Claude Code backdoor: что заявила китайская NVDB

Китайская NVDB заявила о backdoor-риске в Claude Code. Разбираем, что известно о версиях 2.1.91-2.1.196, почему важен контекст Anthropic и как компаниям читать такой warning.

Официальная документация Claude Code на фоне предупреждения NVDB о backdoor-риске

По состоянию на 8 июля 2026 года история про Claude Code backdoor остаётся именно обвинением китайской NVDB, а не независимым публичным разбором CVE. Китайская платформа уязвимостей при контуре MIIT заявила, что в Claude Code есть риск «security backdoor» и назвала конкретный диапазон версий: 2.1.91-2.1.196.

Главный риск в пересказе: подать это как доказанный шпионский модуль Anthropic. Доказательств такого уровня в публичных источниках на момент проверки нет. Но списывать историю как чистую геополитику тоже рано: речь о coding agent, который читает репозиторий, работает рядом с секретами, запускает команды и отправляет контекст в облако. Для компаний это вопрос доверия к Anthropic и контроля любых AI-инструментов в среде разработки.

Пост Thereallo о скрытых маркерах в запросах Claude Code
Публичный разбор Thereallo от 30 июня 2026 года стал одним из источников спора вокруг Claude Code: исследователь описал скрытые маркеры в системном prompt на основе API base URL и часового пояса. Источник: thereallo.dev.

Что именно заявила NVDB

NVDB утверждает, что Claude Code содержит встроенный механизм мониторинга, который может передавать на удалённые серверы чувствительные сведения, включая географическое положение пользователя и идентификаторы, связанные с личностью. В рекомендациях китайская сторона просит организации проверить рабочие станции разработчиков, удалить затронутые версии или обновиться до безопасной версии, а также усилить контроль внешних сетевых соединений для dev-инструментов.

Факт Что подтверждено публично Источник
Дата предупреждения 8 июля 2026 года Reuters-перепечатка Dawn/Tribune, China Daily, Tom's Hardware
Затронутые версии Claude Code 2.1.91-2.1.196 NVDB через Reuters/China Daily; Tom's Hardware
Суть обвинения NVDB говорит о встроенном мониторинговом механизме и передаче location/identity-сигналов без согласия Reuters-перепечатка Dawn/Tribune; China Daily; китайская Science and Technology Daily
Рекомендация Проверить установки, удалить или обновить затронутые версии, усилить egress-контроль и мониторинг трафика Reuters-перепечатка Dawn/Tribune; China Daily
Позиция Anthropic На запрос Reuters компания не ответила; ранее инженер Claude Code объяснял найденный механизм как антиабуз-эксперимент против перепродажи доступа и distillation Reuters-перепечатка Tribune; The Register; Tom's Hardware

Таблица нужна из-за формулировок. В ней нет строки «Anthropic признала backdoor» или «уязвимость получила CVE». Публично подтверждён другой набор фактов: китайская NVDB выпустила warning, назвала версии, описала риск передачи данных и дала рекомендации по удалению или обновлению.

Как это связано с hidden markers в Claude Code

Нынешнее предупреждение NVDB не появилось в вакууме. 30 июня разработчик Thereallo опубликовал разбор локальной установки Claude Code 2.1.196. По его описанию, клиент мог незаметно менять строку с текущей датой в системном prompt: например, использовать другой разделитель даты или похожие Unicode-символы в слове Today's. Условия включали часовые пояса Asia/Shanghai и Asia/Urumqi, а также API base URL и домены/ключевые слова, связанные с китайскими AI-лабораториями и прокси.

По сообщению The Register, инженер Anthropic Thariq Shihipar позже описал это как эксперимент против злоупотреблений: перепродажи доступа и попыток distillation, когда чужую модель используют для обучения своей. Он также написал, что механизм должны убрать в ближайшем релизе. Это объясняет мотив, но не снимает главный вопрос доверия: почему такой сигнал оказался скрытым в клиентском инструменте, а не описан в документации и release notes.

Для разработчиков разница между «классическим backdoor» и «скрытым anti-abuse marker» существенная. Backdoor обычно означает скрытый доступ или обход контроля. Публичные материалы в этом кейсе больше похожи на спор о недокументированном client-side fingerprinting и передаче сигналов в запросах. Но для корпоративной среды итог всё равно неприятный: агент с доступом к репозиторию делает что-то, о чём администратор узнаёт из reverse-engineering, а не из документации поставщика.

Что говорит официальная документация Anthropic

Официальная документация описывает Claude Code как agentic coding tool: он читает кодовую базу, редактирует файлы, запускает команды и интегрируется с терминалом, IDE, desktop app и браузером. Это не обычный чат. Такой инструмент по определению работает ближе к инфраструктуре разработки, чем веб-бот для пересказа текста.

На странице Data usage Anthropic отдельно пишет о стандартной телеметрии Claude Code: метрики задержки, надёжности и паттернов использования, без кода и путей к файлам; отключение через DISABLE_TELEMETRY. Там же описаны Sentry error logging, DISABLE_ERROR_REPORTING, команда /feedback и условия, при которых пользователь сам отправляет историю сессии.

Официальная документация Anthropic Claude Code Data usage
Официальная страница Anthropic Data usage описывает обычную телеметрию и правила хранения данных Claude Code. Спор вокруг NVDB касается не этой видимой документации, а доверия к недокументированным сигналам в клиенте. Источник: Anthropic Claude Code Docs.

Полезная граница проходит здесь: документированная телеметрия сама по себе не делает продукт «бэкдором». Многие dev-инструменты отправляют метрики и ошибки. Проблема начинается, когда рядом обнаруживается скрытая маркировка запросов, особенно в инструменте, который может видеть приватный код, переменные окружения, логи сборки и внутренние endpoints. Даже если мотив защиты от abuse разумный, форма реализации должна быть прозрачной.

Почему это важно не только пользователям из Китая

Китайский контекст здесь очевиден: Anthropic ограничивает доступ к Claude в Китае, китайские разработчики используют прокси, Alibaba, по сообщениям Reuters и Tom's Hardware, запретила Claude Code для сотрудников с 10 июля 2026 года, а между Anthropic и китайскими AI-лабораториями уже были взаимные обвинения вокруг distillation. Но корпоративный вывод шире географии.

Любой AI coding agent становится частью supply chain. Он получает доступ к исходникам, инструментам сборки, пакетным менеджерам, задачам CI, локальным файлам и сетевым ресурсам. Поэтому вопрос звучит не «верим ли мы китайскому предупреждению», а «можем ли мы доказать, что понимаем сетевое поведение своих AI-инструментов».

Мы уже разбирали соседний риск в материале про скрытую проверку Claude Code, а история с запретом Alibaba на Claude Code показывает, как быстро технический спор превращается в governance-решение. Для широкого контекста это ложится в тот же кластер, что и AI Security агентных систем: агентам нельзя давать полный доступ без egress-контроля, журналирования и понятной политики секретов.

Что делать командам, если Claude Code уже стоял в dev-среде

Минимальный план не требует паники, но требует инвентаризации.

  1. Проверьте версии Claude Code на рабочих станциях и в dev-контейнерах. Если встречается диапазон 2.1.91-2.1.196, зафиксируйте владельца машины и сценарий использования.
  2. Обновите Claude Code через официальный канал или временно удалите затронутые версии, если политика компании не разрешает такие инструменты без отдельной проверки.
  3. Посмотрите сетевые соединения инструмента: Anthropic API, Sentry, телеметрия, внутренние gateway и прокси. Для этого подойдут корпоративный прокси, EDR, Little Snitch, mitmproxy или другой штатный network monitoring.
  4. Если телеметрия не нужна, отключите её документированными переменными вроде DISABLE_TELEMETRY и DISABLE_ERROR_REPORTING. Для запрета feedback-отправок проверьте DISABLE_FEEDBACK_COMMAND.
  5. Пересмотрите permissions: агент не должен читать .env, ключи, production-секреты и директории с credential material без явного разрешения.
  6. Заведите список разрешённых AI-инструментов для разработки. Запрет «по ощущениям» не работает: через неделю появится другой агент с теми же правами и другой политикой данных.

Если команда работает с чувствительным кодом, лучше считать coding agents частью security perimeter, а не удобной IDE-функцией. Тогда разговор становится спокойнее: не «Claude плохой или хороший», а «какие данные уходят, куда, когда и кто это может проверить».

FAQ

Что заявила NVDB о Claude Code?

NVDB заявила, что в Claude Code есть риск security backdoor: встроенный мониторинговый механизм якобы может передавать географические и identity-сигналы на удалённые серверы без согласия пользователя. Это заявление китайского регуляторного контура, а не независимый CVE-разбор.

Какие версии Claude Code названы затронутыми?

В публичных сообщениях NVDB и пересказах Reuters/China Daily указан диапазон 2.1.91-2.1.196. Именно его стоит искать при внутренней инвентаризации.

Что делать компаниям, если Claude Code стоял в dev-среде?

Проверить версии, обновить или удалить затронутые установки, посмотреть сетевое поведение, отключить ненужную телеметрию документированными настройками и пересмотреть доступ агента к секретам, репозиториям и внутренним endpoint.

Вывод

История с Claude Code показывает, почему доверие к AI coding agents теперь строится не только на качестве модели. Нужны прозрачные сетевые потоки, понятные настройки telemetry, честные release notes и возможность проверить, что именно клиент отправляет наружу.

NVDB может использовать жёсткое слово «backdoor», а Anthropic может считать спорный механизм anti-abuse защитой. Для разработчиков и security-команд практический вывод один: агент, который видит код и запускает команды, должен быть таким же наблюдаемым, как CI/CD, пакетный менеджер и корпоративный прокси. Иначе следующий спор придётся разбирать уже не по пресс-релизам, а по логам утечки.

Читайте также

Источники и дата проверки

Telegram-канал @toolarium