Невидимый след в коде Anthropic

Дата2 июл. 2026 г.
Читать3 мин
Невидимый след в коде Anthropic
Граница между обеспечением безопасности и скрытым наблюдением в индустрии искусственного интеллекта становится всё более размытой. Недавний инцидент с инструментом Claude Code обнажил методы, которые компании используют для контроля над своими продуктами в обход официальных деклараций. Скрытый механизм маркировки пользователей стал поводом для дискуссии о доверии к инструментам разработки с глубоким доступом к системе. Эта история демонстрирует, насколько изощренными могут быть методы борьбы с промышленным шпионажем и дистилляцией моделей.

История началась с детального анализа бинарного кода Claude Code, проведенного независимым исследователем. Внутри инструмента был обнаружен скрытый механизм, предназначенный для незаметного маркирования запросов пользователей, которые работают через сторонние прокси-серверы. Как выяснилось позже, эта функция присутствовала в продукте почти три месяца, начиная с версии 2.1.91 от апреля 2026 года, фактически превращая инструмент в средство сбора данных об окружении части аудитории без их уведомления.

Техническая реализация системы была привязана к переменной ANTHROPIC_BASE_URL. Механизм активировался только тогда, когда запросы направлялись не напрямую на официальный API Anthropic, а через промежуточный шлюз или прокси. В этот момент инструмент начинал проводить многофакторную проверку окружения: анализировалась системная таймзона на соответствие регионам Asia/Shanghai или Asia/Urumqi, проверялся хостнейм прокси по встроенному списку китайских доменов (включая гигантов вроде Baidu и Alibaba) и искались упоминания известных ИИ-лабораторий, таких как DeepSeek, Zhipu или Moonshot.

Особый интерес представляет метод передачи этих данных. Вместо явных логов Anthropic применила стеганографию, скрывая метки внутри безобидной строки системного промпта «Today's date is». Для этого использовались визуально неотличимые Unicode-символы: апостроф заменялся одним из трех вариантов, а дефис в дате при обнаружении китайской таймзоны превращался в слэш. Таким образом, для человека или самой языковой модели дата выглядела стандартно, но сервер на стороне компании мгновенно считывал скрытый маркер. Чтобы избежать обнаружения при простом поиске по строкам, списки доменов были зашифрованы с помощью base64 и операции XOR с ключом 91.

Реакция Anthropic была сдержанной: компания признала наличие механизма, назвав его «экспериментом» для борьбы со злоупотреблениями со стороны неавторизованных реселлеров и защиты от дистилляции моделей. Дистилляция в данном контексте — это процесс обучения сторонних нейросетей на ответах более мощной модели (в данном случае Claude), что фактически позволяет конкурентам «украсть» интеллектуальные возможности продукта, не создавая его с нуля. В версии 2.1.197 данный функционал был удален, однако ущерб репутации уже был нанесен.

В профессиональном сообществе произошел раскол. С одной стороны, разработчики указывают на фундаментальный подрыв доверия: инструмент, имеющий полный доступ к файловой системе и командной оболочке (shell), тайно передавал данные о пользователе. С другой стороны, скептики отмечают, что сбор сетевых настроек является стандартной практикой, прописанной в политиках конфиденциальности большинства современных сервисов, а сама попытка назвать это «шпионским ПО» является преувеличением.

За этим техническим конфликтом стоит глобальное противостояние в сфере ИИ. Anthropic официально не предоставляет доступ к своим моделям на рынке Китая из соображений национальной безопасности, однако китайские разработчики активно обходят эти ограничения. Ранее компания уже заявляла о масштабных атаках: по данным, переданным в Сенат США, инфраструктура Alibaba и её лаборатория Qwen использовали десятки тысяч мошеннических аккаунтов для массового выкачивания знаний из Claude. В этой войне данных скрытые метки стали попыткой создать цифровую «водяную mark», позволяющую отслеживать утечки и эксплуатацию моделей в обход правил.

Тала знает • Использование материалов сайта разрешено исключительно при условии размещения активной, прямой и открытой для поисковых систем гиперссылки на первоисточник. Ссылка должна быть кликабельной и располагаться непосредственно в теле публикации — до или после заимствованного текста. Любое копирование, воспроизведение или цитирование контента без соблюдения этого условия рассматривается как нарушение авторских прав.