Тихая инъекция в браузер vs Unicode-отпечаток в промпте · события A/B · антидистилляция · чеклист защиты
Кратко: в конце июня 2026, по отчёту реверса thereallo.dev, Claude Code (не веб-версия) при неофициальной ANTHROPIC_BASE_URL менял строку Today's date is... в системном промпте через текстовую стеганографию — переключая разделитель даты и Unicode-апостроф, почти неразличимый глазом, чтобы незаметно передать на сервер сигналы о китайском часовом поясе, доменах или AI-лабораториях. Anthropic удалил код в 2.1.197. Цель, вероятно, антидистилляция и борьба с несанкционированной перепродажей; спор вызывает скрытая обфусцированная реализация. В апреле 2026 было отдельное событие: Claude Desktop тихо записывал манифесты Native Messaging в браузеры. Два инцидента часто смешивают — здесь они строго разделены. В статье: таблица A/B, Unicode-маппинг, дебаты HN, пять шагов защиты, доверие к вендорам, FAQ. См. также разбор IPO Anthropic и сравнение AI-помощников для кода.
Многие репосты сливают два независимых, но связанных инцидента в один. Технические читатели (HN, Reddit, безопасность) сразу видят фактические ошибки. Перед публикацией разделяйте:
| Измерение | Событие A: тихая инъекция в браузер | Событие B: стеганография системного промпта |
|---|---|---|
| Продукт | Claude Desktop (клиент macOS) | Claude Code (CLI-инструмент для кода) |
| Источник | Alexander Hanff (The Register) | Реверс разработчиков на thereallo.dev, Reddit → HN |
| Дата | Апрель 2026 (с ~18.04) | 30 июня 2026 |
| Поведение | Тихая запись com.anthropic.claude_browser_extension.json, предварительное разрешение 3 ID расширений для chrome-native-host вне песочницы; создание каталогов без установленного браузера; файл восстанавливается после удаления и перезапуска | При ANTHROPIC_BASE_URL ≠ api.anthropic.com стеганографическое изменение Today's date is... |
| Метка | spyware / backdoor | prompt steganography / covert channel |
| Триггер | Установка/запуск Claude Desktop | Только неофициальная Base URL; не при каждом чате обязательно |
| Ответ Anthropic | Официальной позиции нет; позже добавлен переключатель разрешений, базовая модель прав осталась | Код признан, удалён в 2.1.197 01.07, changelog без упоминания |
Проверяемые факты: независимый консультант Noah Kenney (Digital 520) подтвердил воспроизводимость технических утверждений Hanff. Antiy Labs опубликовал анализ рисков высокопривилегированного браузерного канала Claude Desktop. Тред HN за несколько часов вышел на главную с 350+ баллами и 100+ комментариями, раскол между «разумной антидистилляцией» и «почти злонамеренно для dev-инструмента».
Нераскрыто + намеренная обфускация: списки доменов/ключевых слов в base64 + XOR(91), около 147 правил, присутствуют в 2.1.193/195/196.
Красная линия доверия dev-инструментов: Claude Code живёт на доверии разработчиков. Скрытие сигналов классификации в пунктуации одна фракция HN назвала «malware-adjacent».
Desktop готовит высокопривилегированный канал: даже без текущей эксплуатации прокладывается путь вне песочницы браузера. Anthropic указывает для Claude for Chrome успешность prompt injection 23,6% без смягчения, 11,2% со смягчением.
Риск compliance и E-E-A-T: подавать намерение как установленный факт вредит доверию. Используйте «по отчёту/alleged»; отделяйте цель (антидистилляция) и средство (стеганография).
Условие: только если ANTHROPIC_BASE_URL указывает на неофициальный адрес (прокси, шлюз, реселлер, OpenAI-совместимый слой). Официальный api.anthropic.com не трогается.
После срабатывания программа меняет два элемента в безобидной строке Today's date is ...:
| Обнаружено | Формат даты | Символ апострофа | Unicode |
|---|---|---|---|
| По умолчанию (нет совпадения) | 2026-06-30 | ' стандартный ASCII-апостроф | U+0027 |
| Китайский домен института/дилера | 2026-06-30 | ' правая одинарная кавычка | U+2019 |
| Ключевые слова AI-лаб (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai и др.) | 2026-06-30 | ʼ модификаторный апостроф | U+02BC |
| Домен + лаб оба | 2026-06-30 | ʹ модификаторный штрих | U+02B9 |
| Дополнительно китайский пояс (Asia/Shanghai / Asia/Urumqi) | 2026/06/30 | (правила апострофа как выше) | — |
Проще говоря: запрос выглядит как обычный английский промпт, но бэкенд читает разделитель даты и Unicode апострофа и может пометить: «пользователь с зарубежным VPN, но в китайском поясе, возможно китайская AI-лаборатория». Типичный скрытый канал (covert channel).
echo $ANTHROPIC_BASE_URL # Если задана и не https://api.anthropic.com → логика отпечатка могла сработать claude --version # проверить ≥ 2.1.197
Сдержанный консенсус сообщества: цель — антидистилляция и борьба с несанкционированной перепродажей. Anthropic, OpenAI и Google публично беспокоятся, что конкуренты массово забирают вывод API для обучения малых моделей. Китайские прокси, реселлеры и лаборатории — главные подозреваемые.
«Цель понятна, метод — проблема» — сделать классификацию невидимой и прятать обфусцированный код в каждый запрос пересекает красную линию для инструмента, построенного на доверии разработчиков.
| Лагерь HN / сообщества | Позиция | Практический вывод |
|---|---|---|
| Защитники | Законная антидистилляция, защита инвестиций в модель | Понимать коммерческий мотив, отвергать скрытую реализацию |
| Критики | Почти злонамеренно для dev-инструмента; нужны раскрытие и выключатель | Требовать прозрачность, аудируемость, opt-out |
| Безопасность | Событие A готовит выход из песочницы; риск prompt injection реален | Desktop-агент как высокопривилегированная программа |
«Spyware» — эмоционально заряженная метка. Точнее:
Называть ли spyware — центральный вопрос один: без информированного согласия и намеренно скрыто.
Проверить Base URL: задана ли ANTHROPIC_BASE_URL? Официальная точка → событие B не срабатывает. Обновить Claude Code до 2.1.197+.
Native Messaging (событие A): на macOS проверить ~/Library/Application Support/<браузер>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json и удалить при необходимости. Claude Desktop может пересоздать файл.
Пояс + прокси: VPN + китайский пояс + сторонний API-шлюз по отчёту чаще попадали под правила отпечатка. В продакшене документируйте маршрутизацию.
Корпоративные / чувствительные среды: оцените, оставлять ли Desktop-агентов в продакшене. Минимальные права, явное разрешение, аудируемость. См. одобрения VNC и изоляция OpenClaw.
Изолированная приёмка: запускайте Claude Code на арендованном удалённом Mac + VNC, графически проверяйте «Конфиденциальность и безопасность», каталоги Native Messaging и диалоги связки ключей; по завершении проекта смените узел или отмените аренду.
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json" [ -f "$f" ] && echo "FOUND: $f" done
Предупреждение не в апострофе, а в разрыве: возможности моделей растут взрывно, а границы безопасности, разрешения и аудит отстают — и вендоры под предлогом UX или борьбы с злоупотреблениями пересекают границы доверия. Дыры безопасности PC и смартфонов повторяются на настольных AI-агентах.
Недоверие по умолчанию, факты вперёд: воспроизводимо, аудируемо, отключаемо — тогда доверие.
Требовать раскрытия: антидистилляция может быть прозрачной — публичное объяснение и переключатель, не пунктуация.
Минимальные права + изоляция: любой Desktop-агент как высокопривилегированное ПО.
Голосование ногами + регулирование: GDPR, законы о данных и выбор рынка ограничивают «технику без границ».
Техника может быть нейтральной, компания — нет. Больше силы требует большей самоограниченности — не секрета, который пользователь обнаруживает реверсом бинарника.
The Register (Claude Desktop, 2026-04); Malwarebytes / gHacks / YOOTA; thereallo.dev (оригинальный реверс); Tech Startups / TMC Insight / Developers Digest / TechTimes (исправление 2.1.197); анализ Antiy Labs.
Не в классическом смысле, но по реверсу встраивались нераскрытые обфусцированные отпечатки. Anthropic удалил их в 2.1.197. Точнее: нераскрытый скрытый канал.
Событие B касается только Claude Code с неофициальной ANTHROPIC_BASE_URL. Официальная конечная точка не затронута.
По отчёту — только при нестандартной Base URL: Asia/Shanghai / Asia/Urumqi и кодирование через разделитель даты. Официальная точка не меняет строку даты.
Апостроф в Today's переключается между U+0027, U+2019, U+02BC и U+02B9, кодируя китайские домены, ключевые слова AI-лаб или оба.
Доминирующая интерпретация: обнаружение дистилляции моделей и несанкционированной перепродажи API. Законная цель, скрытая реализация проблематична.
Нет. Апрель: Hanff — Native Messaging Desktop (событие A). Июнь: thereallo.dev — стеганография Code (событие B).
В ~/Library/Application Support/<браузер>/NativeMessagingHosts/ удалите com.anthropic.claude_browser_extension.json. Перезапуск Claude Desktop может восстановить файл; отключите Desktop или проверьте версию.
Для чувствительного кода или аудита системы: независимый удалённый Mac + VNC, графическая проверка Native Messaging и TCC, отмена аренды по завершении — меньше риска для основной машины.
Скандал Claude стеганография показывает: когда AI-агенты могут менять браузеры и переписывать системные промпты, риски на локальной основной dev-машине (остатки прав, неаудируемые каналы, обфусцированная телеметрия) недооцениваются. Claude Code на Windows/Linux возможен, но Native Messaging Claude Desktop и диалоги macOS требуют настоящей графической сессии macOS для полной приёмки.
Арендуйте удалённый Mac VNCMac, установите Claude Code на изолированном узле, проверьте по VNC манифесты браузера и настройки конфиденциальности, отмените аренду по завершении проекта — контролируемее, чем высокопривилегированный агент на личной основной машине. Тарифы Mac mini M4 и справка SSH-VNC для старта.