Прихований код у Claude Code перевіряв локацію користувачів: що відповіла Anthropic

3 хв. читання

Що сталося

1 липня 2026 року інженер команди Claude Code в Anthropic Тарік Шіхіпар (Thariq Shihipar) публічно підтвердив: у коді Claude Code із березня 2026 року був прихований механізм, який визначав, чи пов’язаний користувач із Китаєм. Функцію виявив і розібрав 30 червня 2026 року користувач Reddit LegitMichel777, реверс-інжинірингом бінарника асистента; пул-реквест на видалення коду Anthropic змерджила 1 липня 2026 року.

Деталі

  • Код був присутній щонайменше з версії Claude Code 2.1.91 (вийшла 2 квітня 2026 року) без жодної згадки в чейнджлозі.
  • Механізм звіряв системний часовий пояс пристрою (Asia/Shanghai, Asia/Urumqi) та адреси проксі/доменів із прихованим списком китайських ІІ-лабораторій і реселерів; список був обфускований через XOR і base64, щоб не читатися у текстових дампах.
  • Результат передавався на сервери Anthropic не окремим полем, а стеганографічно — непомітними підмінами в системному промпті: наприклад, зміна формату дати з тире на слеш і заміна апострофа в службовій фразі про поточну дату на один із трьох візуально невідмінних, але різних за кодом символів Unicode.
  • У дописі в X Шіхіпар назвав це «експериментом, який ми запустили в березні, щоб запобігти зловживанням неавторизованих реселерів і захиститися від дистиляції», уточнивши, що команда «вже давно збиралася це прибрати» і відтоді впровадила надійніший захист від тих самих зловживань. Окремої офіційної заяви компанії — пресрелізу чи оновлення політики безпеки — з цього приводу не було: на запит коментаря Anthropic послалася на допис інженера.

Що це означає

Кого стосується: передусім користувачів Claude Code — ІІ-асистента для розробки, яким користуються далеко не лише в Китаї, зокрема читачів з України та інших країн. Сам факт, що в системний промпт можна непомітно вшивати службові сигнали без жодного рядка в чейнджлозі, важливий для кожного, хто довіряє інструменту доступ до термінала й файлової системи. Ризик тут конкретний, але не в витоку листування: виявлений механізм не читав зміст діалогів, а передавав на сервер компанії непрямий показник локації та мережевої інфраструктури без явного розкриття в умовах використання. Показово, що рішення про такий моніторинг компанія пояснила постфактум особистим дописом інженера в X, а не формальним security-advisory. Горизонт: пул-реквест на видалення змерджено 1 липня 2026 року, відкат обіцяний «в одному з найближчих релізів»; гарантій, що подібна телеметрія не з’явиться в іншій формі, поки немає — це варто перевіряти за чейнджлогами майбутніх версій Claude Code.

Контекст

Цей епізод став однією з причин ширшого конфлікту: за даними ЗМІ, невдовзі після розкриття механізму Alibaba заборонила співробітникам використовувати Claude Code — ми окремо розбирали цю історію обмежень по обидва боки Тихого океану. Раніше Anthropic також звинувачувала операторів, афілійованих з лабораторією Qwen, у найбільшій відомій атаці дистиляції на Claude — близько 25 тисяч шахрайських акаунтів і 28,8 млн звернень за квітень–червень 2026 року (з листа до банківського комітету Сенату США від 10 червня 2026 року).

Поділитися
Зв'язатися:
Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.