Anthropic запустила Claude Tag 23 июня 2026 года как прямую замену старой интеграции "Claude in Slack" (она будет отключена 3 августа 2026 года) . Это не чат-бот для одного пользователя. Claude Tag — это постоянный, общий участник канала Slack со своей идентичностью, памятью и доступом к инструментам. Любой авторизованный участник канала может упомянуть
@Claude, чтобы поручить задачу, и AI работает асинхронно в открытую .
Он работает в «фоновом» режиме, постоянно следя за разговорами, изучая контекст канала и проактивно вмешиваясь, чтобы отметить обновления или выявить задачи . Его права доступа ограничены каналом, в котором он находится, а не конкретным пользователем, что позволяет администраторам настраивать для каждого канала свой набор инструментов, доступ к данным и лимиты расходов
.
За кулисами каждый сеанс Claude Tag работает на модели Opus 4.8 внутри управляемой Anthropic Linux microVM, при этом учетные данные коннекторов хранятся вне виртуальной машины, используется проксированный сетевой доступ и инструменты только для чтения для изоляции . Использование канала выставляется счет организации по тарифам API, а не за каждое рабочее место, что переворачивает традиционные модели ценообразования корпоративного ПО
.
Находка Tego AI не единична. Она усугубляется двумя другими крупными инцидентами середины 2026 года, которые вместе обнажают кризис в безопасности корпоративных AI-агентов.
30 июня 2026 года независимый исследователь "Thereallo" провел обратную разработку Claude Code и обнаружил обфусцированный JavaScript, который незаметно снимал цифровой отпечаток географического местоположения пользователей (через проверку часового пояса) и изменял системные промпты с использованием символов Unicode, похожих на оригинальные, — например, заменял прямой апостроф на фигурный, а тире на дефис, — создавая скрытую метку отслеживания, обнаруживаемую бэкендом Anthropic . Национальная база данных уязвимостей Китая (NVDB) 8 июля выпустила официальное предупреждение о «бэкдоре» для версий Claude Code 2.1.91–2.1.196
. Alibaba запретила Claude Code внутри компании
. Anthropic назвала это «анти-злоупотребительным экспериментом» и удалила код 1 июля
.
Инфраструктура протокола Model Context Protocol (MCP), лежащая в основе Claude Tag и многих других AI-агентов, содержит системные проектные недостатки. Ключевые находки 2026 года:
exec() или инъекцией shell-команд, а 13% — с обходом пути Предприятия, внедряющие Claude Tag и аналогичные агентные AI-инструменты, сталкиваются с тройной угрозой: поверхность для атак с помощью инъекции промптов на уровне триггера агента (находка Tego AI), непрозрачное отслеживание со стороны вендора в инструментах агента (трекер Claude Code) и принципиально небезопасные настройки инфраструктуры в экосистеме MCP, соединяющей агентов с инструментами и данными.
Сбои в управлении идентификацией и доступом быстро распространяются, когда постоянный агент, такой как Claude Tag, имеет широкий доступ к инструментам и может быть активирован поддельными упоминаниями . Традиционного управления API недостаточно для агентных рабочих процессов, поскольку агенты не следуют моделям разрешений для каждого пользователя или шаблону «запрос-ответ»
. Риск цепочки поставок огромен: уязвимость в эталонной реализации MCP распространяется на все нижестоящие развертывания
. Прозрачность и возможность аудита остаются критическими проблемами — трекер Claude Code был обфусцирован в минифицированном JavaScript и обнаружен только внешней обратной разработкой, что означает, что команды безопасности предприятий не могут полагаться на собственное раскрытие информации вендором
.
Регуляторная реакция уже началась: китайская NVDB выпустила предупреждения на государственном уровне, а такие предприятия, как Alibaba, ввели полные запреты . В совокупности это означает, что безопасность корпоративных AI-агентов в 2026 году требует принципиально нового подхода — такого, который рассматривает постоянных агентов как критическую инфраструктуру с жестким контролем идентификации, доступа и цепочки поставок.
@Claude даже из автоматизированных источников, открывая возможность для атак с инъекцией промптов