Claude Code backdoor: что заявила китайская NVDB
Китайская NVDB заявила о backdoor-риске в Claude Code. Разбираем, что известно о версиях 2.1.91-2.1.196, почему важен контекст Anthropic и как компаниям читать такой warning.
По состоянию на 8 июля 2026 года история про Claude Code backdoor остаётся именно обвинением китайской NVDB, а не независимым публичным разбором CVE. Китайская платформа уязвимостей при контуре MIIT заявила, что в Claude Code есть риск «security backdoor» и назвала конкретный диапазон версий: 2.1.91-2.1.196.
Главный риск в пересказе: подать это как доказанный шпионский модуль Anthropic. Доказательств такого уровня в публичных источниках на момент проверки нет. Но списывать историю как чистую геополитику тоже рано: речь о coding agent, который читает репозиторий, работает рядом с секретами, запускает команды и отправляет контекст в облако. Для компаний это вопрос доверия к Anthropic и контроля любых AI-инструментов в среде разработки.

Что именно заявила NVDB
NVDB утверждает, что Claude Code содержит встроенный механизм мониторинга, который может передавать на удалённые серверы чувствительные сведения, включая географическое положение пользователя и идентификаторы, связанные с личностью. В рекомендациях китайская сторона просит организации проверить рабочие станции разработчиков, удалить затронутые версии или обновиться до безопасной версии, а также усилить контроль внешних сетевых соединений для dev-инструментов.
| Факт | Что подтверждено публично | Источник |
|---|---|---|
| Дата предупреждения | 8 июля 2026 года | Reuters-перепечатка Dawn/Tribune, China Daily, Tom's Hardware |
| Затронутые версии | Claude Code 2.1.91-2.1.196 |
NVDB через Reuters/China Daily; Tom's Hardware |
| Суть обвинения | NVDB говорит о встроенном мониторинговом механизме и передаче location/identity-сигналов без согласия | Reuters-перепечатка Dawn/Tribune; China Daily; китайская Science and Technology Daily |
| Рекомендация | Проверить установки, удалить или обновить затронутые версии, усилить egress-контроль и мониторинг трафика | Reuters-перепечатка Dawn/Tribune; China Daily |
| Позиция Anthropic | На запрос Reuters компания не ответила; ранее инженер Claude Code объяснял найденный механизм как антиабуз-эксперимент против перепродажи доступа и distillation | Reuters-перепечатка Tribune; The Register; Tom's Hardware |
Таблица нужна из-за формулировок. В ней нет строки «Anthropic признала backdoor» или «уязвимость получила CVE». Публично подтверждён другой набор фактов: китайская NVDB выпустила warning, назвала версии, описала риск передачи данных и дала рекомендации по удалению или обновлению.
Как это связано с hidden markers в Claude Code
Нынешнее предупреждение NVDB не появилось в вакууме. 30 июня разработчик Thereallo опубликовал разбор локальной установки Claude Code 2.1.196. По его описанию, клиент мог незаметно менять строку с текущей датой в системном prompt: например, использовать другой разделитель даты или похожие Unicode-символы в слове Today's. Условия включали часовые пояса Asia/Shanghai и Asia/Urumqi, а также API base URL и домены/ключевые слова, связанные с китайскими AI-лабораториями и прокси.
По сообщению The Register, инженер Anthropic Thariq Shihipar позже описал это как эксперимент против злоупотреблений: перепродажи доступа и попыток distillation, когда чужую модель используют для обучения своей. Он также написал, что механизм должны убрать в ближайшем релизе. Это объясняет мотив, но не снимает главный вопрос доверия: почему такой сигнал оказался скрытым в клиентском инструменте, а не описан в документации и release notes.
Для разработчиков разница между «классическим backdoor» и «скрытым anti-abuse marker» существенная. Backdoor обычно означает скрытый доступ или обход контроля. Публичные материалы в этом кейсе больше похожи на спор о недокументированном client-side fingerprinting и передаче сигналов в запросах. Но для корпоративной среды итог всё равно неприятный: агент с доступом к репозиторию делает что-то, о чём администратор узнаёт из reverse-engineering, а не из документации поставщика.
Что говорит официальная документация Anthropic
Официальная документация описывает Claude Code как agentic coding tool: он читает кодовую базу, редактирует файлы, запускает команды и интегрируется с терминалом, IDE, desktop app и браузером. Это не обычный чат. Такой инструмент по определению работает ближе к инфраструктуре разработки, чем веб-бот для пересказа текста.
На странице Data usage Anthropic отдельно пишет о стандартной телеметрии Claude Code: метрики задержки, надёжности и паттернов использования, без кода и путей к файлам; отключение через DISABLE_TELEMETRY. Там же описаны Sentry error logging, DISABLE_ERROR_REPORTING, команда /feedback и условия, при которых пользователь сам отправляет историю сессии.

Полезная граница проходит здесь: документированная телеметрия сама по себе не делает продукт «бэкдором». Многие dev-инструменты отправляют метрики и ошибки. Проблема начинается, когда рядом обнаруживается скрытая маркировка запросов, особенно в инструменте, который может видеть приватный код, переменные окружения, логи сборки и внутренние endpoints. Даже если мотив защиты от abuse разумный, форма реализации должна быть прозрачной.
Почему это важно не только пользователям из Китая
Китайский контекст здесь очевиден: Anthropic ограничивает доступ к Claude в Китае, китайские разработчики используют прокси, Alibaba, по сообщениям Reuters и Tom's Hardware, запретила Claude Code для сотрудников с 10 июля 2026 года, а между Anthropic и китайскими AI-лабораториями уже были взаимные обвинения вокруг distillation. Но корпоративный вывод шире географии.
Любой AI coding agent становится частью supply chain. Он получает доступ к исходникам, инструментам сборки, пакетным менеджерам, задачам CI, локальным файлам и сетевым ресурсам. Поэтому вопрос звучит не «верим ли мы китайскому предупреждению», а «можем ли мы доказать, что понимаем сетевое поведение своих AI-инструментов».
Мы уже разбирали соседний риск в материале про скрытую проверку Claude Code, а история с запретом Alibaba на Claude Code показывает, как быстро технический спор превращается в governance-решение. Для широкого контекста это ложится в тот же кластер, что и AI Security агентных систем: агентам нельзя давать полный доступ без egress-контроля, журналирования и понятной политики секретов.
Что делать командам, если Claude Code уже стоял в dev-среде
Минимальный план не требует паники, но требует инвентаризации.
- Проверьте версии Claude Code на рабочих станциях и в dev-контейнерах. Если встречается диапазон
2.1.91-2.1.196, зафиксируйте владельца машины и сценарий использования. - Обновите Claude Code через официальный канал или временно удалите затронутые версии, если политика компании не разрешает такие инструменты без отдельной проверки.
- Посмотрите сетевые соединения инструмента: Anthropic API, Sentry, телеметрия, внутренние gateway и прокси. Для этого подойдут корпоративный прокси, EDR, Little Snitch, mitmproxy или другой штатный network monitoring.
- Если телеметрия не нужна, отключите её документированными переменными вроде
DISABLE_TELEMETRYиDISABLE_ERROR_REPORTING. Для запрета feedback-отправок проверьтеDISABLE_FEEDBACK_COMMAND. - Пересмотрите permissions: агент не должен читать
.env, ключи, production-секреты и директории с credential material без явного разрешения. - Заведите список разрешённых AI-инструментов для разработки. Запрет «по ощущениям» не работает: через неделю появится другой агент с теми же правами и другой политикой данных.
Если команда работает с чувствительным кодом, лучше считать coding agents частью security perimeter, а не удобной IDE-функцией. Тогда разговор становится спокойнее: не «Claude плохой или хороший», а «какие данные уходят, куда, когда и кто это может проверить».
FAQ
Что заявила NVDB о Claude Code?
NVDB заявила, что в Claude Code есть риск security backdoor: встроенный мониторинговый механизм якобы может передавать географические и identity-сигналы на удалённые серверы без согласия пользователя. Это заявление китайского регуляторного контура, а не независимый CVE-разбор.
Какие версии Claude Code названы затронутыми?
В публичных сообщениях NVDB и пересказах Reuters/China Daily указан диапазон 2.1.91-2.1.196. Именно его стоит искать при внутренней инвентаризации.
Что делать компаниям, если Claude Code стоял в dev-среде?
Проверить версии, обновить или удалить затронутые установки, посмотреть сетевое поведение, отключить ненужную телеметрию документированными настройками и пересмотреть доступ агента к секретам, репозиториям и внутренним endpoint.
Вывод
История с Claude Code показывает, почему доверие к AI coding agents теперь строится не только на качестве модели. Нужны прозрачные сетевые потоки, понятные настройки telemetry, честные release notes и возможность проверить, что именно клиент отправляет наружу.
NVDB может использовать жёсткое слово «backdoor», а Anthropic может считать спорный механизм anti-abuse защитой. Для разработчиков и security-команд практический вывод один: агент, который видит код и запускает команды, должен быть таким же наблюдаемым, как CI/CD, пакетный менеджер и корпоративный прокси. Иначе следующий спор придётся разбирать уже не по пресс-релизам, а по логам утечки.
Читайте также
- Claude Code скрытая проверка: что откатывает Anthropic
- Claude Code, Alibaba и JADEPUFFER: почему компании закрывают доступ к AI-агентам
- AI Security агентных систем: риски, которые нельзя закрыть промптом
Источники и дата проверки
- Tom's Hardware: China alleges that Claude Code contains backdoors, опубликовано 8 июля 2026 года, проверено 8 июля 2026 года.
- Reuters via The Express Tribune: China issues 'backdoor' security alert over Anthropic's Claude Code, опубликовано 8 июля 2026 года, проверено 8 июля 2026 года.
- China Daily: China's industry regulator flags 'backdoor' risk in Claude Code, опубликовано 8 июля 2026 года, проверено 8 июля 2026 года.
- Thereallo: Claude Code Is Steganographically Marking Requests, опубликовано 30 июня 2026 года, проверено 8 июля 2026 года.
- The Register: Anthropic is removing its covert code for catching Chinese competitors, опубликовано 1 июля 2026 года, проверено 8 июля 2026 года.
- Anthropic Claude Code Docs: Overview, проверено 8 июля 2026 года.
- Anthropic Claude Code Docs: Data usage, проверено 8 июля 2026 года.