8 июля 2026 платформа обмена информацией об угрозах и уязвимостях кибербезопасности МИИТ (NVDB) опубликовала предупреждение: AI-инструмент для программирования Claude Code компании Anthropic в версиях v2.1.91–v2.1.196 содержит риск бэкдора, угроза серьёзная — встроенный механизм мониторинга без согласия пользователя передаёт геолокацию и идентификаторы. Статья для разработчиков за прокси-эндпоинтами и корпоративных IT-лидов: полный таймлайн, технический разбор стеганографии, сводка позиций сторон, фон дистилляционной войны США–Китай и чеклист самодиагностики, обновления, удаления и комплаенс-ликвидации. Перекрёстно: глубокий разбор стеганографии Claude Code.
01

Предупреждение МИИТ о бэкдоре Claude Code: что произошло? Таймлайн и ключевые факты

Действие сразу: выполните claude --version; если версия в диапазоне 2.1.91–2.1.196 и настроен неофициальный ANTHROPIC_BASE_URL — обновитесь до 2.1.197+ или удалите клиент.

Ключевые факты: ① NVDB квалифицировал «риск бэкдора, угроза серьёзная»; ② затронуты 2.1.91–2.1.196 (02.04–29.06.2026); ③ срабатывает только при неофициальном API-эндпоинте; ④ Anthropic признала 01.07 и откатила; ⑤ Alibaba запрет с 10.07; ⑥ фикс v2.1.197 (часть источников — 2.1.198).

ПараметрСодержание
Характер угрозыВстроенный механизм мониторинга, передача чувствительных данных без согласия
Передаваемые данныеГеолокация пользователя, идентификаторы и прочие чувствительные сигналы
Затронутые версииv2.1.91 — v2.1.196
Окно релизов2 апреля — 29 июня 2026
Рекомендация регулятораНемедленно удалить затронутые версии / обновить до актуальной; усилить контроль исходящего трафика dev-терминалов
Корпоративная реакцияAlibaba и др. ограничили или запретили; переход на внутренний Qoder
Позиция вендораAnthropic: «экспериментальная» анти-абьюз / анти-дистилляционная мера; обещание удалить в следующих версиях

На поверхности — регуляторное уведомление; под ним — полная цепочка: Anthropic закладывает точку идентификации китайских пользователей → реверс-инжиниринг разработчиков → извинения и откат → запрет Alibaba → МИИТ квалифицирует как бэкдор.

02

Февраль 2026: Anthropic публично заявила об инвестициях в анти-дистилляцию (классификаторы, поведенческие отпечатки, обмен разведданными).

03

Март 2026: скрытый механизм детекции тихо внедрён в Claude Code (без публичного раскрытия).

04

2026-04-02: релиз Claude Code v2.1.91 — код детекции начинает распространяться (~20 итераций, changelog молчит).

05

2026-06-29: v2.1.196 — последняя версия в затронутом диапазоне.

06

2026-06-30: Reddit (LegitMichel777) раскрывает стеганографию; Thereallo публикует техразбор; Adnane Khan на GitHub подтверждает логику в v2.1.193/195/196.

07

2026-07-01: инженер Thariq Shihipar в X признаёт «эксперимент» с марта — анти-абьюз/анти-дистилляция; обещает откат на следующий день.

08

2026-07-02: Claude Code v2.1.197 (часть СМИ — v2.1.198) — код стеганографии удалён, changelog снова без явного упоминания.

09

2026-07-03/04: Reuters, TechCrunch: Alibaba с 10.07 запрещает Claude Code и модели Anthropic, переход на Qoder.

10

2026-07-08: NVDB МИИТ официально публикует предупреждение — «риск бэкдора, угроза серьёзная».

11

2026-07-10: внутренний запрет Alibaba вступает в силу.

01

Миф «мониторят всех»: заголовки «Claude Code следит за каждым» — неточны, бьют по доверию.

02

«Бэкдор» как единственная техквалификация: точнее — стеганографический детектор или covert channel; для регулятора и SEO допустим «бэкдор».

03

Подмена «подтверждённой утечки»: публичные источники не фиксируют прямой финансовый ущерб; фокус — нераскрытый мониторинг и комплаенс-риск.

04

Граница с обычной телеметрией: у Claude Code есть Datadog, OpenTelemetry; спор — стеганография, отсутствие раскрытия, таргетированный отпечаток.

05

Расхождение номеров фикса: большинство — v2.1.197, часть китайских СМИ — v2.1.198; пишите «2.1.197 и выше».

02

Риски Claude Code: кто реально затронут? Условия срабатывания и границы телеметрии

Критическое уточнение: скрытый механизм не работает для всех. Активация — только при установке ANTHROPIC_BASE_URL на неофициальный эндпоинт (корпоративный шлюз, сторонний прокси, реселлер API). Пользователи официального api.anthropic.com не попадают в этот путь детекции.

СценарийСрабатываниеОсновной риск
Прямое подключение api.anthropic.comНетОбычная телеметрия (общее раскрытие в privacy policy)
ANTHROPIC_BASE_URL → сторонний шлюзДаСтеганографический отпечаток + риск бана аккаунта
Китайский TZ + прокси-эндпоинтДа (суммарный сигнал)Гео- и конкурентный fingerprinting
Комплаенс-чувствительная средаЗависит от конфигурацииНераскрытый исходящий трафик + политики сегментации

Спор не в «сборе данных» как таковом, а в: ① стеганографии вместо прозрачного, отключаемого telemetry-канала; ② полном отсутствии в changelog почти 3 месяца; ③ таргетировании конкретных регионов и коммерческих конкурентов; ④ том, что инструмент имеет доступ к ФС, выполнение shell-команд — толерантность к «невидимому поведению» должна быть ниже.

Прямое следствие механизма — «риск бана аккаунта», а не доказанный «инцидент утечки данных»; не раздувайте формулировки.

03

Стеганографический мониторинг Claude Code: технический разбор в три шага

Ядро технической авторитетности. Механизм — стеганография (steganography), не обычная телеметрия (telemetry): отдельного канала отчёта нет — модифицируется сам system prompt, уходящий в модель.

Шаг 1 — разведка окружения. После триггера код проверяет: ① часовой пояс Asia/Shanghai или Asia/Urumqi; ② hostname из ANTHROPIC_BASE_URL против встроенного blacklist. По реверсу (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach) — 147 записей: домены китайских tech-гигантов (Alibaba, Baidu, ByteDance), ключевые слова AI-лабораторий (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI) и известные API-прокси/реселлеры. Список: XOR-шифрование (ключ 91) + Base64.

Шаг 2 — стеганографическое кодирование. При совпадении китайского TZ формат даты в system prompt меняется с 2026-06-30 (дефис) на 2026/06/30 (слэш). Стандартный апостроф в Today's date is заменяется на 3 визуально неотличимых Unicode-варианта — три булевых флага: «TZ hit / domain hit / AI-lab keyword hit».

Шаг 3 — covert channel. 1 бит формата даты + 3 варианта апострофа кодируют ~3 bit контекста окружения внутри обычной английской фразы; сервер Anthropic парсит на каждом запросе. Adnane Khan: a covert information channel embedded in system prompts.

ТипВерсияДата
Первая версия с механизмомv2.1.912026-04-02
Последняя затронутаяv2.1.1962026-06-29
Исправленнаяv2.1.197 (часть источников 2.1.198)2026-07-01/02
bash
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

Полное удаление — очистка артефактов: macOS/Linux: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows: %USERPROFILE%\.claude и кэш. В корпоративной среде после удаления — аудит исходящего трафика dev-терминалов.

04

Скандал вокруг бэкдора Claude Code: позиции NVDB, Anthropic, Alibaba; лексика СМИ и фон дистилляционной войны

МИИТ / NVDB: квалификация «риск бэкдора, угроза серьёзная»; встроенный мониторинг без согласия передаёт геолокацию и идентификаторы на удалённый сервер; рекомендации — инвентаризация dev-терминалов → удаление или обновление → усиление контроля исходящего трафика в критических сегментах.

Anthropic / Thariq Shihipar (X): «This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.» — «эксперимент», не «бэкдор»; акцент на анти-реселл и анти-дистилляцию. Контекст: письмо в банковский комитет Сената США — команда Qwen Alibaba якобы использовала ~25 000 мошеннических аккаунтов, 28,8 млн взаимодействий для кражи возможностей Claude.

Alibaba: по SCMP, Ars Technica — внутреннее уведомление: Claude Code в списке «ПО высокого риска»; с 10 июля 2026 полный запрет Claude Code и продуктов Anthropic (Sonnet, Opus, Fable и др.), переход на Qoder.

ИсточникКлючевая лексикаНарратив
NVDB / МИИТbackdoor code / security backdoor risk / severe threatКомплаенс и риск эксфильтрации
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanismНейтральная передача регулятора + корпоративная цепочка
The Registercovert code / secret steganography systemТехническая ирония + accountability за нераскрытые обновления
Ars Technicaspyware-like tracking / secret Claude trackerКризис доверия + политический анализ
Cybernewsa nothing burger (часть tech-сообщества)Переоценка шума; по сути — инженерия против дистилляции
Anthropicexperiment / anti-abuse / anti-distillation measureЛегитимная оборона, не злонамеренный мониторинг

Расширенный контекст: дистилляционная война США–Китай. Не изолированный инцидент. Anthropic давно блокирует прямой доступ из Китая и «враждебных регионов»; обход — VPN, зарубежные карты, сторонние прокси. В феврале 2026 исследователи Пекинского университета и CAS заявили о следах дистилляции зарубежных моделей в большинстве китайских LLM. Anthropic ранее обвиняла DeepSeek, Moonshot, MiniMax, Alibaba в несанкционированном обучении на выходах Claude. Claude Opus 4.8 в тестах «ошибочно идентифицировал себя как Qwen / DeepSeek» — «закладка для идентификации китайских пользователей» выглядит особенно неловко. Китайские компании уходят в собственные/открытые стеки (DeepSeek, Qwen, Kimi/Moonshot, Zhipu, MiniMax); Qoder Alibaba — конкретное воплощение тренда.

05

Как обновить или удалить Claude Code? Чеклист для разработчика и корпоративного IT

Чеклист индивидуального разработчика:

01

Проверка версии: claude --version — попадаете ли в 2.1.91–2.1.196.

02

Проверка прокси: echo $ANTHROPIC_BASE_URL — неофициальный шлюз?

03

Обновление: npm install -g @anthropic-ai/claude-code@latest или claude update — цель ≥ 2.1.197.

04

Удаление (опционально): глобальный uninstall + очистка ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code.

05

Оценка альтернатив: Qoder, Tongyi Lingma, Cursor и др. AI-инструменты для кода.

06

Перекрёстная проверка: сравнение четырёх AI-ассистентов для кода для выбора стека.

Чеклист корпоративного IT:

A

Инвентаризация dev-терминалов: все рабочие станции и CI-ноды с Claude Code.

B

Принудительное удаление или обновление: по рекомендации NVDB — немедленно для затронутых версий.

C

Аудит исходящего трафика: постоянные соединения с неавторизованными AI-эндпоинтами.

A

147 правил blacklist: XOR(91)+Base64; подтверждено в 2.1.193–2.1.196 (Thereallo, Adnane Khan).

B

Обвинение в 28,8 млн взаимодействий: письмо Anthropic в Сенат — ~25 000 мошеннических аккаунтов Qwen для масштабной дистилляции.

C

Запрет Alibaba 10.07: второй волновой узел — обновите whitelist ПО и закупочную политику.

Источники: IT之家, 新京报, 36氪, Tencent Cloud Dev Community (китайский); CNBC, The Register, TechCrunch, Ars Technica, Thereallo, Vincent Schmalbach, Cybernews (английский).

Дисклеймер: материал основан на публикации NVDB МИИТ и открытых СМИ; технический и комплаенс-ориентированный обзор, не юридическое заключение и не результат аудита безопасности.

Разложим альтернативы: продолжать затронутую версию Claude Code на личном Mac — нераскрытая логика отпечатков и комплаенс-риск не поддаются аудиту; полная зависимость от реселлеров Claude — долгий exposure к гео- и конкурентному fingerprinting; виртуализированный macOS для агентов — нарушение EULA Apple, ограничения подписи Xcode. Для продакшен-сред AI-агентов с iOS CI/CD, полным root и стабильностью 7×24 аренда выделенного Mac Mini M4 в облаке KVMNODE — обычно оптимальный путь: 100% физическое железо, открытый sudo, гибкие дневные/недельные/месячные условия; agent-workflow в изолированной аудируемой среде, исходящий трафик под контролем. Цены, оформить заказ, центр помощи.