Anthropic запустила Claude Tag 23 червня 2026 року як пряму заміну старішої інтеграції "Claude in Slack" (припинено 3 серпня 2026 року) . Це не персональний чат-бот. Натомість Claude Tag — це постійний, спільний учасник каналу Slack із власною ідентичністю, пам’яттю та доступом до інструментів. Будь-який авторизований учасник каналу може згадати
@Claude, щоб доручити завдання, а ШІ працює асинхронно у відкритому режимі .
Він працює в "амбієнтному" режимі, постійно стежачи за розмовами, вивчаючи контекст каналу та проактивно втручаючись, щоб позначати оновлення або виявляти завдання . Його дозволи обмежені каналом, у якому він перебуває, а не окремим користувачем, що дозволяє адміністраторам налаштовувати різні набори інструментів, доступ до даних та ліміти витрат для кожного каналу
.
За лаштунками кожен сеанс Claude Tag працює на моделі Opus 4.8 всередині мікровіртуальної машини Linux під керуванням Anthropic, де облікові дані конекторів зберігаються за межами ВМ, мережевий доступ проксюється, а інструменти мають режим "тільки читання" для ізоляції . Використання каналу виставляється рахунок організації за цінами API, а не за робоче місце, що перевертає традиційні моделі ціноутворення корпоративного програмного забезпечення
.
Висновок Tego AI не існує ізольовано. Він посилюється двома іншими великими інцидентами середини 2026 року, які разом виявляють кризу в безпеці корпоративних ШІ-агентів.
30 червня 2026 року незалежний дослідник "Thereallo" зробив зворотну розробку Claude Code і виявив обфусцований JavaScript, який безшумно знімав відбитки географічного розташування користувачів (через перевірку часових поясів) і модифікував системні підказки, використовуючи символи Unicode, схожі на оригінали (наприклад, закруглений апостроф замість прямого, слеш замість тире), щоб створити приховану позначку відстеження, виявну бекендом Anthropic . Національна база даних вразливостей Китаю (NVDB) 8 липня видала офіційне попередження про "бекдор" для версій Claude Code 2.1.91–2.1.196
. Alibaba заборонила Claude Code внутрішньо невдовзі після цього
. Anthropic назвав це "експериментом проти зловживань" і видалив функцію 1 липня
.
Інфраструктура Model Context Protocol (MCP), яка лежить в основі Claude Tag та багатьох інших ШІ-агентів, виявилася такою, що має системні недоліки проєктування. Ключові висновки 2026 року:
exec() або ін’єкцію оболонки, а 13% — обхід шляху Підприємства, які впроваджують Claude Tag та подібні агентивні ШІ-інструменти, стикаються з потрійною загрозою: поверхні атак ін’єкцій підказок у шарі тригеру агента (висновок Tego AI), непрозоре відстеження на стороні постачальника в інструментах агента (трекер Claude Code) і фундаментально небезпечні інфраструктурні налаштування за замовчуванням в екосистемі MCP, яка з’єднує агентів з інструментами та даними.
Збої ідентифікації та контролю доступу швидко каскадуються, коли постійний агент, як-от Claude Tag, має широкий доступ до інструментів і може бути активований підробленими згадуваннями . Традиційного управління API недостатньо для агентивних робочих процесів, оскільки агенти не дотримуються моделей дозволів на одного користувача або патернів "запит-відповідь"
. Ризик ланцюжка постачання величезний: вразливість у референсній реалізації MCP поширюється на всі нижчі розгортання
. Прозорість і можливість аудиту залишаються критичними проблемами — трекер Claude Code був прихований у мініфікованому JavaScript і виявлений лише завдяки зовнішній зворотній розробці, тобто корпоративні команди безпеки не можуть покладатися на самостійне розкриття інформації постачальником
.
Регуляторна ескалація вже триває: Китайська NVDB видала попередження на рівні штату, а такі підприємства, як Alibaba, вводять повні заборони . Загальна картина така, що безпека корпоративних ШІ-агентів у 2026 році вимагає принципово нового підходу — такого, який розглядає постійних агентів як критичну інфраструктуру з жорстким контролем ідентифікації, доступу та ланцюжка постачання.
@Claude навіть від автоматизованих джерел, що дозволяє атаки ін’єкцій підказок