Официальная квалификация NVDB · механизм стеганографии · запрет Alibaba · проверка / обновление / удаление
Кратко: 8 июля 2026 китайская платформа обмена данными об угрозах и уязвимостях (NVDB, MIIT) опубликовала предупреждение: AI-инструмент программирования Claude Code от Anthropic в версиях v2.1.91–2.1.196 несёт серьёзный риск бэкдора — встроенный механизм мониторинга может передавать геолокацию и идентификаторы без согласия пользователя. Немедленно выполните claude --version; обновитесь до 2.1.197+ или удалите. Статья охватывает полную хронологию, кто реально затронут (не все пользователи), стеганографию, позиции NVDB / Anthropic / Alibaba, контекст дистилляции США–Китай, чеклисты для частных лиц и компаний, 8 FAQ. Технические детали: углублённый разбор стеганографии Claude Code.
8 июля 2026 NVDB опубликовал официальное предупреждение, квалифицировав встроенный механизм детекции как серьёзный риск бэкдора. Рекомендации: инвентаризация всех dev-терминалов, удаление или обновление, усиление контроля исходящего трафика в критических сегментах сети.
| Параметр | Содержание |
|---|---|
| Характер риска | Встроенный мониторинг, передающий чувствительные данные без согласия |
| Передаваемые данные | Географическое положение, идентификаторы и др. |
| Затронутые версии | v2.1.91–2.1.196 |
| Период релизов | 2 апреля — 29 июня 2026 |
| Исправленная версия | v2.1.197 (иногда v2.1.198, 1–2 июля 2026) |
| Реакция компаний | Alibaba и другие ограничили или запретили Claude Code; замена — Qoder |
Февраль 2026: Anthropic объявляет инвестиции в анти-дистилляцию (классификаторы, поведенческие отпечатки, обмен разведданными).
Март 2026: скрытый механизм детекции внедрён в Claude Code — без публичного раскрытия.
2 апреля 2026: релиз v2.1.91, начинающий распространение кода.
29 июня 2026: v2.1.196 — последняя затронутая версия.
30 июня 2026: LegitMichel777 на Reddit; технический анализ Thereallo; реверс-отчёт Adnane Khan подтверждает v2.1.193/195/196.
1 июля 2026: Thariq Shihipar на X признаёт «эксперимент» анти-злоупотребления/анти-дистилляции с марта; откат на следующий день.
2 июля 2026: v2.1.197 удаляет код — в changelog не упомянуто.
3–4 июля 2026: Reuters и TechCrunch: запрет Alibaba с 10 июля.
8 июля 2026: официальное предупреждение NVDB — «серьёзный риск бэкдора».
10 июля 2026: внутренний запрет Alibaba вступает в силу.
Цепочка событий: Anthropic закладывает детекцию пользователей из Китая → реверс-инжиниринг сообщества → извинения и откат → запрет Alibaba → регуляторная квалификация как бэкдор.
Важное уточнение: скрытый механизм не действует для всех пользователей. Заголовки вроде «Claude Code следит за всеми» неточны.
Он активируется только если переменная ANTHROPIC_BASE_URL направляет API-запросы на неофициальный endpoint — корпоративный шлюз, сторонний прокси, реселлер API. Прямое использование api.anthropic.com не запускает этот путь.
| Сценарий | Детекция активна? | Рекомендация |
|---|---|---|
Официальный api.anthropic.com + затронутая версия | Нет | Всё равно обновиться до 2.1.197+ — спокойствие по compliance |
ANTHROPIC_BASE_URL через прокси + затронутая версия | Да | Немедленное обновление или удаление; аудит исторического egress |
| Любой endpoint + 2.1.197 и выше | Нет (удалено) | Мониторить changelog и корпоративную политику |
| Корпоративные dev-станции (смешанные прокси) | Зависит от конфигурации | Аудит ANTHROPIC_BASE_URL и распределения версий |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest # или claude update
Спор касается стеганографии, а не обычной телеметрии. Отдельного канала отчётности нет — сам системный промпт, отправляемый модели, модифицируется. Adnane Khan определяет это как a covert information channel embedded in system prompts.
После срабатывания код проверяет: (1) часовой пояс Asia/Shanghai или Asia/Urumqi; (2) совпадение hostname ANTHROPIC_BASE_URL со встроенным чёрным списком из 147 записей — китайские tech-домены, ключевые слова AI-лабораторий (DeepSeek, Moonshot, Zhipu, MiniMax и др.), известные API-прокси. Список обфусцирован через XOR (ключ 91) + Base64.
| Сигнал | Проявление | Значение |
|---|---|---|
| Разделитель даты | 2026-06-30 → 2026/06/30 | Обнаружен китайский часовой пояс |
| Unicode-варианты апострофа (3 типа) | Апостроф в Today's date is меняется | Кодирование: пояс / домен / AI-лаборатория |
1 бит формата даты + 3 варианта апострофа кодируют ~3 бита информации об окружении в видимо нормальных английских фразах, отправляемых с каждым запросом на серверы Anthropic.
Стеганография вместо обнаруживаемого пользователем канала телеметрии.
Нет упоминания в changelog почти три месяца.
Целевой fingerprinting определённых регионов и конкурентов.
Инструмент имеет доступ к файловой системе и shell — толерантность к невидимому поведению должна быть низкой.
Документированное следствие: риск блокировки аккаунта, а не подтверждённой утечки данных — избегайте преувеличений.
Квалификация: серьёзный риск бэкдора. Встроенный мониторинг передаёт геолокацию и идентификаторы без согласия. Меры: аудит терминалов → удаление или обновление → контроль egress и мониторинг трафика.
На X (1 июля): «This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.» — квалификация как «эксперимент», не «бэкдор»; цель — анти-реселл и анти-дистилляция.
Контекст: Anthropic обвинила команду Qwen Alibaba в письме банковскому комитету Сената США в использовании ~25 000 мошеннических аккаунтов и 28,8 млн взаимодействий для дистилляции Claude.
По SCMP и Ars Technica, внутренняя записка: «As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.» С 10 июля 2026 запрет для всех сотрудников Claude Code и моделей Anthropic (Sonnet, Opus, Fable…); замена — Qoder.
| Источник | Ключевые термины | Фокус |
|---|---|---|
| NVDB / MIIT | backdoor / security backdoor risk / severe threat | Compliance и эксфильтрация |
| CNBC / Reuters | security backdoor / built-in monitoring | Регулятор + реакции компаний |
| The Register | covert code / secret steganography | Техническая ответственность + отсутствие раскрытия |
| Ars Technica | spyware-like tracking / secret tracker | Кризис доверия + политический анализ |
| Anthropic | experiment / anti-abuse / anti-distillation | Защита как легитимная мера |
Не изолированный инцидент, а симптом AI-конкуренции 2026 года:
Выполнить claude --version — версия между 2.1.91 и 2.1.196?
Проверить echo $ANTHROPIC_BASE_URL — неофициальный прокси?
При затронутой версии: npm install -g @anthropic-ai/claude-code@latest или claude update.
Полное удаление: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code (Windows: %USERPROFILE%\.claude и др.).
Официальный endpoint или альтернативы — см. сравнение AI-помощников для кода.
Инвентаризация ПО всех dev-станций — установки и версии Claude Code.
Аудит ANTHROPIC_BASE_URL в shell-профилях и CI-конфигах.
Принудительное обновление или удаление — процесс «высокорискового ПО» по образцу Alibaba.
Аудит egress — исходящий трафик к неавторизованным AI-endpoint'ам.
Оценить внутренние альтернативы (Tongyi Lingma, Qoder, Cursor…) и определить compliance-whitelist.
| Версия | Дата релиза | Статус |
|---|---|---|
| v2.1.91 | 2026-04-02 | Первая версия со скрытым механизмом |
| v2.1.196 | 2026-06-29 | Последняя затронутая версия |
| v2.1.197 / 2.1.198 | 2026-07-01/02 | Код детекции удалён |
v2.1.91–2.1.196: нераскрытый код детекции; NVDB — серьёзный риск бэкдора; Anthropic — анти-дистилляционный эксперимент, удалён в 2.1.197.
Нет. Активация только при ANTHROPIC_BASE_URL на неофициальный прокси или шлюз.
На 2.1.197+ с официальным endpoint риск для одиночных разработчиков существенно снижен; компаниям нужно оценить compliance и прецедент Alibaba.
Классификация как высокорисковое ПО; запрет для всех сотрудников с 10 июля; переход на Qoder.
Первичные источники: v2.1.197 (1 июля); некоторые китайские СМИ: v2.1.198. Рекомендация: «2.1.197 или выше».
Обучение модели на выходах другой. Anthropic нацеливал механизм на несанкционированный реселл и дистилляционные пайплайны — ключевой мотивационный контекст.
Для аудита egress или чувствительного кода: выделенный удалённый Mac + VNC — переменные окружения и права в графической сессии, отключение по завершении проекта.
Нет. Ни один затронутый changelog не упоминал механизм; признание и откат — после разоблачения сообществом.
Статья основана на предупреждении NVDB MIIT и публичных медиаотчётах. Предоставляется для технической и compliance-ориентации, не является юридической консультацией или заключением аудита безопасности. Оцените собственные политики перед удалением или блокировкой трафика.
Главный урок: высокопривилегированный AI-инструмент программирования со скрытым нераскрытым каналом — даже с мотивацией анти-дистилляции — вызывает регуляторную квалификацию и корпоративные запреты. Прокси, смешанные API-ключи и Claude Code на основной dev-машине недооценивают стоимость аудита версий и egress.
Для валидации Claude Code на macOS или сравнения альтернатив без загрязнения основной машины удалённый Mac VNCMac даёт изолированный узел: проверка версии, переменных окружения и графический аудит прав через VNC. Смотрите тарифы Mac mini M4 — почасовая аренда.