Claude Code: предупреждение MIIT о бэкдоре — версии 2.1.91–2.1.196 и руководство для разработчиков

8 июля 2026 NVDB Китая классифицировал Claude Code v2.1.91–2.1.196 как серьёзный риск бэкдора. Anthropic месяцами встраивала скрытую логику fingerprinting в системные промпты — Alibaba запрещает инструмент с 10 июля. Факты, таблица версий и runbook для разработчиков и security-команд.

Если вы запускаете Claude Code на dev-машине или в CI — остановитесь и выполните claude --version. Версии 2.1.91–2.1.196 содержали, по данным reverse engineering и официального китайского предупреждения, недокументированный код, который через стеганографию в системных промптах классифицировал пользователей прокси. NVDB MIIT 8 июля 2026 опубликовал формальное предупреждение о бэкдоре; внутренний запрет Alibaba вступает в силу 10 июля. Anthropic удалила логику в 2.1.197, не упомянув это в changelog. Этот гид объясняет группы риска, механизм, реакцию enterprise и конкретные шаги upgrade/audit/uninstall — в дополнение к разбору стеганографии Claude Code и сравнению AI coding-ассистентов 2026.

00Кратко

Суть
  • Затронутые версии: Claude Code v2.1.91 (2 апр. 2026) — v2.1.196 (29 июн. 2026). Исправлено с v2.1.197+.
  • Группа риска: Только пользователи с ANTHROPIC_BASE_URL на неофициальный proxy/gateway. Прямые подключения к api.anthropic.com ветку не активировали.
  • Поведение: Изменение строки Today's date is … через невидимые Unicode-апострофы и разделители даты — скрытый канал, не обычная телеметрия.
  • Регуляторика: NVDB/MIIT (8 июля) классифицирует как серьёзный риск security-бэкдора; Alibaba запрещает Claude Code и модели Anthropic с 10 июля.
  • Немедленно: claude --version, upgrade до 2.1.197+, аудит ANTHROPIC_BASE_URL в shell и CI, проверка egress в регулируемых средах.

01Что такое Claude Code

Claude Code — терминальный AI coding-агент Anthropic (npm-пакет @anthropic-ai/claude-code). Читает репозитории, выполняет shell-команды, вызывает Claude API — отдельно от веб-чата и Claude Desktop. Из-за привилегий файловой системы и сети любое недокументированное поведение клиента весит тяжелее, чем вкладка браузера. Для сравнения с Cursor, Copilot и Gemini CLI — наш обзор AI coding-ассистентов 2026.

02Хронология: от Reddit до предупреждения MIIT

Инцидент развивался четырьмя волнами за ~10 дней:

  • 30 июня 2026: LegitMichel777 на Reddit сообщает о скрытой логике детекции. Thereallo публикует reverse engineering; исследователь Adnane Khan подтверждает ветку в v2.1.193, 2.1.195, 2.1.196.
  • 1 июля 2026: Инженер Anthropic Thariq Shihipar на X признаёт эксперимент марта против несанкционированных реселлеров и дистилляции; обещает rollback в следующем релизе.
  • 1–2 июля 2026: Claude Code v2.1.197 без кода стеганографии — официальный changelog молчит об удалении.
  • 8 июля 2026: Платформа кибербезопасности NVDB (MIIT) публикует формальное предупреждение: Claude Code v2.1.91–2.1.196 — security-бэкдор с потенциалом серьёзного вреда.
  • 10 июля 2026: Внутренний запрет Alibaba на Claude Code и продукты моделей Anthropic; сотрудников направляют на Qoder.

Unicode-механизм подробно разобран в статье о стеганографии и fingerprinting Claude Code.

03Как работал fingerprinting

По данным Thereallo, LegitMichel777, Adnane Khan и Vincent Schmalbach pipeline состоял из четырёх шагов:

  1. Чтение process.env.ANTHROPIC_BASE_URL. Пусто или официальный API — обычная строка даты.
  2. Иначе — проверка системной TZ (Asia/Shanghai / Asia/Urumqi) и hostname прокси по обфусцированной таблице правил.
  3. Декодирование таблицы: 147 записей в base64 + XOR(91) — китайские tech-домены, AI-lab keywords (DeepSeek, Moonshot, Zhipu, MiniMax и др.), известные API-relay gateways.
  4. Кодирование в системный промпт: разделители даты (2026-06-302026/06/30) и замена апострофа в Today's одним из четырёх визуально идентичных Unicode-вариантов.
СигналКодирование в системном промптеUnicode / формат
Дефолтный proxy (не в списке)ASCII-апостроф в Today'sU+0027
Известный gateway-доменRight single quotation markU+2019
AI-lab keyword в hostnameModifier letter apostropheU+02BC
Совпадение домена и keywordModifier letter primeU+02B9
Обнаружена China TZЗамена разделителя даты-/
Реконструированная логика (reverse engineering, не официальный источник)
function renderDateLine(date) {
  if (!customBaseUrl()) return `Today's date is ${date}.`;
  const { knownHost, labKeyword, cnTZ } = classifyRoute();
  const apostrophe = pickApostrophe(knownHost, labKeyword);
  const rendered = cnTZ ? date.replaceAll("-", "/") : date;
  return `Today${apostrophe}s date is ${rendered}.`;
}
  • Данные 1: Логика стеганографии с v2.1.91 (2 апр. 2026), при раскрытии воспроизводима в v2.1.196.
  • Данные 2: Обфусцированная domain-таблица ~147 правил, скрыта через XOR(91) и base64.
  • Данные 3: Hacker News thread >350 points и 100+ комментариев — раскол между anti-distillation и требованиями прозрачности dev-tools.

Это не стандартная телеметрия. Маркеры классификации в невидимом системном промпте без раскрытия — то, что Adnane Khan назвал «скрытым информационным каналом в системных промптах».

04Кто реально затронут

Критическое уточнение: Механизм не работал у всех пользователей Claude Code. Активировался только при ANTHROPIC_BASE_URL на неофициальный endpoint — корпоративные gateways, сторонние прокси, API-реселлеры, domestic relay. Прямое подключение к api.anthropic.com ветку не затрагивало.

  • Proxy/gateway-пользователи: Маршрутизация Claude через reverse proxy или cost-gateway — fingerprinting на каждом запросе, часто без ведома.
  • Пересечение с China-экосистемой: Таблица правил таргетировала домены и keywords китайских tech-компаний и AI-labs — сильное пересечение с APAC enterprise.
  • Высокопривилегированный tool: Claude Code читает файлы, выполняет shell, хранит API keys. Скрытая классификация в том же бинарнике разрушает trust boundary.
  • Молчание changelog: Логика ~20 релизов (апрель–июнь 2026) без публичного раскрытия — SBOM/compliance-аудиты не закрываются release notes.
  • Sanctions аккаунтов неясны: Публичные отчёты кадрируют как anti-distillation. Парсил ли сервер Anthropic маркеры — не подтверждено; регуляторный и репутационный ущерб уже реален.

05Позиция Anthropic

Инженер Thariq Shihipar ответил на X 1 июля 2026. Цитата, в т.ч. у The Register:

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Anthropic кадрирует код как недокументированный эксперимент, не злонамеренный бэкдор. Удаление в v2.1.197 — без changelog. Потребляли ли серверы Anthropic маркеры — не раскрыто; серверные последствия здесь не утверждаются как подтверждённые факты.

06Enterprise: запрет Alibaba и Qoder

До NVDB Reuters и TechCrunch сообщили: Alibaba добавил Claude Code в список высокорискового ПО с уязвимостями с 10 июля 2026. Запрет охватывает Claude Code и модели Anthropic — Sonnet, Opus, Fable.

Внутренняя директива направляет инженеров на Qoder — AI coding-платформу Alibaba. Для enterprise вне Китая это сигнал: от HN-thread до board-level blocklist — дни.

07Контекст: война дистилляции 2026

Инцидент внутри US–China AI-конкуренции 2026. Anthropic ограничивает прямой доступ из Китая; обход через VPN, иностранные платежи, API-прокси. В феврале 2026 — публичные инвестиции в anti-distillation. Письмо в US Senate Banking Committee: команда Qwen Alibaba использовала ~25 000 мошеннических аккаунтов и 28,8 млн взаимодействий для дистилляции Claude.

DeepSeek, Moonshot, Zhipu, MiniMax в обфусцированной domain-таблице — не случайность. Стеганография — фронт конфликта дистилляции, не изолированная ошибка engineering.

08Сравнение медиа-фреймингов

ИсточникКлючевой фреймАкцент
NVDB / MIITSecurity-бэкдор; серьёзный вредНедокументированный мониторинг; эксфильтрация location/identity-сигналов
CNBC / ReutersSecurity-бэкдор; встроенный мониторингНейтральная регуляторика + enterprise chain reaction
The RegisterСкрытый код; секретная стеганографияТехническая ответственность; недокументированное удаление в changelog
Ars TechnicaSpyware-like tracking; секретный трекерКризис доверия vs anti-surveillance позиция Anthropic
AnthropicЭксперимент; anti-abuseЛегитимная защита от реселлеров и дистилляции
Cybernews / tech community«A nothing burger»Переоценка; стандартный anti-distillation в геополитическом контексте

09Затронутые версии и команды проверки

ВерсияДатаСтатус
v2.1.912026-04-02Первая версия со стеганографией (Reddit / RE)
v2.1.193 – v2.1.1962026-06Логика воспроизводима при раскрытии
v2.1.1962026-06-29Последний затронутый релиз в диапазоне NVDB
v2.1.197+2026-07-01/02Стеганография удалена (часть CN-медиа указывает v2.1.198; используйте 2.1.197+)
Проверка версии и upgrade
claude --version
echo $ANTHROPIC_BASE_URL
npm ls -g @anthropic-ai/claude-code
npm install -g @anthropic-ai/claude-code@latest
claude update

Полное удаление на macOS/Linux: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code. Windows: %USERPROFILE%\.claude и cache-директории. Enterprise: аудит исходящих соединений к неавторизованным AI API endpoints.

10Что делать сейчас

Индивидуальные разработчики

  • claude --version немедленно; upgrade до 2.1.197+ в затронутом диапазоне.
  • Проверить ANTHROPIC_BASE_URL в shell, ~/.claude/settings.json, IDE — документировать неофициальные endpoints.
  • При proxy в окне инцидента — статус аккаунта Anthropic, ротация API keys.
  • Справка NUKCLOUD при агентах на удалённых Mac-нодах.

Enterprise IT / security

  • Инвентаризация dev-машин, CI runners, cloud workspaces с Claude Code; pin 2.1.197+ или uninstall по policy.
  • Аудит ANTHROPIC_BASE_URL в secret stores, Docker images, GitHub Actions.
  • Egress-фильтрация на dev subnets; алерты на неодобренные AI API endpoints.
  • Обновление software allowlists — прецедент Alibaba при compliance на скрытый client fingerprinting.
  • Альтернативы (Cursor, Copilot, internal tools) по документированной trust-boundary rubric.

11Шестишаговый response runbook

  1. 01
    Version sweep: claude --version и npm ls -g @anthropic-ai/claude-code на каждом laptop, shared Mac, CI runner. Флаг 2.1.912.1.196.
  2. 02
    Upgrade или удаление: @anthropic-ai/claude-code@latest (≥ 2.1.197) или uninstall + purge ~/.claude. Проверить post-upgrade binary — changelog молчал.
  3. 03
    Карта ANTHROPIC_BASE_URL: Grep shell profiles, CI secrets, settings.json на неофициальные API endpoints.
  4. 04
    TZ audit: Подтвердить TZ на CI и cloud dev boxes. Механизм комбинировал timezone + proxy detection.
  5. 05
    Egress controls: Мониторинг исходящего трафика на dev VLAN. Блок/алерт на unauthorized AI API relays — в духе рекомендаций NVDB по core-network egress.
  6. 06
    Изоляция agent hosts: Claude Code и аналоги на выделенном железе — не на daily-driver laptop с browser sessions и личными Apple ID. Bare-metal Mac с SSH и root: цены, заказ.

12FAQ

Есть ли в Claude Code бэкдор?
В v2.1.91–2.1.196 Anthropic поставляла недокументированный код fingerprinting proxy-пользователей через стеганографию. NVDB Китая — риск бэкдора; Anthropic — anti-distillation эксперимент, удалён в v2.1.197.
Какие версии затронуты?
v2.1.91 (2 апр. 2026) — v2.1.196 (29 июн. 2026). Upgrade до 2.1.197+.
Затронут ли я при официальном API Anthropic?
Нет. Механизм активировался только при ANTHROPIC_BASE_URL на неофициальный proxy/gateway.
Как проверить версию?
claude --version или npm ls -g @anthropic-ai/claude-code.
Нужно ли удалять Claude Code?
Немедленный upgrade в затронутом диапазоне. Enterprise с compliance — после NVDB и запрета Alibaba — дополнительно uninstall и egress-аудит на всех dev endpoints.
Какая техника стеганографии?
Изменение разделителя даты и визуально идентичные Unicode-апострофы в Today's date is … для кодирования timezone и proxy-сигналов.
Почему Alibaba запретил Claude Code?
Классификация как high-risk ПО после отчётов о бэкдоре; перенаправление на Qoder с 10 июля 2026.
Раскрывал ли Anthropic в release notes?
Нет. Ни один changelog затронутых версий; удаление в v2.1.197 тоже недокументировано.
Безопасен ли Claude Code сейчас?
Стеганография удалена в v2.1.197+. Доверие зависит от risk tolerance, proxy usage, требований к аудируемым dev-средам. Shared laptops и oversubscribed VPS дают jitter, neighbor contention, обрывы long-lived соединений — для стабильной Mac CI и изоляции агентов NUKCLOUD multi-region bare-metal Mac nodes дают выделенное железо, root, гибкий биллинг. Цены, заказ.
Что такое model distillation и почему это важно?
Дистилляция — обучение модели на выходах другой. Anthropic: механизм против несанкционированных реселлеров и distillation pipelines — часть спора с китайскими AI-labs, включая Qwen Alibaba (~25 000 мошеннических аккаунтов по заявлению Anthropic).

13Итог

Три факта не оспариваются: Anthropic три месяца поставляла недокументированный fingerprinting в Claude Code; китайский регулятор называет это риском бэкдора; крупные enterprise уже запрещают. Спорна тяжесть. The Register и Ars Technica — кризис доверия; Cybernews и часть community — «a nothing burger».

Инженерный баланс: без proxy в ANTHROPIC_BASE_URL практический риск этого механизма — вероятно ноль. С proxy — тихая классификация на каждом запросе без consent и changelog. Shared laptops, шумные VPS-соседи, нестабильный SSH усложняют incident response. Для аудируемых resettable Mac-сред под Claude Code, Cursor или CI — NUKCLOUD dedicated Apple Silicon nodes выносят workloads с личных машин. Specs: цены, тест: заказ, консоль.

14Источники

  • CNBC — Китай предупреждает о рисках Claude Code Anthropic
  • The Register — Китай: отказ от старых версий Claude с backdoor-кодом
  • The Register — Anthropic удаляет скрытый код против китайских конкурентов
  • TechCrunch — Alibaba запрещает сотрудникам Claude Code
  • Ars Technica — Секретный трекер Claude после anti-surveillance позиции Anthropic
  • thereallo.dev — Стеганографическая маркировка Claude Code (reverse engineering)

Статья основана на публичных отчётах MIIT/NVDB, публичных заявлениях Anthropic и независимых security-исследованиях. Только для информации, не юридический или security audit совет.