Claude Code от Anthropic тайно встраивал скрытые маркеры, чтобы помечать пользователей, связанных со 147 китайскими доменами и ИИ‑лабораториями, как сообщили разработчики на этой неделе.
Ключевые моменты
- Разработчики обнаружили, что Claude Code кодировал данные о прокси и часовом поясе во «вневидимых» маркерах Юникода, спрятанных в системных промптах
- Механизм сверял конфигурации со списком из 147 китайских доменов и одиннадцатью ключевыми словами, связанными с ИИ‑лабораториями КНР, прежде чем изменить строку с датой в промпте
- Anthropic заявила, что этот код будет удалён в следующем релизе Claude Code после того, как разработчики и исследователи забили тревогу
Скрытые маркеры в промптах
Разработчик, занимавшийся реверс‑инжинирингом Claude Code версии 2.1.196 при восстановлении отключённой функции удалённого управления, обнаружил обфусцированный код, тихо присутствующий в продукте с апреля.
Находка всплыла на Reddit 30 июня под псевдонимом и была подтверждена в техническом разборе, опубликованном на GitHub.
Аналитики изучили три отдельных релиза Claude Code и выяснили, что механизм работает одинаково во всех них, при этом о нём не упоминалось ни в одном из релиз‑нотов, несмотря на месяцы обновлений. Он активируется только тогда, когда пользователь направляет Claude Code на нестандартный серверный адрес вместо серверов Anthropic. После срабатывания инструмент считывает часовой пояс системы и проверяет, соответствует ли он двум городам, связанным с материковым Китаем.
Затем адрес прокси сверяется со скрытым списком доменов из 147 записей, обфусцированных так, чтобы их нельзя было найти простым текстовым поиском, и включающих Baidu, Alibaba, Ant Group и ByteDance, а также одиннадцать ключевых слов, связанных с китайскими ИИ‑лабораториями. Результаты встраиваются в с виду обычное предложение «Сегодняшняя дата…», где дефис меняется на косую черту для китайского часового пояса, а стандартная одинарная кавычка — на один из трёх почти неотличимых символов.
Также читайте: BitMine бросает вызов распродаже, делая ставку $43M на Ethereum, стратегия даёт сбой
Потеря доверия разработчиков
Когда механизм стал публичным, разработчики с тревогой отреагировали на его раскрытие, заявив, что инструмент с доступом к исходному коду и shell‑командам обязан обеспечивать более высокий уровень прозрачности, чем обычное чат‑окно. В отчёте об ошибке, поданном в репозиторий проекта, эту практику назвали скрытым фингерпринтингом и спросили, какие ещё сигналы могут быть утаены от пользователей. Комментаторы отметили, что проверку легко обойти, просто изменив имя хоста или системные часы.
Это означает, что механизм в основном помечает обычных разработчиков, использующих легитимные корпоративные прокси, а не изощрённых операторов, ради поимки которых он создавался. Ранее Anthropic обвиняла китайские лаборатории, включая DeepSeek, Moonshot AI и MiniMax, в использовании более 24 000 поддельных аккаунтов и свыше 16 миллионов сессий, чтобы скопировать рассуждения и стиль программирования Claude в начале этого года.
Инженер Anthropic признал существование этого кода в соцсетях и заявил, что он будет удалён в релизе на следующий день, хотя компания не опубликовала официального письменного заявления. Этот эпизод дополняет серию вопросов к безопасности Claude Code в этом году.
Исследователи из Microsoft раскрыли уязвимость типа prompt‑injection в его интеграции с GitHub в июне, Check Point выделила три отдельные уязвимости в феврале, а собственный исходный код Anthropic ненадолго утёк в апреле.
Читайте далее: CZ заявляет, что Binance была в нескольких днях от одобрения MiCA, прежде чем вмешалась политика





