Определение прокси и местоположения: Когда переменная окружения ANTHROPIC_BASE_URL была установлена на конечную точку, не принадлежащую Anthropic, инструмент кодировал имя хоста прокси, сверяя его с XOR-обфусцированным списком конкурентов . Скрытые маркеры проверяли, направляется ли трафик через китайские AI-лаборатории, прокси-реселлеры или иным образом связан с Китаем
.
Обнаружение китайских пользователей (версия 2.1.91): Версия Claude Code 2.1.91, выпущенная 2 апреля 2026 года, тайно встраивала логику обнаружения китайских пользователей с помощью стеганографии в свой системный промпт. Эта уязвимость была раскрыта пользователем Reddit LegitMichel777 . Методика заключалась в замене апострофов и форматов даты для кодирования данных о местоположении, незаметных для пользователей
.
Масштаб и продолжительность: Код для снятия цифровых отпечатков присутствовал в более чем 90 версиях Claude Code без какого-либо раскрытия , действуя как минимум три месяца до публичного разоблачения 30 июня 2026 года
.
The Washington Post сообщила, что очевидной целью Anthropic было «разоблачение китайских конкурентов, которых компания подозревала в незаконном использовании ее технологий для улучшения собственных ИИ-инструментов», то есть обнаружение дистилляции моделей или несанкционированного использования API китайскими фирмами .
Ответ Anthropic состоял из двух фаз:
1. По поводу стеганографии (начало июля 2026 г.): После того как информация стала публичной 30 июня, Anthropic подтвердил, что удаляет скрытый стеганографический код и откатывает функцию отслеживания . Компания описала это как «эксперимент по борьбе со злоупотреблениями», предназначенный для выявления несанкционированного использования API и дистилляции моделей китайскими конкурентами
. Anthropic заявил, что отслеживание не было предназначено для слежки за пользователями, а для защиты от кражи интеллектуальной собственности.
2. По поводу предупреждения NVDB о бэкдоре (8-9 июля 2026 г.): В ответ на официальное предупреждение Китая об угрозе безопасности Anthropic ответил, что пользователи в Китае никогда не были авторизованы для использования Claude Code и получали доступ к инструменту в нарушение его условий предоставления услуг . Компания, по сути, утверждала, что предполагаемый «бэкдор» был контрмерой против неавторизованных пользователей, которые не должны были иметь доступ к программному обеспечению
.
Ключевой контекст: Инцидент спровоцировал более широкую корпоративную реакцию — 10 июля 2026 года Alibaba запретила использование Claude Code всеми сотрудниками, сославшись на скрытый код отслеживания . Этот эпизод широко рассматривается как новый фронт в напряженности между США и Китаем в сфере ИИ, касающейся интеллектуальной собственности, безопасности моделей и доверия к цепочкам поставок
.