В Claude Code обнаружен скрытый код, помечавший китайских пользователей

В Claude Code была обнаружена скрытая функция слежения, которая работала с версии 2.1.91 (выпущена 2 апреля 2026). Она незаметно проверяла, использует ли пользователь прокси в Китае, находится ли он в Китае или подключен к китайской лаборатории ИИ.
Данные передавались через стеганографию, едва заметные изменения в system prompt. Код сравнивал системный часовой пояс с 'Asia/Shanghai' или 'Asia/Urumqi', сканировал URL прокси на наличие китайских доменов и лабораторий ИИ. На основе результатов программа меняла формат даты и подменяла апостроф в фразе 'Today's date is' на другой символ. Пользователи не видели разницы, но Anthropic мог сразу её прочитать.
Код был зашифрован XOR с ключом 91, что скрывало его при простом текстовом дампе. В примечаниях релиза версии 2.1.91 об этом не упоминалось.
Reddit-пользователь LegitMichel777 назвал передачу системных и прокси-данных без ведома пользователя 'фундаментальным нарушением доверия'. Поскольку Claude Code имеет полный доступ к файловой системе и shell, это открывало двери для удалённого управления и кражи данных.
Аnthropic сотрудник Тарик Шихипар описал функцию как 'эксперимент, запущенный в марте, чтобы предотвратить злоупотребление аккаунтами от неавторизованных перепродавцов и защитить от дистилляции моделей'. Команда разработала более сильные защиты и уже давно планировала удалить эту функцию. Pull request был слит, и откат полностью должен был быть включен в следующий релиз.
Ключевые факты
- Скрытый код в Claude Code проверял, находится ли пользователь в Китае, через сравнение часового пояса и анализ прокси
- Данные передавались через стеганографию, едва видимые изменения в system prompt, которые только Anthropic мог прочитать
- Функция использовала XOR-шифрование (ключ 91) для скрытия кода от обнаружения
- Anthropic заявил, что это был краткосрочный эксперимент, и уже откатывает функцию в следующем релизе
- Открытие вызвало возмущение из-за того, что Claude Code имеет полный доступ к файловой системе и shell
Почему это важно
Это нарушение доверия между разработчиком инструмента и пользователями. Скрытое отслеживание пользователей, особенно по географии, без их согласия и без упоминания в примечаниях релиза, подрывает прозрачность. Учитывая, что Claude Code имеет полный доступ к файловой системе и shell, такая функция теоретически могла быть использована для удалённого управления или кражи данных.
Кому это важно
Первостепенно, разработчикам в Китае, которые используют Claude Code через прокси или с иностранными номерами и кредитными картами. Также значимо для всех пользователей Claude Code, которые ценят приватность и прозрачность. Компания Anthropic должна пояснить, какие другие скрытые функции могут быть в коде.
Как это применить
Если вы в Китае или используете прокси, проверьте версию Claude Code (была затронута версия 2.1.91 и позже) и обновитесь на последний релиз после отката функции. Разработчики и компании должны требовать прозрачности от поставщиков инструментов и проверять лицензионные соглашения на предмет скрытого мониторинга. Организации могут провести аудит исходного кода инструментов, которыми они пользуются.
Можно ли доверять
Anthropic быстро отреагировал, признав функцию как эксперимент и объявив откат. Однако вопрос о том, были ли какие-то другие скрытые функции в Claude Code, остаётся открытым. Тот факт, что функция была зашифрована и скрыта в примечаниях релиза, указывает на то, что её намеренно прячут. Утверждение о том, что откат будет 'полным', нуждается в независимой проверке.
Риски и подводные камни
Стеганография в system prompt, сложная техника обнаружения, и средний пользователь её не заметит. Код шифрования (XOR ключ 91) легко взломать, что показывает слабость 'защиты'. Если эта функция была 'экспериментом', остаётся неясным, проводилась ли она с согласия других команд компании и был ли контроль доступа. Угроза пересажень на возможность использования подобных методик и в других компаниях без обнаружения.
«Передача системных и прокси-данных без ведома пользователя, это фундаментальное нарушение доверия.»
— LegitMichel777, Reddit