Alibaba запретила Claude Code после обнаружения скрытого трекера

iEXExchanger
Alibaba запретила Claude Code после обнаружения скрытого трекера

В Claude Code с апреля скрывался обфусцированный код, определявший китайских пользователей по часовому поясу и стеганографически менявший промпты. Anthropic удалила его лишь после публичного разоблачения 30 июня.

В последний день июня исследователь под ником LegitMichel777 опубликовал разбор Claude Code — и нашёл кое-что неожиданное. В инструменте Anthropic с версии 2.1.91 (вышла 2 апреля) скрывался обфусцированный код, молча проверявший, не работает ли пользователь в Китае.

Механизм был нетривиальным. Код сверял системный часовой пояс с Asia/Shanghai и Asia/Urumqi, а прокси-адреса — с китайскими доменами и адресами AI-лабораторий. Если что-то совпадало, формат даты в системном промпте менялся с дефисов на слэши, а апостроф в строке Today's date is заменялся визуально идентичным Unicode-символом. Человек разницы не заметит. Серверы Anthropic — заметят.

Anthropic признала это. Инженер Тарик Шихипар объяснил, что речь шла об эксперименте, запущенном в марте для борьбы с несанкционированными реселлерами и дистилляцией, и добавил, что команда давно собиралась его убрать. Убрали 1 июля — ровно через сутки после публикации разоблачения.

Alibaba ждать не стала. С 10 июля компания запрещает сотрудникам использовать Claude Code, характеризуя его как высокорисковое программное обеспечение с уязвимостями безопасности. Взамен предлагают собственный кодинговый агент Qoder.

За этим скандалом стоит давний конфлікт. В конце июня Anthropic обвинила Qwen-лабораторию Alibaba в крупнейшей известной атаке дистилляции: около 25 000 фиктивных аккаунтов якобы сгенерировали 28,8 млн диалогов с Claude за апрель–июнь, чтобы обучить на них собственные модели. Alibaba это отрицает. Anthropic настаивала, что трекер был частью этой защиты.

Только критики задают неудобный вопрос: если компания прячет слежку в продуктовом коде и убирает её лишь после публичного разоблачения — насколько убедительным остаётся объяснение про борьбу со злоупотреблениями?

Вопросы и ответы

Частые вопросы по теме статьи

Что именно нашли в Claude Code?

Обфусцированный код с версии 2.1.91 проверял системный часовой пояс на совпадение с Asia/Shanghai или Asia/Urumqi и сканировал прокси на китайские домены. При срабатывании он стеганографически изменял промпты: менял формат дат и подставлял Unicode-символы вместо апострофов — незаметно для пользователя, но читаемо серверами Anthropic.

Зачем Anthropic добавила этот код?

Инженер Anthropic Тарик Шихипар объяснил, что это был эксперимент для выявления несанкционированных реселлеров и защиты от атак дистилляции — когда конкуренты массово используют ответы Claude для обучения своих моделей. Anthropic отдельно обвиняла Qwen-лабораторию Alibaba в крупнейшей такой атаке: 25 000 аккаунтов, 28,8 млн диалогов за три месяца.

Что делает Alibaba в ответ?

С 10 июля 2026 года Alibaba запрещает всем сотрудникам использовать Claude Code, называя его высокорисковым программным обеспечением с уязвимостями безопасности. Взамен компания рекомендует собственный инструмент Qoder.

Что такое атака дистилляции модели?

Дистилляция модели — когда одна AI-компания обучает свою модель, массово собирая ответы конкурента на тысячи запросов. Это позволяет перенять качество «учителя» без огромных затрат на оригинальное обучение. Anthropic утверждала, что именно это делала Qwen-лаборатория Alibaba с 25 000 фиктивных аккаунтов.