Anthropic отзывает функцию скрытого наблюдения в Claude Code
Anthropic столкнулась с жесткой критикой после обнаружения скрытого механизма наблюдения в своем инструменте Claude Code, предназначенного для идентификации пользователей из Китая. Это разоблачение вызвало масштабные дебаты о конфиденциальности пользователей, рисках утечки данных и этических границах защиты моделей.
Механика скрытого обнаружения
Скандал разразился, когда пользователь Reddit под ником LegitMichel777 разоблачил, что версия Claude Code 2.1.91, выпущенная 2 апреля 2026 года, содержала недокументированный код для маркировки пользователей из Китая. В отличие от стандартной телеметрии, эта функция использовала сложную форму стеганографии для передачи данных через «едва заметные» изменения в системном промпте.
Программное обеспечение было разработано так, чтобы сравнивать системный часовой пояс с «Asia/Shanghai» или «Asia/Urumqi» и сканировать URL-адреса прокси на наличие китайских доменов или соединений с китайскими лабораториями ИИ. При обнаружении совпадения инструмент незаметно изменял вывод, подправляя формат даты или заменяя стандартный апостроф другим символом во фразе «Today's date is». Хотя эти микро-корректировки были невидимы для человеческого глаза, они позволяли Anthropic мгновенно определять происхождение пользователя. Чтобы еще больше скрыть эту активность, код, по сообщениям, был обфусцирован с использованием XOR-шифрования с ключом 91, что предотвращало его появление в стандартных дампах текста.
Риски безопасности и нарушения конфиденциальности
Это открытие вызвало серьезную тревогу в сообществе разработчиков. Поскольку Claude Code работает с полным доступом к файловой системе и оболочке (shell), критики утверждают, что любой скрытый канал связи потенциально может быть использован для более серьезных злоупотреблений, включая удаленное управление или несанкционированную утечку данных.
Помимо технических последствий для безопасности, это открытие рассматривается как фундаментальное нарушение доверия пользователей. Функция была внедрена без какого-либо упоминания в официальных примечаниях к релизу, из-за чего разработчики не знали, что их данные прокси и системные настройки анализируются для обхода региональных ограничений.
Защита Anthropic: противодействие дистилляции моделей
В ответ на волну возмущения сотрудник Anthropic Thariq Shihipar пояснил, что эта функция была «экспериментом», запущенным в марте. Основной целью было предотвращение злоупотреблений аккаунтами со стороны неавторизованных перепродавцов и защита от «дистилляции» — процесса, при котором конкуренты используют выходные данные модели для обучения собственных LLM.
У Anthropic уже была история напряженности с китайскими ИИ-компаниями: ранее компания обвиняла такие фирмы, как DeepSeek, Moonshot AI, MiniMax и Alibaba, в использовании результатов работы Claude без разрешения. Поскольку Anthropic официально не предлагает свои модели в Китае по соображениям национальной безопасности, идентификация пользователей, получающих доступ к сервису через иностранные кредитные карты и номера телефонов, рассматривалась как способ защиты проприетарного интеллекта. Однако после общественного резонанса Anthropic подтвердила, что приняла pull request для полного отката этой функции.
Основные выводы
- Стеганографическое обнаружение: Claude Code использовал едва заметную замену символов в системных промптах и XOR-шифрование для скрытой идентификации пользователей, подключающихся из Китая.
- Опасения по поводу безопасности: Возможность проведения скрытых проверок в инструменте с полным доступом к файловой системе вызывает серьезные опасения относительно утечки данных и конфиденциальности пользователей.
- Защита моделей против конфиденциальности: Anthropic оправдывала этот шаг экспериментом по предотвращению дистилляции моделей китайскими ИИ-лабораториями, но с тех пор обязалась полностью откатить изменения.
