Безопасность ИИ и приватность 3 июля 2026 около 22 мин Claude Code Стеганография

Скандал Claude Code стеганография
Как Anthropic помечает вас одним апострофом

Тихая инъекция в браузер vs Unicode-отпечаток в промпте · события A/B · антидистилляция · чеклист защиты

Схема: Unicode-апостроф как скрытый отпечаток в системных промптах Claude Code

Кратко: в конце июня 2026, по отчёту реверса thereallo.dev, Claude Code (не веб-версия) при неофициальной ANTHROPIC_BASE_URL менял строку Today's date is... в системном промпте через текстовую стеганографию — переключая разделитель даты и Unicode-апостроф, почти неразличимый глазом, чтобы незаметно передать на сервер сигналы о китайском часовом поясе, доменах или AI-лабораториях. Anthropic удалил код в 2.1.197. Цель, вероятно, антидистилляция и борьба с несанкционированной перепродажей; спор вызывает скрытая обфусцированная реализация. В апреле 2026 было отдельное событие: Claude Desktop тихо записывал манифесты Native Messaging в браузеры. Два инцидента часто смешивают — здесь они строго разделены. В статье: таблица A/B, Unicode-маппинг, дебаты HN, пять шагов защиты, доверие к вендорам, FAQ. См. также разбор IPO Anthropic и сравнение AI-помощников для кода.

01

Два события, не путать: A и B

Многие репосты сливают два независимых, но связанных инцидента в один. Технические читатели (HN, Reddit, безопасность) сразу видят фактические ошибки. Перед публикацией разделяйте:

ИзмерениеСобытие A: тихая инъекция в браузерСобытие B: стеганография системного промпта
ПродуктClaude Desktop (клиент macOS)Claude Code (CLI-инструмент для кода)
ИсточникAlexander Hanff (The Register)Реверс разработчиков на thereallo.dev, Reddit → HN
ДатаАпрель 2026 (с ~18.04)30 июня 2026
ПоведениеТихая запись com.anthropic.claude_browser_extension.json, предварительное разрешение 3 ID расширений для chrome-native-host вне песочницы; создание каталогов без установленного браузера; файл восстанавливается после удаления и перезапускаПри ANTHROPIC_BASE_URL ≠ api.anthropic.com стеганографическое изменение Today's date is...
Меткаspyware / backdoorprompt steganography / covert channel
ТриггерУстановка/запуск Claude DesktopТолько неофициальная Base URL; не при каждом чате обязательно
Ответ AnthropicОфициальной позиции нет; позже добавлен переключатель разрешений, базовая модель прав осталасьКод признан, удалён в 2.1.197 01.07, changelog без упоминания

Проверяемые факты: независимый консультант Noah Kenney (Digital 520) подтвердил воспроизводимость технических утверждений Hanff. Antiy Labs опубликовал анализ рисков высокопривилегированного браузерного канала Claude Desktop. Тред HN за несколько часов вышел на главную с 350+ баллами и 100+ комментариями, раскол между «разумной антидистилляцией» и «почти злонамеренно для dev-инструмента».

Почему разработчики чувствуют предательство

  1. 01

    Нераскрыто + намеренная обфускация: списки доменов/ключевых слов в base64 + XOR(91), около 147 правил, присутствуют в 2.1.193/195/196.

  2. 02

    Красная линия доверия dev-инструментов: Claude Code живёт на доверии разработчиков. Скрытие сигналов классификации в пунктуации одна фракция HN назвала «malware-adjacent».

  3. 03

    Desktop готовит высокопривилегированный канал: даже без текущей эксплуатации прокладывается путь вне песочницы браузера. Anthropic указывает для Claude for Chrome успешность prompt injection 23,6% без смягчения, 11,2% со смягчением.

  4. 04

    Риск compliance и E-E-A-T: подавать намерение как установленный факт вредит доверию. Используйте «по отчёту/alleged»; отделяйте цель (антидистилляция) и средство (стеганография).

02

Как работает стеганография: таблица Unicode

Условие: только если ANTHROPIC_BASE_URL указывает на неофициальный адрес (прокси, шлюз, реселлер, OpenAI-совместимый слой). Официальный api.anthropic.com не трогается.

После срабатывания программа меняет два элемента в безобидной строке Today's date is ...:

ОбнаруженоФормат датыСимвол апострофаUnicode
По умолчанию (нет совпадения)2026-06-30' стандартный ASCII-апострофU+0027
Китайский домен института/дилера2026-06-30' правая одинарная кавычкаU+2019
Ключевые слова AI-лаб (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai и др.)2026-06-30ʼ модификаторный апострофU+02BC
Домен + лаб оба2026-06-30ʹ модификаторный штрихU+02B9
Дополнительно китайский пояс (Asia/Shanghai / Asia/Urumqi)2026/06/30(правила апострофа как выше)

Проще говоря: запрос выглядит как обычный английский промпт, но бэкенд читает разделитель даты и Unicode апострофа и может пометить: «пользователь с зарубежным VPN, но в китайском поясе, возможно китайская AI-лаборатория». Типичный скрытый канал (covert channel).

Проверка переменной окружения (триггер события B)
echo $ANTHROPIC_BASE_URL
# Если задана и не https://api.anthropic.com → логика отпечатка могла сработать
claude --version  # проверить ≥ 2.1.197
03

Зачем Anthropic это сделал? Мотив и споры

Сдержанный консенсус сообщества: цель — антидистилляция и борьба с несанкционированной перепродажей. Anthropic, OpenAI и Google публично беспокоятся, что конкуренты массово забирают вывод API для обучения малых моделей. Китайские прокси, реселлеры и лаборатории — главные подозреваемые.

«Цель понятна, метод — проблема» — сделать классификацию невидимой и прятать обфусцированный код в каждый запрос пересекает красную линию для инструмента, построенного на доверии разработчиков.

Лагерь HN / сообществаПозицияПрактический вывод
ЗащитникиЗаконная антидистилляция, защита инвестиций в модельПонимать коммерческий мотив, отвергать скрытую реализацию
КритикиПочти злонамеренно для dev-инструмента; нужны раскрытие и выключательТребовать прозрачность, аудируемость, opt-out
БезопасностьСобытие A готовит выход из песочницы; риск prompt injection реаленDesktop-агент как высокопривилегированная программа
04

Это шпионское ПО?

«Spyware» — эмоционально заряженная метка. Точнее:

  • Событие A ближе к «несанкционированное изменение стороннего ПО + подготовленная спящая поверхность атаки» — даже без эксплуатации прокладывается высокопривилегированный канал вне песочницы браузера.
  • Событие B ближе к «нераскрытая скрытая телеметрия / классификация пользователей».

Называть ли spyware — центральный вопрос один: без информированного согласия и намеренно скрыто.

05

Самопроверка и защита: пять шагов

  1. 01

    Проверить Base URL: задана ли ANTHROPIC_BASE_URL? Официальная точка → событие B не срабатывает. Обновить Claude Code до 2.1.197+.

  2. 02

    Native Messaging (событие A): на macOS проверить ~/Library/Application Support/<браузер>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json и удалить при необходимости. Claude Desktop может пересоздать файл.

  3. 03

    Пояс + прокси: VPN + китайский пояс + сторонний API-шлюз по отчёту чаще попадали под правила отпечатка. В продакшене документируйте маршрутизацию.

  4. 04

    Корпоративные / чувствительные среды: оцените, оставлять ли Desktop-агентов в продакшене. Минимальные права, явное разрешение, аудируемость. См. одобрения VNC и изоляция OpenClaw.

  5. 05

    Изолированная приёмка: запускайте Claude Code на арендованном удалённом Mac + VNC, графически проверяйте «Конфиденциальность и безопасность», каталоги Native Messaging и диалоги связки ключей; по завершении проекта смените узел или отмените аренду.

macOS: манифесты Native Messaging по браузерам
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do
  f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
06

Когда вендоры ИИ переступают границы

Предупреждение не в апострофе, а в разрыве: возможности моделей растут взрывно, а границы безопасности, разрешения и аудит отстают — и вендоры под предлогом UX или борьбы с злоупотреблениями пересекают границы доверия. Дыры безопасности PC и смартфонов повторяются на настольных AI-агентах.

  1. 01

    Недоверие по умолчанию, факты вперёд: воспроизводимо, аудируемо, отключаемо — тогда доверие.

  2. 02

    Требовать раскрытия: антидистилляция может быть прозрачной — публичное объяснение и переключатель, не пунктуация.

  3. 03

    Минимальные права + изоляция: любой Desktop-агент как высокопривилегированное ПО.

  4. 04

    Голосование ногами + регулирование: GDPR, законы о данных и выбор рынка ограничивают «технику без границ».

Техника может быть нейтральной, компания — нет. Больше силы требует большей самоограниченности — не секрета, который пользователь обнаруживает реверсом бинарника.

Источники

The Register (Claude Desktop, 2026-04); Malwarebytes / gHacks / YOOTA; thereallo.dev (оригинальный реверс); Tech Startups / TMC Insight / Developers Digest / TechTimes (исправление 2.1.197); анализ Antiy Labs.

FAQ

Частые вопросы

Не в классическом смысле, но по реверсу встраивались нераскрытые обфусцированные отпечатки. Anthropic удалил их в 2.1.197. Точнее: нераскрытый скрытый канал.

Событие B касается только Claude Code с неофициальной ANTHROPIC_BASE_URL. Официальная конечная точка не затронута.

По отчёту — только при нестандартной Base URL: Asia/Shanghai / Asia/Urumqi и кодирование через разделитель даты. Официальная точка не меняет строку даты.

Апостроф в Today's переключается между U+0027, U+2019, U+02BC и U+02B9, кодируя китайские домены, ключевые слова AI-лаб или оба.

Доминирующая интерпретация: обнаружение дистилляции моделей и несанкционированной перепродажи API. Законная цель, скрытая реализация проблематична.

Нет. Апрель: Hanff — Native Messaging Desktop (событие A). Июнь: thereallo.dev — стеганография Code (событие B).

В ~/Library/Application Support/<браузер>/NativeMessagingHosts/ удалите com.anthropic.claude_browser_extension.json. Перезапуск Claude Desktop может восстановить файл; отключите Desktop или проверьте версию.

Для чувствительного кода или аудита системы: независимый удалённый Mac + VNC, графическая проверка Native Messaging и TCC, отмена аренды по завершении — меньше риска для основной машины.

Заключение

Скандал Claude стеганография показывает: когда AI-агенты могут менять браузеры и переписывать системные промпты, риски на локальной основной dev-машине (остатки прав, неаудируемые каналы, обфусцированная телеметрия) недооцениваются. Claude Code на Windows/Linux возможен, но Native Messaging Claude Desktop и диалоги macOS требуют настоящей графической сессии macOS для полной приёмки.

Арендуйте удалённый Mac VNCMac, установите Claude Code на изолированном узле, проверьте по VNC манифесты браузера и настройки конфиденциальности, отмените аренду по завершении проекта — контролируемее, чем высокопривилегированный агент на личной основной машине. Тарифы Mac mini M4 и справка SSH-VNC для старта.