Если вы запускаете Claude Code на dev-машине или в CI — остановитесь и выполните claude --version. Версии 2.1.91–2.1.196 содержали, по данным reverse engineering и официального китайского предупреждения, недокументированный код, который через стеганографию в системных промптах классифицировал пользователей прокси. NVDB MIIT 8 июля 2026 опубликовал формальное предупреждение о бэкдоре; внутренний запрет Alibaba вступает в силу 10 июля. Anthropic удалила логику в 2.1.197, не упомянув это в changelog. Этот гид объясняет группы риска, механизм, реакцию enterprise и конкретные шаги upgrade/audit/uninstall — в дополнение к разбору стеганографии Claude Code и сравнению AI coding-ассистентов 2026.
00Кратко
- Затронутые версии: Claude Code v2.1.91 (2 апр. 2026) — v2.1.196 (29 июн. 2026). Исправлено с v2.1.197+.
- Группа риска: Только пользователи с
ANTHROPIC_BASE_URLна неофициальный proxy/gateway. Прямые подключения кapi.anthropic.comветку не активировали. - Поведение: Изменение строки
Today's date is …через невидимые Unicode-апострофы и разделители даты — скрытый канал, не обычная телеметрия. - Регуляторика: NVDB/MIIT (8 июля) классифицирует как серьёзный риск security-бэкдора; Alibaba запрещает Claude Code и модели Anthropic с 10 июля.
- Немедленно:
claude --version, upgrade до 2.1.197+, аудитANTHROPIC_BASE_URLв shell и CI, проверка egress в регулируемых средах.
01Что такое Claude Code
Claude Code — терминальный AI coding-агент Anthropic (npm-пакет @anthropic-ai/claude-code). Читает репозитории, выполняет shell-команды, вызывает Claude API — отдельно от веб-чата и Claude Desktop. Из-за привилегий файловой системы и сети любое недокументированное поведение клиента весит тяжелее, чем вкладка браузера. Для сравнения с Cursor, Copilot и Gemini CLI — наш обзор AI coding-ассистентов 2026.
02Хронология: от Reddit до предупреждения MIIT
Инцидент развивался четырьмя волнами за ~10 дней:
- 30 июня 2026: LegitMichel777 на Reddit сообщает о скрытой логике детекции. Thereallo публикует reverse engineering; исследователь Adnane Khan подтверждает ветку в v2.1.193, 2.1.195, 2.1.196.
- 1 июля 2026: Инженер Anthropic Thariq Shihipar на X признаёт эксперимент марта против несанкционированных реселлеров и дистилляции; обещает rollback в следующем релизе.
- 1–2 июля 2026: Claude Code v2.1.197 без кода стеганографии — официальный changelog молчит об удалении.
- 8 июля 2026: Платформа кибербезопасности NVDB (MIIT) публикует формальное предупреждение: Claude Code v2.1.91–2.1.196 — security-бэкдор с потенциалом серьёзного вреда.
- 10 июля 2026: Внутренний запрет Alibaba на Claude Code и продукты моделей Anthropic; сотрудников направляют на Qoder.
Unicode-механизм подробно разобран в статье о стеганографии и fingerprinting Claude Code.
03Как работал fingerprinting
По данным Thereallo, LegitMichel777, Adnane Khan и Vincent Schmalbach pipeline состоял из четырёх шагов:
- Чтение
process.env.ANTHROPIC_BASE_URL. Пусто или официальный API — обычная строка даты. - Иначе — проверка системной TZ (
Asia/Shanghai/Asia/Urumqi) и hostname прокси по обфусцированной таблице правил. - Декодирование таблицы: 147 записей в base64 + XOR(91) — китайские tech-домены, AI-lab keywords (DeepSeek, Moonshot, Zhipu, MiniMax и др.), известные API-relay gateways.
- Кодирование в системный промпт: разделители даты (
2026-06-30→2026/06/30) и замена апострофа вToday'sодним из четырёх визуально идентичных Unicode-вариантов.
| Сигнал | Кодирование в системном промпте | Unicode / формат |
|---|---|---|
| Дефолтный proxy (не в списке) | ASCII-апостроф в Today's | U+0027 |
| Известный gateway-домен | Right single quotation mark | U+2019 |
| AI-lab keyword в hostname | Modifier letter apostrophe | U+02BC |
| Совпадение домена и keyword | Modifier letter prime | U+02B9 |
| Обнаружена China TZ | Замена разделителя даты | - → / |
function renderDateLine(date) {
if (!customBaseUrl()) return `Today's date is ${date}.`;
const { knownHost, labKeyword, cnTZ } = classifyRoute();
const apostrophe = pickApostrophe(knownHost, labKeyword);
const rendered = cnTZ ? date.replaceAll("-", "/") : date;
return `Today${apostrophe}s date is ${rendered}.`;
}
- Данные 1: Логика стеганографии с v2.1.91 (2 апр. 2026), при раскрытии воспроизводима в v2.1.196.
- Данные 2: Обфусцированная domain-таблица ~147 правил, скрыта через XOR(91) и base64.
- Данные 3: Hacker News thread >350 points и 100+ комментариев — раскол между anti-distillation и требованиями прозрачности dev-tools.
Это не стандартная телеметрия. Маркеры классификации в невидимом системном промпте без раскрытия — то, что Adnane Khan назвал «скрытым информационным каналом в системных промптах».
04Кто реально затронут
Критическое уточнение: Механизм не работал у всех пользователей Claude Code. Активировался только при ANTHROPIC_BASE_URL на неофициальный endpoint — корпоративные gateways, сторонние прокси, API-реселлеры, domestic relay. Прямое подключение к api.anthropic.com ветку не затрагивало.
- Proxy/gateway-пользователи: Маршрутизация Claude через reverse proxy или cost-gateway — fingerprinting на каждом запросе, часто без ведома.
- Пересечение с China-экосистемой: Таблица правил таргетировала домены и keywords китайских tech-компаний и AI-labs — сильное пересечение с APAC enterprise.
- Высокопривилегированный tool: Claude Code читает файлы, выполняет shell, хранит API keys. Скрытая классификация в том же бинарнике разрушает trust boundary.
- Молчание changelog: Логика ~20 релизов (апрель–июнь 2026) без публичного раскрытия — SBOM/compliance-аудиты не закрываются release notes.
- Sanctions аккаунтов неясны: Публичные отчёты кадрируют как anti-distillation. Парсил ли сервер Anthropic маркеры — не подтверждено; регуляторный и репутационный ущерб уже реален.
05Позиция Anthropic
Инженер Thariq Shihipar ответил на X 1 июля 2026. Цитата, в т.ч. у The Register:
Anthropic кадрирует код как недокументированный эксперимент, не злонамеренный бэкдор. Удаление в v2.1.197 — без changelog. Потребляли ли серверы Anthropic маркеры — не раскрыто; серверные последствия здесь не утверждаются как подтверждённые факты.
06Enterprise: запрет Alibaba и Qoder
До NVDB Reuters и TechCrunch сообщили: Alibaba добавил Claude Code в список высокорискового ПО с уязвимостями с 10 июля 2026. Запрет охватывает Claude Code и модели Anthropic — Sonnet, Opus, Fable.
Внутренняя директива направляет инженеров на Qoder — AI coding-платформу Alibaba. Для enterprise вне Китая это сигнал: от HN-thread до board-level blocklist — дни.
07Контекст: война дистилляции 2026
Инцидент внутри US–China AI-конкуренции 2026. Anthropic ограничивает прямой доступ из Китая; обход через VPN, иностранные платежи, API-прокси. В феврале 2026 — публичные инвестиции в anti-distillation. Письмо в US Senate Banking Committee: команда Qwen Alibaba использовала ~25 000 мошеннических аккаунтов и 28,8 млн взаимодействий для дистилляции Claude.
DeepSeek, Moonshot, Zhipu, MiniMax в обфусцированной domain-таблице — не случайность. Стеганография — фронт конфликта дистилляции, не изолированная ошибка engineering.
08Сравнение медиа-фреймингов
| Источник | Ключевой фрейм | Акцент |
|---|---|---|
| NVDB / MIIT | Security-бэкдор; серьёзный вред | Недокументированный мониторинг; эксфильтрация location/identity-сигналов |
| CNBC / Reuters | Security-бэкдор; встроенный мониторинг | Нейтральная регуляторика + enterprise chain reaction |
| The Register | Скрытый код; секретная стеганография | Техническая ответственность; недокументированное удаление в changelog |
| Ars Technica | Spyware-like tracking; секретный трекер | Кризис доверия vs anti-surveillance позиция Anthropic |
| Anthropic | Эксперимент; anti-abuse | Легитимная защита от реселлеров и дистилляции |
| Cybernews / tech community | «A nothing burger» | Переоценка; стандартный anti-distillation в геополитическом контексте |
09Затронутые версии и команды проверки
| Версия | Дата | Статус |
|---|---|---|
| v2.1.91 | 2026-04-02 | Первая версия со стеганографией (Reddit / RE) |
| v2.1.193 – v2.1.196 | 2026-06 | Логика воспроизводима при раскрытии |
| v2.1.196 | 2026-06-29 | Последний затронутый релиз в диапазоне NVDB |
| v2.1.197+ | 2026-07-01/02 | Стеганография удалена (часть CN-медиа указывает v2.1.198; используйте 2.1.197+) |
claude --version
echo $ANTHROPIC_BASE_URL
npm ls -g @anthropic-ai/claude-code
npm install -g @anthropic-ai/claude-code@latest
claude update
Полное удаление на macOS/Linux: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code. Windows: %USERPROFILE%\.claude и cache-директории. Enterprise: аудит исходящих соединений к неавторизованным AI API endpoints.
10Что делать сейчас
Индивидуальные разработчики
claude --versionнемедленно; upgrade до 2.1.197+ в затронутом диапазоне.- Проверить
ANTHROPIC_BASE_URLв shell,~/.claude/settings.json, IDE — документировать неофициальные endpoints. - При proxy в окне инцидента — статус аккаунта Anthropic, ротация API keys.
- Справка NUKCLOUD при агентах на удалённых Mac-нодах.
Enterprise IT / security
- Инвентаризация dev-машин, CI runners, cloud workspaces с Claude Code; pin 2.1.197+ или uninstall по policy.
- Аудит
ANTHROPIC_BASE_URLв secret stores, Docker images, GitHub Actions. - Egress-фильтрация на dev subnets; алерты на неодобренные AI API endpoints.
- Обновление software allowlists — прецедент Alibaba при compliance на скрытый client fingerprinting.
- Альтернативы (Cursor, Copilot, internal tools) по документированной trust-boundary rubric.
11Шестишаговый response runbook
-
01
Version sweep:
claude --versionиnpm ls -g @anthropic-ai/claude-codeна каждом laptop, shared Mac, CI runner. Флаг 2.1.91–2.1.196. -
02
Upgrade или удаление:
@anthropic-ai/claude-code@latest(≥ 2.1.197) или uninstall + purge~/.claude. Проверить post-upgrade binary — changelog молчал. -
03
Карта
ANTHROPIC_BASE_URL: Grep shell profiles, CI secrets,settings.jsonна неофициальные API endpoints. -
04
TZ audit: Подтвердить
TZна CI и cloud dev boxes. Механизм комбинировал timezone + proxy detection. -
05
Egress controls: Мониторинг исходящего трафика на dev VLAN. Блок/алерт на unauthorized AI API relays — в духе рекомендаций NVDB по core-network egress.
- 06
12FAQ
ANTHROPIC_BASE_URL на неофициальный proxy/gateway.claude --version или npm ls -g @anthropic-ai/claude-code.Today's date is … для кодирования timezone и proxy-сигналов.13Итог
Три факта не оспариваются: Anthropic три месяца поставляла недокументированный fingerprinting в Claude Code; китайский регулятор называет это риском бэкдора; крупные enterprise уже запрещают. Спорна тяжесть. The Register и Ars Technica — кризис доверия; Cybernews и часть community — «a nothing burger».
Инженерный баланс: без proxy в ANTHROPIC_BASE_URL практический риск этого механизма — вероятно ноль. С proxy — тихая классификация на каждом запросе без consent и changelog. Shared laptops, шумные VPS-соседи, нестабильный SSH усложняют incident response. Для аудируемых resettable Mac-сред под Claude Code, Cursor или CI — NUKCLOUD dedicated Apple Silicon nodes выносят workloads с личных машин. Specs: цены, тест: заказ, консоль.
14Источники
- CNBC — Китай предупреждает о рисках Claude Code Anthropic
- The Register — Китай: отказ от старых версий Claude с backdoor-кодом
- The Register — Anthropic удаляет скрытый код против китайских конкурентов
- TechCrunch — Alibaba запрещает сотрудникам Claude Code
- Ars Technica — Секретный трекер Claude после anti-surveillance позиции Anthropic
- thereallo.dev — Стеганографическая маркировка Claude Code (reverse engineering)
Статья основана на публичных отчётах MIIT/NVDB, публичных заявлениях Anthropic и независимых security-исследованиях. Только для информации, не юридический или security audit совет.