Что произошло
1 июля 2026 года инженер команды Claude Code в Anthropic Тарик Шихипар (Thariq Shihipar) публично подтвердил: в коде Claude Code с марта 2026 года был скрытый механизм, определявший, связан ли пользователь с Китаем. Функцию обнаружил и разобрал 30 июня 2026 года пользователь Reddit LegitMichel777, реверс-инжинирив бинарник ассистента; пул-реквест на удаление кода Anthropic смержила 1 июля 2026 года.
Детали
- Код присутствовал как минимум с версии Claude Code 2.1.91 (вышла 2 апреля 2026 года) без упоминания в чейнджлоге.
- Механизм сверял системный часовой пояс устройства (Asia/Shanghai, Asia/Urumqi) и адреса прокси/доменов со скрытым списком китайских ИИ-лабораторий и реселлеров; список был обфусцирован через XOR и base64, чтобы не читаться в текстовых дампах.
- Результат передавался на серверы Anthropic не отдельным полем, а стеганографически — незаметными подменами в системном промпте: например, смена формата даты с тире на слэш и замена апострофа в служебной фразе о текущей дате на один из трёх визуально неотличимых, но разных по коду символов Unicode.
- В посте на X Шихипар назвал это «экспериментом, который мы запустили в марте, чтобы предотвратить злоупотребления неавторизованных реселлеров и защититься от дистилляции», уточнив, что команда «уже давно собиралась это убрать» и с тех пор внедрила более сильную защиту от тех же злоупотреблений. Отдельного официального заявления компании — пресс-релиза или обновления политики безопасности — по этому поводу не последовало: на запрос комментария Anthropic сослалась на пост инженера.
Что это значит
Кого касается: в первую очередь пользователей Claude Code — ИИ-ассистента для разработки, которым пользуются далеко не только в Китае, включая читателей из Украины и других стран. Сам факт, что в системный промпт можно незаметно вшивать служебные сигналы без единой строки в чейнджлоге, важен для любого, кто доверяет инструменту доступ к терминалу и файловой системе. Риск здесь конкретный, но не в утечке переписки: обнаруженный механизм не читал содержимое диалогов, а передавал на сервер компании косвенный признак локации и сетевой инфраструктуры без явного раскрытия в условиях использования. Показательно, что решение о таком мониторинге компания объяснила постфактум личным постом инженера в X, а не формальным security-advisory. Горизонт: пул-реквест на удаление смержен 1 июля 2026 года, откат обещан «в одном из ближайших релизов»; гарантий, что похожая телеметрия не появится в другой форме, пока нет — это стоит проверять по чейнджлогам будущих версий Claude Code.
Контекст
Эпизод стал одной из причин более широкого конфликта: по данным СМИ, вскоре после раскрытия механизма Alibaba запретила сотрудникам использовать Claude Code — мы отдельно разбирали эту историю ограничений по обе стороны Тихого океана. Ранее Anthropic также обвиняла операторов, аффилированных с лабораторией Qwen, в крупнейшей известной атаке дистилляции на Claude — около 25 тысяч мошеннических аккаунтов и 28,8 млн обращений за апрель–июнь 2026 года (из письма в банковский комитет Сената США от 10 июня 2026 года).


