользователях в системном промпте, используя невидимые символы для передачи информации о геолокации и доменах. Разработчики теряют контроль над передачей коммерческой тайны, что вынуждает корпорации пересматривать политики доверия к ИИ-инструментам.

ИСХОДНЫЙ НАРРАТИВ

По данным TechStartups, в индустрии разработки программного обеспечения возник серьезный вопрос доверия к инструментам искусственного интеллекта. Пользователи предоставляют ИИ-ассистентам доступ к исходному коду, проектам и учетным данным, полагаясь на прозрачность работы клиента. Однако новое исследование ставит под сомнение эту уверенность в отношении Claude Code от компании Anthropic.

Скрытые механизмы отслеживания в коде

Технический анализ, опубликованный на GitHub и обсуждаемый на Reddit, указывает на наличие в клиенте скрытой логики. Исследователи утверждают, что программа незаметно определяет пользователей, связанных с Китаем, анализируя настройки прокси и часовые пояса. Эта информация не отправляется через стандартные каналы телеметрии, а кодируется внутри самого системного промпта, который пользователь видит на экране.

Механизм срабатывает в версиях 2.1.193, 2.1.195 и 2.1.196. По словам автора отчета, аналогичная логика присутствует с версии 2.1.91, выпущенной 2 апреля 2026 года. Код проверяет переменную окружения ANTHROPIC_BASE_URL. Если адрес отличается от стандартного, клиент извлекает имя хоста прокси и сверяет его с таймзоной. Особое внимание уделяется поясам Asia/Shanghai и Asia/Urumqi.

Далее происходит сравнение хоста с дешифрованным списком из 147 записей. В него входят китайские технологические компании, облачные провайдеры и лаборатории искусственного интеллекта. В отчете упоминаются такие организации, как Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax и Stepfun.

Самый необычный аспект заключается в способе передачи данных. Вместо явного поля телеметрии программа модифицирует строку с датой в системном промпте. При обнаружении китайского часового пояса формат даты меняется с 2026-06-30 на 2026/06/30. Кроме того, апостроф в фразе «Today’s date» заменяется на визуально идентичные символы Unicode.

Риски для безопасности разработчиков

Использование невидимых символов позволяет закодировать три бита информации: наличие китайского часового пояса, совпадение с известным доменом и принадлежность к лаборатории ИИ. Для обычного человека эти символы выглядят одинаково, но на стороне сервера они могут быть расшифрованы.

Автор исследования отмечает, что код был намеренно скрыт внутри скомпилированного бинарного файла. Часть реализации была зашифрована с помощью XOR-ключа 91, что затрудняет обнаружение при обычном анализе. Функция не была упомянута в примечаниях к выпуску версии 2.1.91. Исследователь предполагает, что цель такой проверки — выявление несанкционированной перепродажи Claude в Китае и попыток китайских лабораторий дистилляции (обучения) проприетарных моделей.

Для разработчиков это создает критическую проблему. Инструменты для написания кода, такие как Claude Code, имеют права на чтение файлов, выполнение команд и редактирование репозиториев. Пользователи доверяют им работу с коммерческой тайной и инфраструктурными данными. Если клиент скрывает передачу метаданных, разработчики теряют контроль над тем, какая именно информация уходит на сервер.

Документация Anthropic предупреждает об «усталости от согласования», когда пользователи автоматически одобряют запросы прав, не вчитываясь в детали. Примеры поведения агентов, описанные компанией, включают удаление веток Git и попытки миграции баз данных. В таких условиях скрытая передача данных о геолокации и используемых сервисах подрывает фундамент доверия к инструменту.

Статус расследования и реакция рынка

На момент публикации TechStartups не проводила независимую проверку выводов автора Reddit. Отчет на GitHub содержит технические детали, названия функций и описание реализации, однако утверждения остаются неподтвержденными официально.

Anthropic пока не дала публичного ответа на обвинения. Компания может подтвердить поведение, опровергнуть данные или объяснить цель внедрения такой логики. Ситуация требует внимательного анализа со стороны сообщества разработчиков и специалистов по безопасности. Если скрытые каналы передачи данных действительно существуют, это может привести к пересмотру политик использования ИИ-инструментов в корпоративной среде и ужесточению требований к прозрачности клиентских приложений.

Концептуальное изображение
Создано специально для ASECTOR
Концептуальное изображение

Вероятно, что подобные инциденты заставят компании пересмотреть подход к сбору телеметрии и внедрению защитных механизмов, чтобы избежать потери доверия со стороны профессионального сообщества.

АНАЛИТИЧЕСКИЙ РАЗБОР

Невидимые метки в коде: цена доверия к ИИ

Скандал вокруг Claude Code от Anthropic обнажил не только технический баг, а фундаментальный разрыв между обещаниями безопасности и реальностью работы проприетарного ПО. Разработчики привыкли доверять инструментам, которые получают полный доступ к их репозиториям, учетным данным и внутренней инфраструктуре. Однако обнаруженная логика, скрывающая метаданные о пользователе внутри системного промпта, меняет правила игры. Это не случайная утечка, а намеренный механизм, работающий в обход стандартных каналов телеметрии.

Суть проблемы кроется в способе передачи информации. Вместо явных логов, которые легко отследить в сетевом трафике, клиент модифицирует невидимые символы Unicode и форматирование даты. Для человека строка «Today's date» выглядит идентично, но для сервера Anthropic она несет скрытый сигнал: три бита данных, указывающие на принадлежность пользователя к китайскому часовому поясу, использование специфических прокси или работу с доменами крупных технологических гигантов.

Важный нюанс: Скрытая передача данных через визуальную идентичность символов превращает сам текст запроса в канал управления, который невозможно отследить стандартными средствами защиты периметра.

Такой подход свидетельствует о переходе от пассивного сбора статистики к активному профилированию среды разработки. Если инструмент, которому вы доверяете свой исходный код, способен незаметно маркировать вас как «подозрительного» на основе часового пояса или используемого облачного провайдера, то граница между вашим рабочим пространством и сервером поставщика размывается. Это создает прецедент, когда конфиденциальность становится не функцией настройки, а скрытым параметром, зависящим от воли разработчика ПО.

Кто платит за скрытую защиту?

В центре конфликта стоит не столько вопрос приватности отдельных пользователей, сколько экономическая модель защиты интеллектуальной собственности. Исследователи предполагают, что цель внедрения такой логики — борьба с несанкционированной перепродажей Claude в Китае и предотвращение дистилляции (обучения) моделей конкурентами. В список «подозрительных» попали такие гиганты, как Baidu, Alibaba, ByteDance и ряд лабораторий ИИ.

Для бизнеса это создает парадоксальную ситуацию. С одной стороны, Anthropic защищает свои активы, предотвращая утечку проприетарных алгоритмов через обратную разработку. С другой стороны, методы защиты становятся непрозрачными и потенциально опасными для легальных клиентов. Если компания использует легальные прокси или работает в часовом поясе Asia/Shanghai, но не является частью «черного списка», она все равно попадает в зону риска.

Механизм проверки работает через переменную окружения ANTHROPIC_BASE_URL. Если адрес отличается от стандартного, клиент извлекает имя хоста и сверяет его с дешифрованным списком из 147 записей. Это означает, что любая попытка маршрутизации трафика через корпоративные шлюзы или специфические облачные решения может быть интерпретирована как попытка обхода ограничений.

Стоит учесть: Защита от кражи технологий превращается в инструмент тотального контроля, где любое отклонение от «стандартного» пути использования ПО может быть расценено как нарушение.

Кто становится жертвой в этой схватке? В первую очередь — корпоративные клиенты, использующие сложные сетевые архитектуры. Если Claude Code начнет блокировать или ограничивать функционал при обнаружении «подозрительных» меток, это приведет к простою разработки. Более того, сама возможность скрытого сбора данных подрывает доверие к инструменту. Разработчики, работающие с коммерческой тайной, не могут позволить себе инструмент, который может передать метаданные о их инфраструктуре третьим лицам или использовать их для внутреннего профилирования без явного согласия.

Системный кризис доверия в ИТ-индустрии

Ситуация с Claude Code — это лишь вершина айсберга. Она демонстрирует, как быстро меняется баланс сил между поставщиками ИИ-инструментов и их пользователями. Раньше телеметрия была прозрачной: пользователь видел, какие данные отправляются, и мог отключить их в настройках. Теперь же логика защиты встраивается в сам бинарный код, шифруется ключом XOR и скрывается в примечаниях к выпуску.

Для российского бизнеса и глобального рынка это сигнал к пересмотру политик безопасности. Если проприетарный код может содержать скрытые механизмы, реагирующие на геополитический контекст, то использование таких инструментов в критической инфраструктуре становится рискованным. Компании вынуждены выбирать между удобством мощных ИИ-ассистентов и риском потери контроля над своими данными.

Вероятно, что подобные инциденты ускорят переход к локальным решениям и открытым моделям, которые можно полностью проверить и запустить внутри периметра безопасности. Однако это потребует значительных инвестиций в вычислительные мощности и перестройки процессов разработки. Пока же доверие к «черным ящикам» от крупных вендоров будет падать, а требования к прозрачности кода — расти.

На фоне этого: Потеря прозрачности в работе ИИ-инструментов заставляет бизнес выбирать между эффективностью и безопасностью, где цена ошибки может исчисляться не только деньгами, но и репутацией.

В конечном счете, вопрос не в том, имеет ли право Anthropic защищать свои технологии, а в том, допустимо ли делать это ценой скрытого мониторинга пользователей. Если ответ отрицательный, то индустрия стоит на пороге нового этапа, где каждый байт кода, отправляемый на сервер, будет подвергаться строгой проверке на предмет скрытых намерений.

Геополитика в коде: от защиты до разведки

Ситуация усугубляется тем, что скрытый мониторинг не существует в вакууме. Он вписывается в более широкую стратегию Anthropic, которая сама активно участвует в формировании геополитического контекста. Компания, акцентирующая внимание на рисках ИИ, фактически спровоцировала введение администрацией США запрета на экспорт своих новейших моделей иностранным гражданам [!]. Риторика о безопасности стала инструментом, ограничивающим глобальное распространение технологий и создающим предпосылки для жесткого контроля доступа.

Более того, компания вводит обязательную верификацию по паспорту и биометрии для части пользователей, чьи аккаунты помечены как подозрительные [!]. Это создает мощную картину: вендор не только сканирует код на предмет «подозрительных» доменов, но и жестко идентифицирует личность пользователя, формируя «цифровое досье» под предлогом безопасности. Серверы провайдера верификации, на которых хранятся эти данные, могут подвергаться запросам со стороны американских государственных структур, что создает прямую угрозу утечки биометрии.

Судебное разбирательство с Министерством обороны США из-за рисков скрытого изменения поведения модели подтверждает, что проблема не в «баге», а в системном риске, который признают даже госструктуры [!]. Утечка кода показала, что ИИ-агент способен незаметно собирать файлы и скрывать свое авторство, используя фоновые процессы для передачи данных на серверы разработчика даже без прямого взаимодействия пользователя.

Наиболее тревожным аспектом является двойственное назначение технологий. Anthropic сама признала, что ИИ используется для кибершпионажа в 80–90% операций, включая создание эксплойтов и автономное картирование сетей [!]. Это переворачивает нарратив: компания не только защищает свой код от китайских конкурентов, но и использует свой же продукт как инструмент разведки, скрывая это от пользователей. Скрытый механизм сканирования китайских доменов в коде может быть лишь частью более масштабной системы сбора разведданных о технологической инфраструктуре потенциальных противников.

Что делать бизнесу?

В условиях, когда код может сканировать и маркировать вас, использование проприетарных ИИ-агентов в критической инфраструктуре без полной изоляции становится неприемлемым риском. Компании, такие как ServiceNow, уже используют гибридные стратегии, интегрируя модели Anthropic через единый шлюз наряду с другими решениями, чтобы не зависеть от одного поставщика [!]. Это позволяет минимизировать риски, связанные с блокировками или скрытым сбором данных.

Для российских компаний, где доверие к западному ПО и так подорвано, этот инцидент становится триггером для ускоренного перехода на локальные решения или фреймворки, обеспечивающие полную изоляцию данных. Фреймворк IBM CUGA, позволяющий гибко переключаться между провайдерами моделей без изменения кода, демонстрирует один из возможных путей решения проблемы [!]. Однако ключевым остается принцип: если вы не можете проверить код инструмента, вы не можете доверять ему свои данные.

Важный нюанс: В условиях, когда ИИ-инструменты становятся скрытыми агентами геополитики, единственной надежной защитой для бизнеса остается полная изоляция среды выполнения (air-gapped) или использование только открытых моделей с верифицируемым кодом.

В конечном счете, рынок движется к точке, где прозрачность станет главным конкурентным преимуществом. Компании, которые продолжат скрывать логику работы своих продуктов, рискуют потерять доверие не только разработчиков, но и корпоративных клиентов, для которых безопасность данных является приоритетом.

Коротко о главном

Какие китайские компании и лаборатории ИИ включены в список для проверки?

Программа сверяет хосты прокси с дешифрованным списком из 147 записей, куда входят такие организации, как Baidu, Alibaba, ByteDance и Moonshot AI. Наличие совпадения с этими доменами служит триггером для активации скрытых протоколов передачи метаданных.

Каким способом данные о геолокации и домене передаются на сервер?

Вместо использования стандартной телеметрии клиент модифицирует строку даты в системном промпте, меняя формат разделителя и заменяя апостроф на визуально идентичные символы Unicode. Это позволяет закодировать три бита информации о принадлежности пользователя к китайскому часовому поясу или целевой лаборатории, оставаясь незаметным для человека.

Почему обнаружение скрытого кода затруднено для обычных пользователей?

Реализация функции была намеренно скрыта внутри скомпилированного бинарного файла, а часть логики зашифрована с помощью XOR-ключа 91. Поскольку функция отсутствовала в примечаниях к выпуску версии 2.1.91, пользователи не могли знать о сборе данных при автоматическом согласовании прав доступа.

Какова предполагаемая цель внедрения механизма проверки по мнению исследователей?

Автор отчета считает, что логика направлена на выявление несанкционированной перепродажи сервиса Claude в Китае и предотвращение дистилляции проприетарных моделей китайскими лабораториями. Это объясняет необходимость скрытого сбора данных о принадлежности к конкретным технологическим компаниям.

Какие риски для безопасности разработчиков возникают из-за скрытой передачи метаданных?

Инструменты вроде Claude Code обладают правами на чтение файлов и выполнение команд, поэтому скрытая передача информации подрывает контроль над коммерческой тайной и инфраструктурными данными. Потеря прозрачности в работе клиента создает угрозу утечки чувствительной информации без ведома пользователя.

Какова текущая реакция компании Anthropic на обвинения в скрытом отслеживании?

На момент публикации компания не предоставила публичного ответа, не подтвердив и не опровергнув наличие описанной логики в своих продуктах. Отсутствие официальной позиции требует независимого анализа со стороны сообщества безопасности для оценки масштаба инцидента.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Искусственный интеллект (AI); Кибербезопасность

Оценка значимости: 4 из 10

Событие представляет собой локальный инцидент в сфере технологий, затрагивающий доверие к конкретному инструменту разработки, но не имеющий прямого влияния на широкую российскую аудиторию или экономику страны в текущий момент. Хотя проблема касается безопасности данных и может косвенно формировать тренды в регулировании ИИ, отсутствие подтвержденных фактов и фокус на китайском рынке не создают системных рисков для России в краткосрочной перспективе, что ограничивает значимость события.

Материалы по теме

Anthropic ограничили экспорт моделей из-за риторики о рисках

Упоминание запрета на экспорт новейших моделей иностранным гражданам, спровоцированного риторикой самой компании о рисках, служит доказательством того, что безопасность стала инструментом геополитического контроля и ограничения глобального доступа к технологиям.

Подробнее →
Anthropic вводит верификацию по паспорту и биометрии для части пользователей Claude

Факт введения обязательной верификации по паспорту и биометрии для подозрительных аккаунтов иллюстрирует переход от скрытого сканирования кода к жесткой идентификации личности, создавая угрозу утечки биометрических данных через серверы сторонних провайдеров.

Подробнее →
Утечка кода Claude Code: ИИ-агенты сканируют файлы и скрывают авторство

Ссылка на судебное разбирательство с Министерством обороны США подтверждает системный характер рисков скрытого изменения поведения модели, а упоминание способности агента незаметно собирать файлы и скрывать авторство подкрепляет тезис о превращении инструмента в скрытого шпиона.

Подробнее →
Google подтвердил первый случай использования ИИ для создания эксплойта нулевого дня

Данные о том, что 80–90% операций кибершпионажа выполняются с помощью ИИ, включая создание эксплойтов и картирование сетей, переворачивают нарратив: компания не только защищает свой код, но и использует продукт как инструмент разведки, скрывая это от пользователей.

Подробнее →
Дешевые токены ИИ создают ловушку: бизнес платит за смену поставщика

Пример гибридной стратегии ServiceNow, интегрирующей модели Anthropic через единый шлюз наряду с другими решениями, демонстрирует практический подход бизнеса к минимизации рисков зависимости от одного поставщика и блокировок.

Подробнее →
IBM представила фреймворк CUGA: внедрение ИИ-агентов за часы с встроенной безопасностью

Упоминание фреймворка IBM CUGA, позволяющего гибко переключаться между провайдерами без изменения кода, служит конкретным техническим решением для компаний, стремящихся сохранить контроль над данными и избежать ловушек проприетарного ПО.

Подробнее →