Предупреждение NVDB: риск бэкдора в Claude Code (2.1.91–2.1.196) — технический разбор и руководство для разработчиков
8 июля 2026 китайская платформа NVDB (Network Vulnerability Database) предупредила о серьёзном риске бэкдора в Anthropic Claude Code версий v2.1.91–2.1.196. Если вы используете AI-инструменты для программирования, немедленно выполните claude --version. Статья восстанавливает хронологию, объясняет стеганографию в system prompts, сравнивает позиции NVDB, Anthropic и Alibaba, описывает контекст дистилляции США–Китай и содержит чеклисты, пятшаговый runbook и десять FAQ.
- Регуляторная оценка: NVDB — встроенный механизм может передавать регион и идентификаторы без согласия.
- Затронутые версии: v2.1.91 (2 апр.) — v2.1.196 (29 июн.); исправление с v2.1.197+.
- Триггер: только при
ANTHROPIC_BASE_URLна неофициальный endpoint — пользователи официального API не затронуты. - Корпоративный эффект: Alibaba запрещает Claude Code с 10 июля, переход на Qoder.
- Немедленные действия: обновление или удаление → очистка локальных следов → аудит исходящего трафика.
Содержание
- I. Проблема: регуляторика vs техника
- II. Сводка инцидента
- III. Полная хронология
- IV. Кто реально затронут
- V. Технический механизм
- VI. Сравнение заявлений
- VII. Контекст: дистилляция ИИ
- VIII. Проверка фактов
- IX. Матрица решений
- X. Чеклисты
- XI. Пятшаговый runbook
- XII. FAQ
- XIII. Итог и отказ от ответственности
- XIV. Источники
I. Проблема: регуляторная квалификация vs технические детали — ошибки формулировок снижают доверие
- Кликбейт: «Claude Code следит за всеми» — неверно. Только при
ANTHROPIC_BASE_URLна неофициальный endpoint. - Бэкдор vs эксперимент: NVDB — «серьёзный риск бэкдора»; Anthropic — «анти-злоупотребление/анти-дистилляция»; инженеры — «стеганографический covert channel».
- Окно compliance: NVDB 8 июля, запрет Alibaba 10 июля — IT-команды должны проверить версии и egress за дни.
Цепочка событий: Anthropic встраивает детекцию китайских пользователей → reverse engineering → извинения и rollback → запрет Alibaba → предупреждение NVDB о бэкдоре.
II. Сводка инцидента
8 июля 2026 NVDB опубликовал предупреждение о Claude Code от Anthropic с квалификацией серьёзный риск бэкдора.
| Пункт | Содержание |
|---|---|
| Характер | Встроенный мониторинг без согласия пользователя |
| Передаваемые данные | Регион, идентификаторы и аналогичная чувствительная информация |
| Затронутые версии | v2.1.91 — v2.1.196 |
| Период | 2 апреля — 29 июня 2026 |
| Рекомендация | Удалить или обновить; усилить контроль исходящего трафика |
| Компании | Alibaba и другие ограничили использование |
| Производитель | Anthropic: «эксперимент», анти-дистилляция, удаление в новых версиях |
III. Полная хронология
| Дата | Событие |
|---|---|
| Фев. 2026 | Anthropic публично инвестирует в анти-дистилляцию (классификаторы, отпечатки) |
| Март 2026 | Скрытый механизм детекции внутри, без раскрытия |
| 2026-04-02 | v2.1.91 — первый релиз со скрытым кодом |
| Апр.–июнь 2026 | ~20 версий, логика сохраняется, нет записей в changelog |
| 2026-06-29 | v2.1.196 — последняя затронутая версия |
| 2026-06-30 | Reddit (LegitMichel777), Thereallo, Adnane Khan (GitHub) документируют стеганографию |
| 2026-07-01 | Thariq Shihipar (Anthropic) признаёт эксперимент, обещает rollback |
| 2026-07-02 | v2.1.197 (иногда 2.1.198) — код удалён, changelog молчит |
| 2026-07-03/04 | Reuters/TechCrunch: Alibaba запрещает Claude Code с 10 июля, переход на Qoder |
| 2026-07-08 | NVDB публикует предупреждение о бэкдоре |
| 2026-07-10 | Внутренний запрет Alibaba вступает в силу |
IV. Кто реально затронут: условие триггера
Механизм не для всех. Активируется только если ANTHROPIC_BASE_URL указывает на неофициальный endpoint (корпоративный шлюз, прокси, перепродажа API). Пользователи api.anthropic.com не активируют этот путь.
Наиболее вероятное последствие — риск блокировки аккаунта, а не подтверждённая утечка данных — фокус на недокументированном мониторинге и compliance.
V. Технический механизм подробно
5.1 Разведка окружения
- Часовой пояс:
Asia/ShanghaiилиAsia/Urumqi - Чёрный список доменов: сравнение hostname
ANTHROPIC_BASE_URL
Reverse engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach): 147 записей — китайские tech-гиганты, ключевые слова AI-лабораторий (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI и др.) и известные proxy-шлюзы. Шифрование XOR (ключ 91) + Base64.
5.2 Стеганография в system prompt
Не отдельный канал телеметрии — модификация system prompt:
- Разделитель даты: при китайском поясе
2026-06-30→2026/06/30 - Unicode-апострофы: в
Today's date isтри визуально похожих символа кодируют флаги пояса, домена и лаборатории
Adnane Khan: «a covert information channel embedded in system prompts».
5.3 Отличие от обычной телеметрии
- Стеганография вместо прозрачной телеметрии
- ~3 месяца без раскрытия в changelog
- Целевой fingerprinting по региону и конкурентам
- Инструмент с правами файловой системы и shell — выше ожидания прозрачности
5.4 Версии и команды
| Тип | Версия | Дата |
|---|---|---|
| Первая с механизмом | v2.1.91 | 2026-04-02 |
| Последняя затронутая | v2.1.196 | 2026-06-29 |
| Исправление | v2.1.197 (иногда 2.1.198) | 2026-07-01/02 |
Удаление: macOS/Linux — ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows — %USERPROFILE%\.claude и кэш. Компании: аудит egress на dev-терминалах.
Цифры: 147 доменов в чёрном списке; ~20 недокументированных версий; 3 бита стеганографии (1 бит даты + 3 варианта апострофа).
VI. Сравнение заявлений
6.1 NVDB / MIIT
- Квалификация: серьёзный риск бэкдора
- Мониторинг без согласия, передача чувствительных данных
- Рекомендация: инвентаризация терминалов, обновление/удаление, фильтрация egress
6.2 Anthropic / Thariq Shihipar
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
Квалификация «эксперимент», не «бэкдор». Контекст: Anthropic обвиняет Qwen Alibaba в ~25 000 мошеннических аккаунтах и 28,8 млн взаимодействий.
6.3 Alibaba
- «As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.»
- С 10 июля 2026 — Claude Code и модели Anthropic запрещены
- Альтернатива: внутренний Qoder
6.4 Лексика СМИ
| Источник | Термин | Фокус |
|---|---|---|
| NVDB / MIIT | backdoor / severe threat | Compliance, утечка данных |
| CNBC / Reuters | security backdoor / monitoring | Регуляторика + реакция бизнеса |
| The Register | covert code / secret steganography | Техника + accountability |
| Ars Technica | spyware-like tracking | Кризис доверия |
| Cybernews | «a nothing burger» | Переоценка vs анти-дистилляция |
| Anthropic | experiment / anti-distillation | Оборонительная цель |
VII. Контекст: война дистилляции ИИ США–Китай
- Anthropic блокирует прямой доступ из Китая; обход через VPN, прокси, иностранные карты
- Фев. 2026: статья Пекинского университета/CAS о следах дистилляции в китайских моделях
- Anthropic обвинял DeepSeek, Moonshot, MiniMax, Alibaba и др.
- Claude Opus 4.8 «считал себя Qwen/DeepSeek» — дебаты о двойных стандартах
- Qoder как пример внутренней альтернативы
VIII. Проверка фактов
- ⚠️ Не все пользователи затронуты — только с неофициальным
ANTHROPIC_BASE_URL - ⚠️ Версия исправления: в основном v2.1.197, иногда 2.1.198 — рекомендовать «2.1.197+»
- ⚠️ «Бэкдор» — регуляторная, не единственная техническая квалификация
- ⚠️ Последствие: риск бана, не подтверждённая утечка
- ⚠️ Расхождения дат — changelog GitHub как эталон
IX. Матрица решений
| Сценарий | Триггер? | Действие | Риск |
|---|---|---|---|
| Официальный api.anthropic.com | Нет | Всё равно обновить до 2.1.197+ | Низкий |
| Корпоративный прокси с BASE_URL | Да | Немедленно обновить/удалить; аудит egress | Высокий |
| Китайский пояс + прокси | Да (двойной сигнал) | Обновление + альтернативы (Qoder/Cursor) | Высокий |
| Сотрудник Alibaba | — | Соблюдать внутренний запрет, Qoder | Compliance |
| Уже v2.1.197+ | Нет | Мониторить прозрачность changelog | Средний |
X. Чеклисты для разработчиков и IT
Индивидуальный разработчик
- ☐
claude --version— версия в диапазоне 2.1.91–2.1.196? - ☐
echo $ANTHROPIC_BASE_URL— неофициальный endpoint? - ☐ Обновление до v2.1.197+ или удаление с очисткой
- ☐ Оценить альтернативы (Cursor, Qoder и др.)
Корпоративный IT
- ☐ Инвентаризация установок и версий Claude Code
- ☐ Фильтрация egress и мониторинг трафика
- ☐ Обновить whitelist/blacklist ПО
- ☐ Внутренние альтернативы (Qoder, изолированное Mac-облако)
- ☐ Audit trail для compliance
XI. Пятшаговый runbook
- Версия:
claude --versionилиnpm list -g @anthropic-ai/claude-code. - Endpoint:
echo $ANTHROPIC_BASE_URL— всё кромеapi.anthropic.com= высокий приоритет. - Обновление/удаление:
npm install -g @anthropic-ai/claude-code@latestилиclaude update; удалить~/.claude. - Аудит egress (компания): неавторизованные AI-endpoint на dev-терминалах.
- Альтернативы: Qoder, Cursor или изолированное Mac-облако для agent-воркфлоу.
XII. FAQ
Q1: Есть ли бэкдор в Claude Code?
В v2.1.91–2.1.196: недокументированная стеганография. NVDB: серьёзный риск; Anthropic: эксперимент, удалён в v2.1.197.
Q2: Какие версии?
v2.1.91 (2 апр. 2026) — v2.1.196 (29 июн. 2026). Обновление до v2.1.197+.
Q3: Официальный API под мониторингом?
Нет — только при неофициальном ANTHROPIC_BASE_URL.
Q4: Как проверить версию?
claude --version в терминале.
Q5: Удалять?
На затронутых версиях — немедленное обновление; компании дополнительно удаляют и аудируют egress.
Q6: Стеганография?
Разделитель даты и Unicode-апострофы в system prompt кодируют флаги.
Q7: Alibaba?
ПО высокого риска, запрет с 10 июля, переход на Qoder.
Q8: Changelog?
Нет раскрытия в затронутых или исправленных версиях.
Q9: Сейчас безопасно?
v2.1.197+ без кода; использование по политике риска.
Q10: Дистилляция?
Anthropic: анти-перепродажа/дистилляция; обвинение Qwen в ~25 000 аккаунтах.
XIII. Итог и отказ от ответственности
Три линии: регуляторика + стеганографическая техника + контекст дистилляции. Прагматично: проверить версию → проверить endpoint → обновить/удалить → аудит egress.
Запуск Claude Code на неизолированном ПК или Linux VPS создаёт риски прозрачности, egress и секретов. Для compliance-сценариев или агентов 7×24 узел Mac-облака VPSMAC M4 физически изолирует AI-воркфлоу — SSH как единственный вход, API-ключи отделены от production-активов, launchd для стабильности, полный Xcode/Apple toolchain. Для команд, заменяющих Claude Code без потери нативного macOS-опыта, это аудируемее generic VPS.
Отказ от ответственности: на основе предупреждения NVDB и публичных отчётов; не юридическая консультация и не аудит безопасности. Оценивайте меры по своей политике безопасности.
XIV. Источники
- IT之家, 新京报, 36氪 — предупреждения NVDB
- CNBC — China warns about AI risks with Anthropic's Claude Code
- The Register — предупреждение о бэкдоре и удаление скрытого кода
- TechCrunch — Alibaba reportedly bans employees from using Claude Code
- Ars Technica — Secret Claude tracker shocks users
- The Decoder — Hidden code in Claude Code secretly flagged Chinese users
- Thereallo — Claude Code Is Steganographically Marking Requests
- Vincent Schmalbach — Claude Code Is Quietly Fingerprinting China-Linked API Routers
- Cybernews — Claude Code attempts to detect Chinese users: Fair?