Безопасность ИИ и compliance 9 июля 2026 г. ~24 мин Claude Code NVDB

NVDB предупредил о риске бэкдора Claude Code
(2.1.91–2.1.196): технический разбор и руководство

Официальная квалификация NVDB · механизм стеганографии · запрет Alibaba · проверка / обновление / удаление

Терминал с claude --version для проверки затронутых версий Claude Code

Кратко: 8 июля 2026 китайская платформа обмена данными об угрозах и уязвимостях (NVDB, MIIT) опубликовала предупреждение: AI-инструмент программирования Claude Code от Anthropic в версиях v2.1.91–2.1.196 несёт серьёзный риск бэкдора — встроенный механизм мониторинга может передавать геолокацию и идентификаторы без согласия пользователя. Немедленно выполните claude --version; обновитесь до 2.1.197+ или удалите. Статья охватывает полную хронологию, кто реально затронут (не все пользователи), стеганографию, позиции NVDB / Anthropic / Alibaba, контекст дистилляции США–Китай, чеклисты для частных лиц и компаний, 8 FAQ. Технические детали: углублённый разбор стеганографии Claude Code.

01

Что произошло: предупреждение NVDB и хронология

8 июля 2026 NVDB опубликовал официальное предупреждение, квалифицировав встроенный механизм детекции как серьёзный риск бэкдора. Рекомендации: инвентаризация всех dev-терминалов, удаление или обновление, усиление контроля исходящего трафика в критических сегментах сети.

ПараметрСодержание
Характер рискаВстроенный мониторинг, передающий чувствительные данные без согласия
Передаваемые данныеГеографическое положение, идентификаторы и др.
Затронутые версииv2.1.91–2.1.196
Период релизов2 апреля — 29 июня 2026
Исправленная версияv2.1.197 (иногда v2.1.198, 1–2 июля 2026)
Реакция компанийAlibaba и другие ограничили или запретили Claude Code; замена — Qoder

Хронология (февраль — июль 2026)

  1. 02

    Февраль 2026: Anthropic объявляет инвестиции в анти-дистилляцию (классификаторы, поведенческие отпечатки, обмен разведданными).

  2. 03

    Март 2026: скрытый механизм детекции внедрён в Claude Code — без публичного раскрытия.

  3. 04

    2 апреля 2026: релиз v2.1.91, начинающий распространение кода.

  4. 06

    29 июня 2026: v2.1.196 — последняя затронутая версия.

  5. 06

    30 июня 2026: LegitMichel777 на Reddit; технический анализ Thereallo; реверс-отчёт Adnane Khan подтверждает v2.1.193/195/196.

  6. 07

    1 июля 2026: Thariq Shihipar на X признаёт «эксперимент» анти-злоупотребления/анти-дистилляции с марта; откат на следующий день.

  7. 07

    2 июля 2026: v2.1.197 удаляет код — в changelog не упомянуто.

  8. 07

    3–4 июля 2026: Reuters и TechCrunch: запрет Alibaba с 10 июля.

  9. 07

    8 июля 2026: официальное предупреждение NVDB — «серьёзный риск бэкдора».

  10. 07

    10 июля 2026: внутренний запрет Alibaba вступает в силу.

Цепочка событий: Anthropic закладывает детекцию пользователей из Китая → реверс-инжиниринг сообщества → извинения и откат → запрет Alibaba → регуляторная квалификация как бэкдор.

02

Кто реально затронут: условия срабатывания

Важное уточнение: скрытый механизм не действует для всех пользователей. Заголовки вроде «Claude Code следит за всеми» неточны.

Он активируется только если переменная ANTHROPIC_BASE_URL направляет API-запросы на неофициальный endpoint — корпоративный шлюз, сторонний прокси, реселлер API. Прямое использование api.anthropic.com не запускает этот путь.

Матрица решений по сценариям

СценарийДетекция активна?Рекомендация
Официальный api.anthropic.com + затронутая версияНетВсё равно обновиться до 2.1.197+ — спокойствие по compliance
ANTHROPIC_BASE_URL через прокси + затронутая версияДаНемедленное обновление или удаление; аудит исторического egress
Любой endpoint + 2.1.197 и вышеНет (удалено)Мониторить changelog и корпоративную политику
Корпоративные dev-станции (смешанные прокси)Зависит от конфигурацииАудит ANTHROPIC_BASE_URL и распределения версий
Самопроверка версии и прокси
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
# или
claude update
03

Технический механизм: стеганография в три шага

Спор касается стеганографии, а не обычной телеметрии. Отдельного канала отчётности нет — сам системный промпт, отправляемый модели, модифицируется. Adnane Khan определяет это как a covert information channel embedded in system prompts.

Шаг 1: разведка окружения

После срабатывания код проверяет: (1) часовой пояс Asia/Shanghai или Asia/Urumqi; (2) совпадение hostname ANTHROPIC_BASE_URL со встроенным чёрным списком из 147 записей — китайские tech-домены, ключевые слова AI-лабораторий (DeepSeek, Moonshot, Zhipu, MiniMax и др.), известные API-прокси. Список обфусцирован через XOR (ключ 91) + Base64.

Шаг 2: стеганографическое кодирование

СигналПроявлениеЗначение
Разделитель даты2026-06-302026/06/30Обнаружен китайский часовой пояс
Unicode-варианты апострофа (3 типа)Апостроф в Today's date is меняетсяКодирование: пояс / домен / AI-лаборатория

1 бит формата даты + 3 варианта апострофа кодируют ~3 бита информации об окружении в видимо нормальных английских фразах, отправляемых с каждым запросом на серверы Anthropic.

Шаг 3: отличие от «обычной телеметрии»

  1. 01

    Стеганография вместо обнаруживаемого пользователем канала телеметрии.

  2. 02

    Нет упоминания в changelog почти три месяца.

  3. 03

    Целевой fingerprinting определённых регионов и конкурентов.

  4. 04

    Инструмент имеет доступ к файловой системе и shell — толерантность к невидимому поведению должна быть низкой.

Документированное следствие: риск блокировки аккаунта, а не подтверждённой утечки данных — избегайте преувеличений.

04

Позиции сторон

NVDB / MIIT

Квалификация: серьёзный риск бэкдора. Встроенный мониторинг передаёт геолокацию и идентификаторы без согласия. Меры: аудит терминалов → удаление или обновление → контроль egress и мониторинг трафика.

Anthropic / Thariq Shihipar

На X (1 июля): «This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.» — квалификация как «эксперимент», не «бэкдор»; цель — анти-реселл и анти-дистилляция.

Контекст: Anthropic обвинила команду Qwen Alibaba в письме банковскому комитету Сената США в использовании ~25 000 мошеннических аккаунтов и 28,8 млн взаимодействий для дистилляции Claude.

Alibaba

По SCMP и Ars Technica, внутренняя записка: «As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.» С 10 июля 2026 запрет для всех сотрудников Claude Code и моделей Anthropic (Sonnet, Opus, Fable…); замена — Qoder.

ИсточникКлючевые терминыФокус
NVDB / MIITbackdoor / security backdoor risk / severe threatCompliance и эксфильтрация
CNBC / Reuterssecurity backdoor / built-in monitoringРегулятор + реакции компаний
The Registercovert code / secret steganographyТехническая ответственность + отсутствие раскрытия
Ars Technicaspyware-like tracking / secret trackerКризис доверия + политический анализ
Anthropicexperiment / anti-abuse / anti-distillationЗащита как легитимная мера
05

Контекст: спор о дистилляции ИИ США–Китай

Не изолированный инцидент, а симптом AI-конкуренции 2026 года:

  • Anthropic блокирует прямой доступ из Китая и «враждебных регионов» — обход через VPN, иностранные карты или прокси распространён.
  • Февраль 2026: исследователи Пекинского университета и Китайской академии наук публикуют работу о следах дистилляции в китайских моделях.
  • Anthropic ранее обвинял DeepSeek, Moonshot, MiniMax и Alibaba в использовании выходов Claude для обучения.
  • Claude Opus 4.8 в тестах ошибочно идентифицировал себя как Qwen/DeepSeek — неловко на фоне «детекции китайских пользователей».
  • Китайские компании переходят на собственные модели; Qoder Alibaba — конкретный пример.
06

Что делать сейчас: чеклисты

Индивидуальный разработчик (5 шагов)

  1. 01

    Выполнить claude --version — версия между 2.1.91 и 2.1.196?

  2. 02

    Проверить echo $ANTHROPIC_BASE_URL — неофициальный прокси?

  3. 03

    При затронутой версии: npm install -g @anthropic-ai/claude-code@latest или claude update.

  4. 04

    Полное удаление: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code (Windows: %USERPROFILE%\.claude и др.).

  5. 05

    Официальный endpoint или альтернативы — см. сравнение AI-помощников для кода.

Корпоративный IT / безопасность (5 шагов)

  1. 01

    Инвентаризация ПО всех dev-станций — установки и версии Claude Code.

  2. 02

    Аудит ANTHROPIC_BASE_URL в shell-профилях и CI-конфигах.

  3. 03

    Принудительное обновление или удаление — процесс «высокорискового ПО» по образцу Alibaba.

  4. 04

    Аудит egress — исходящий трафик к неавторизованным AI-endpoint'ам.

  5. 05

    Оценить внутренние альтернативы (Tongyi Lingma, Qoder, Cursor…) и определить compliance-whitelist.

ВерсияДата релизаСтатус
v2.1.912026-04-02Первая версия со скрытым механизмом
v2.1.1962026-06-29Последняя затронутая версия
v2.1.197 / 2.1.1982026-07-01/02Код детекции удалён
07

FAQ

v2.1.91–2.1.196: нераскрытый код детекции; NVDB — серьёзный риск бэкдора; Anthropic — анти-дистилляционный эксперимент, удалён в 2.1.197.

Нет. Активация только при ANTHROPIC_BASE_URL на неофициальный прокси или шлюз.

На 2.1.197+ с официальным endpoint риск для одиночных разработчиков существенно снижен; компаниям нужно оценить compliance и прецедент Alibaba.

Классификация как высокорисковое ПО; запрет для всех сотрудников с 10 июля; переход на Qoder.

Первичные источники: v2.1.197 (1 июля); некоторые китайские СМИ: v2.1.198. Рекомендация: «2.1.197 или выше».

Обучение модели на выходах другой. Anthropic нацеливал механизм на несанкционированный реселл и дистилляционные пайплайны — ключевой мотивационный контекст.

Для аудита egress или чувствительного кода: выделенный удалённый Mac + VNC — переменные окружения и права в графической сессии, отключение по завершении проекта.

Нет. Ни один затронутый changelog не упоминал механизм; признание и откат — после разоблачения сообществом.

Отказ от ответственности

Статья основана на предупреждении NVDB MIIT и публичных медиаотчётах. Предоставляется для технической и compliance-ориентации, не является юридической консультацией или заключением аудита безопасности. Оцените собственные политики перед удалением или блокировкой трафика.

Итог

Главный урок: высокопривилегированный AI-инструмент программирования со скрытым нераскрытым каналом — даже с мотивацией анти-дистилляции — вызывает регуляторную квалификацию и корпоративные запреты. Прокси, смешанные API-ключи и Claude Code на основной dev-машине недооценивают стоимость аудита версий и egress.

Для валидации Claude Code на macOS или сравнения альтернатив без загрязнения основной машины удалённый Mac VNCMac даёт изолированный узел: проверка версии, переменных окружения и графический аудит прав через VNC. Смотрите тарифы Mac mini M4 — почасовая аренда.