
Anthropic удаляет из Claude Code скрытый механизм, который незаметно помечал запросы пользователей, работающих через сторонние прокси — в первую очередь китайские. Находку раскрыл пользователь Reddit под ником LegitMichel777, разбиравший бинарник инструмента. Теперь история получила развитие: Anthropic признала механизм и откатила его, а заодно выяснилось, что метки появились еще в версии 2.1.91 от 2 апреля 2026 года — то есть инструмент почти три месяца втихую передавал данные об окружении части пользователей.
Механизм срабатывал только при заданной переменной ANTHROPIC_BASE_URL — когда запросы шли не напрямую на api.anthropic.com, а через сторонний прокси или шлюз. В этом случае Claude Code проверял:
таймзону системы — совпадает ли она с Asia/Shanghai или Asia/Urumqi;
хостнейм прокси — по зашитому в код списку китайских доменов, от Baidu и Alibaba до известных реселлеров Claude;
наличие в адресе имен китайских ИИ-лабораторий: deepseek, zhipu, moonshot, minimax, dashscope и других.
Результат кодировался стеганографически — внутри безобидной строки системного промпта "Today's date is". Апостроф заменялся одним из трех визуально неотличимых Unicode-символов, а при китайской таймзоне дефис в дате менялся на слэш: 2026/06/30 вместо 2026-06-30. Человек и даже сама модель видят обычную дату, но сервер Anthropic легко считывает метку. Списки доменов при этом были спрятаны в бинарнике через base64 и XOR с ключом 91, чтобы не всплывать при простом поиске по строкам, а в release notes о проверке не было ни слова.
Anthropic не стала отрицать находку. Тарик Шихипар из команды Claude Code назвал механизм "экспериментом, запущенным в марте, чтобы предотвратить злоупотребления аккаунтами со стороны неавторизованных реселлеров и защититься от дистилляции". По его словам, с тех пор команда внедрила более сильные меры защиты и "давно собиралась это убрать": соответствующий pull request смержен, и в версии 2.1.197 скрытых меток больше нет.
Реакция сообщества разделилась. Автор находки называет произошедшее "фундаментальным нарушением доверия": инструмент с полным доступом к файловой системе и шеллу молча передавал данные об окружении, при этом опытный нарушитель обойдет проверку за вечер — достаточно сменить таймзону и хостнейм. Скептики считают историю раздутой: в Cybernews напоминают, что сбор подобных данных прямо прописан в политике конфиденциальности Anthropic, а формулировку "шпионское ПО" из заголовка Reddit-поста высмеяли сами реддиторы — сетевые настройки системы и так доступны почти любому софту с выходом в интернет.
Мотивы Anthropic понятны из контекста: компания не продает доступ к своим моделям в Китае, ссылаясь на соображения национальной безопасности, однако многие китайские разработчики обходят запрет через зарубежные номера и карты. Ранее Anthropic обвиняла DeepSeek, Moonshot AI, MiniMax и Alibaba в обучении собственных моделей на ответах Claude, а недавно сообщила Сенату США, что Alibaba и ее лаборатория Qwen использовали почти 25 000 мошеннических аккаунтов и совершили 28,8 млн обменов с Claude, чтобы выкачивать возможности модели.
P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.
