Китай велел удалить Claude Code после находки скрытого трекера

Китайский регулятор по уязвимостям предупредил о «бэкдоре» в Claude Code и посоветовал компаниям удалить затронутые версии инструмента Anthropic. По его версии, речь идёт о сборе геолокации и пользовательских идентификаторов без согласия, а ещё о скрытой маркировке части запросов через стеганографию в системных промптах. В Anthropic сам механизм не отрицают, но говорят, что это был эксперимент против дистилляции моделей, и уже объявили об откате функции.
О предупреждении сообщило Reuters со ссылкой на Национальную базу данных уязвимостей КНР, которой занимается Министерство промышленности и информатизации Китая. Под уведомление попали версии Claude Code с 2.1.91 по 2.1.196. Регулятор просит организации быстро проверить системы, удалить уязвимые сборки или обновиться до релиза, где спорный код уже убрали.
По данным китайской стороны, встроенный механизм отправлял на удалённые серверы геолокацию пользователя и идентификаторы, связанные с личностью. Отдельно регулятор пишет о скрытом трекере, который считывал часовой пояс и параметры прокси, а потом незаметно помечал некоторые запросы в системном промпте. Такие маркеры, как утверждается, использовались для отслеживания обращений, предположительно связанных с Китаем.
Инженер Anthropic Тарик Шихипар раньше объяснял, что механизм запустили в марте как эксперимент для борьбы с дистилляцией и неавторизованными реселлерами. Под дистилляцией компания понимает ситуацию, когда конкуренты или посредники массово прогоняют запросы через чужую модель, а потом используют ответы для обучения собственных систем. По словам Anthropic, трекер собирались убрать и без скандала, а после огласки изменения откатили в ближайшем обновлении.
Claude Code в Китае
Сама история выглядит чувствительной ещё и из-за статуса Anthropic в Китае. Компания официально не даёт там доступ к своим сервисам, но пользователи и команды разработчиков обходят ограничения через VPN и прокси. Для Пекина это сразу две болезненные темы: скрытый сбор данных и использование зарубежного ИИ-инструмента в обход местных правил.
На этом фоне Alibaba уже запретила сотрудникам использовать Claude Code с 10 июля и перевела их на внутреннюю платформу Qoder. Этот шаг можно считать и реакцией на предупреждение регулятора, и частью более широкой линии китайских корпораций на импортозамещение ИИ-инструментов. У крупных игроков в Китае уже есть свои кодовые ассистенты и модели, так что скандал с западным сервисом дал удобный повод ускорить внутренний переход.
Конфликт не возник на пустом месте. С февраля Anthropic публично обвиняет китайские ИИ-лаборатории, включая Alibaba Qwen, в массовой дистилляции моделей Claude. OpenAI в 2024 году тоже начала жёстче ограничивать доступ к своим API из Китая и Гонконга, а китайские регуляторы одновременно усиливают контроль за трансграничной передачей данных и безопасностью генеративного ИИ.
У истории есть и отраслевое измерение. Рынок ИИ-помощников для разработчиков быстро растёт, а конкуренция идёт уже не только между моделями, но и между целыми рабочими средами: GitHub Copilot, Cursor, Gemini Code Assist, Qoder и Claude Code борются за место прямо в IDE и командной строке. На таком рынке любой намёк на скрытую телеметрию бьёт по продукту сильнее обычного бага. Аудитория тут особенно чувствительна к тому, что именно уходит с машины разработчика.
Для Anthropic последствия станут понятнее в ближайшие недели, когда крупные корпоративные клиенты решат, считать ли этот эпизод неудачным антифрод-экспериментом или нарушением базового доверия. Для Китая ответ уже звучит жёстко: западный инструмент с неочевидной телеметрией проще заменить локальным. И это плохая новость не только для Claude Code, но и для любого иностранного ИИ-сервиса, который пытается работать в серой зоне между блокировками и корпоративным спросом.



