Предупреждение NVDB: риск бэкдора в Claude Code (2.1.91–2.1.196) — технический разбор и руководство для разработчиков

8 июля 2026 китайская платформа NVDB (Network Vulnerability Database) предупредила о серьёзном риске бэкдора в Anthropic Claude Code версий v2.1.91–2.1.196. Если вы используете AI-инструменты для программирования, немедленно выполните claude --version. Статья восстанавливает хронологию, объясняет стеганографию в system prompts, сравнивает позиции NVDB, Anthropic и Alibaba, описывает контекст дистилляции США–Китай и содержит чеклисты, пятшаговый runbook и десять FAQ.

Терминал с проверкой версии Claude Code — символ compliance безопасности AI-инструментов
Кратко:

Содержание

I. Проблема: регуляторная квалификация vs технические детали — ошибки формулировок снижают доверие

  1. Кликбейт: «Claude Code следит за всеми» — неверно. Только при ANTHROPIC_BASE_URL на неофициальный endpoint.
  2. Бэкдор vs эксперимент: NVDB — «серьёзный риск бэкдора»; Anthropic — «анти-злоупотребление/анти-дистилляция»; инженеры — «стеганографический covert channel».
  3. Окно compliance: NVDB 8 июля, запрет Alibaba 10 июля — IT-команды должны проверить версии и egress за дни.

Цепочка событий: Anthropic встраивает детекцию китайских пользователей → reverse engineering → извинения и rollback → запрет Alibaba → предупреждение NVDB о бэкдоре.

II. Сводка инцидента

8 июля 2026 NVDB опубликовал предупреждение о Claude Code от Anthropic с квалификацией серьёзный риск бэкдора.

ПунктСодержание
ХарактерВстроенный мониторинг без согласия пользователя
Передаваемые данныеРегион, идентификаторы и аналогичная чувствительная информация
Затронутые версииv2.1.91 — v2.1.196
Период2 апреля — 29 июня 2026
РекомендацияУдалить или обновить; усилить контроль исходящего трафика
КомпанииAlibaba и другие ограничили использование
ПроизводительAnthropic: «эксперимент», анти-дистилляция, удаление в новых версиях

III. Полная хронология

ДатаСобытие
Фев. 2026Anthropic публично инвестирует в анти-дистилляцию (классификаторы, отпечатки)
Март 2026Скрытый механизм детекции внутри, без раскрытия
2026-04-02v2.1.91 — первый релиз со скрытым кодом
Апр.–июнь 2026~20 версий, логика сохраняется, нет записей в changelog
2026-06-29v2.1.196 — последняя затронутая версия
2026-06-30Reddit (LegitMichel777), Thereallo, Adnane Khan (GitHub) документируют стеганографию
2026-07-01Thariq Shihipar (Anthropic) признаёт эксперимент, обещает rollback
2026-07-02v2.1.197 (иногда 2.1.198) — код удалён, changelog молчит
2026-07-03/04Reuters/TechCrunch: Alibaba запрещает Claude Code с 10 июля, переход на Qoder
2026-07-08NVDB публикует предупреждение о бэкдоре
2026-07-10Внутренний запрет Alibaba вступает в силу

IV. Кто реально затронут: условие триггера

Механизм не для всех. Активируется только если ANTHROPIC_BASE_URL указывает на неофициальный endpoint (корпоративный шлюз, прокси, перепродажа API). Пользователи api.anthropic.com не активируют этот путь.

Наиболее вероятное последствие — риск блокировки аккаунта, а не подтверждённая утечка данных — фокус на недокументированном мониторинге и compliance.

V. Технический механизм подробно

5.1 Разведка окружения

  1. Часовой пояс: Asia/Shanghai или Asia/Urumqi
  2. Чёрный список доменов: сравнение hostname ANTHROPIC_BASE_URL

Reverse engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach): 147 записей — китайские tech-гиганты, ключевые слова AI-лабораторий (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI и др.) и известные proxy-шлюзы. Шифрование XOR (ключ 91) + Base64.

5.2 Стеганография в system prompt

Не отдельный канал телеметрии — модификация system prompt:

Adnane Khan: «a covert information channel embedded in system prompts».

5.3 Отличие от обычной телеметрии

  1. Стеганография вместо прозрачной телеметрии
  2. ~3 месяца без раскрытия в changelog
  3. Целевой fingerprinting по региону и конкурентам
  4. Инструмент с правами файловой системы и shell — выше ожидания прозрачности

5.4 Версии и команды

ТипВерсияДата
Первая с механизмомv2.1.912026-04-02
Последняя затронутаяv2.1.1962026-06-29
Исправлениеv2.1.197 (иногда 2.1.198)2026-07-01/02
# Проверить версию claude --version # Проверить прокси echo $ANTHROPIC_BASE_URL # Обновление npm install -g @anthropic-ai/claude-code@latest claude update

Удаление: macOS/Linux — ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows — %USERPROFILE%\.claude и кэш. Компании: аудит egress на dev-терминалах.

Цифры: 147 доменов в чёрном списке; ~20 недокументированных версий; 3 бита стеганографии (1 бит даты + 3 варианта апострофа).

VI. Сравнение заявлений

6.1 NVDB / MIIT

6.2 Anthropic / Thariq Shihipar

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Квалификация «эксперимент», не «бэкдор». Контекст: Anthropic обвиняет Qwen Alibaba в ~25 000 мошеннических аккаунтах и 28,8 млн взаимодействий.

6.3 Alibaba

6.4 Лексика СМИ

ИсточникТерминФокус
NVDB / MIITbackdoor / severe threatCompliance, утечка данных
CNBC / Reuterssecurity backdoor / monitoringРегуляторика + реакция бизнеса
The Registercovert code / secret steganographyТехника + accountability
Ars Technicaspyware-like trackingКризис доверия
Cybernews«a nothing burger»Переоценка vs анти-дистилляция
Anthropicexperiment / anti-distillationОборонительная цель

VII. Контекст: война дистилляции ИИ США–Китай

VIII. Проверка фактов

  1. ⚠️ Не все пользователи затронуты — только с неофициальным ANTHROPIC_BASE_URL
  2. ⚠️ Версия исправления: в основном v2.1.197, иногда 2.1.198 — рекомендовать «2.1.197+»
  3. ⚠️ «Бэкдор» — регуляторная, не единственная техническая квалификация
  4. ⚠️ Последствие: риск бана, не подтверждённая утечка
  5. ⚠️ Расхождения дат — changelog GitHub как эталон

IX. Матрица решений

СценарийТриггер?ДействиеРиск
Официальный api.anthropic.comНетВсё равно обновить до 2.1.197+Низкий
Корпоративный прокси с BASE_URLДаНемедленно обновить/удалить; аудит egressВысокий
Китайский пояс + проксиДа (двойной сигнал)Обновление + альтернативы (Qoder/Cursor)Высокий
Сотрудник AlibabaСоблюдать внутренний запрет, QoderCompliance
Уже v2.1.197+НетМониторить прозрачность changelogСредний

X. Чеклисты для разработчиков и IT

Индивидуальный разработчик

Корпоративный IT

XI. Пятшаговый runbook

  1. Версия: claude --version или npm list -g @anthropic-ai/claude-code.
  2. Endpoint: echo $ANTHROPIC_BASE_URL — всё кроме api.anthropic.com = высокий приоритет.
  3. Обновление/удаление: npm install -g @anthropic-ai/claude-code@latest или claude update; удалить ~/.claude.
  4. Аудит egress (компания): неавторизованные AI-endpoint на dev-терминалах.
  5. Альтернативы: Qoder, Cursor или изолированное Mac-облако для agent-воркфлоу.

XII. FAQ

Q1: Есть ли бэкдор в Claude Code?

В v2.1.91–2.1.196: недокументированная стеганография. NVDB: серьёзный риск; Anthropic: эксперимент, удалён в v2.1.197.

Q2: Какие версии?

v2.1.91 (2 апр. 2026) — v2.1.196 (29 июн. 2026). Обновление до v2.1.197+.

Q3: Официальный API под мониторингом?

Нет — только при неофициальном ANTHROPIC_BASE_URL.

Q4: Как проверить версию?

claude --version в терминале.

Q5: Удалять?

На затронутых версиях — немедленное обновление; компании дополнительно удаляют и аудируют egress.

Q6: Стеганография?

Разделитель даты и Unicode-апострофы в system prompt кодируют флаги.

Q7: Alibaba?

ПО высокого риска, запрет с 10 июля, переход на Qoder.

Q8: Changelog?

Нет раскрытия в затронутых или исправленных версиях.

Q9: Сейчас безопасно?

v2.1.197+ без кода; использование по политике риска.

Q10: Дистилляция?

Anthropic: анти-перепродажа/дистилляция; обвинение Qwen в ~25 000 аккаунтах.

XIII. Итог и отказ от ответственности

Три линии: регуляторика + стеганографическая техника + контекст дистилляции. Прагматично: проверить версию → проверить endpoint → обновить/удалить → аудит egress.

Запуск Claude Code на неизолированном ПК или Linux VPS создаёт риски прозрачности, egress и секретов. Для compliance-сценариев или агентов 7×24 узел Mac-облака VPSMAC M4 физически изолирует AI-воркфлоу — SSH как единственный вход, API-ключи отделены от production-активов, launchd для стабильности, полный Xcode/Apple toolchain. Для команд, заменяющих Claude Code без потери нативного macOS-опыта, это аудируемее generic VPS.

Отказ от ответственности: на основе предупреждения NVDB и публичных отчётов; не юридическая консультация и не аудит безопасности. Оценивайте меры по своей политике безопасности.

XIV. Источники