Доверие к AI coding agents: уроки истории Claude Code

История Claude Code и Google Save Media показывает: AI-агентам нужно доверять не только код, но и прозрачность данных, telemetry и opt-out.

Страница Anthropic о предотвращении distillation attacks и доверии к AI coding agents

Доверие к AI coding agents: уроки истории Claude Code

Доверие к AI coding agents теперь зависит не только от качества автодополнения или скорости правок. После истории со скрытым marker в Claude Code стало важнее другое: какие сигналы агент собирает, куда он их отправляет и какие настройки действительно дают пользователю контроль.

По состоянию на 6 июля 2026 года картина выглядит так. Исследователи и медиа описали скрытую проверку в Claude Code, которая, по их данным, определяла китайские таймзоны и признаки прокси. Инженер Anthropic публично назвал её экспериментом против злоупотреблений, реселлеров и дистилляции. Параллельно Google официально объясняет, как Search Services History и Save Media могут сохранять медиа для улучшения ИИ-моделей. Это разные истории, но у них общий нерв: пользователь узнаёт о политике данных только тогда, когда уже доверил инструменту рабочий контекст.

Страница документации Claude Code Data usage с настройками данных и telemetry
Документация Claude Code Data usage. Источник: Anthropic / Claude Code Docs.

Что произошло с Claude Code

Технический спор начался не с официального объявления. Пользователь Reddit, выступавший под ником LegitMichel777, опубликовал разбор Claude Code и заявил, что в клиенте есть скрытая логика для пользователей с нестандартным proxy/base URL. По этому разбору, код проверял таймзоны Asia/Shanghai и Asia/Urumqi, а также признаки китайских доменов и ИИ-лабораторий в адресах прокси. Сигнал, как утверждали исследователи, кодировался незаметными изменениями в system prompt: форматом даты и похожими Unicode-апострофами.

Медиа подхватили историю быстро. TNW пишет, что Alibaba после этого запретила сотрудникам использовать Claude Code с 10 июля 2026 года, ссылаясь на internal notice и South China Morning Post. The Register описывает ту же функцию как скрытый механизм для выявления китайских конкурентов и приводит объяснение Thariq Shihipar из команды Claude Code: это был эксперимент против account abuse, unauthorized resellers и distillation.

Версионный факт отдельно проверен через npm-пакет @anthropic-ai/claude-code. Версия 2.1.91 действительно опубликована 2 апреля 2026 года, 2.1.196 — 29 июня, 2.1.197 — 30 июня, а latest на момент проверки — 2.1.201 от 3 июля. npm подтверждает даты и существование версий, но не объясняет содержание скрытой проверки. Для механизма нужны reverse-engineering источники и медиа, поэтому в тексте важно не превращать claims в доказанные факты.

Если нужен технический контекст самой истории, у Toolarium уже есть отдельный разбор: Claude Code скрытая проверка: что откатывает Anthropic. Этот материал о другом: почему даже anti-abuse механизм ломает доверие, если он невидим для пользователя.

Почему удар пришёлся по доверию к агентам

У обычного чат-бота ограниченный радиус доступа: пользователь вставил текст, получил ответ, закрыл вкладку. Coding agent работает иначе. Он читает проект, запускает команды, меняет файлы, ходит в сеть, иногда работает через прокси или корпоративный шлюз. Ошибка в политике данных здесь не выглядит как абстрактная privacy-проблема. Она касается исходников, инфраструктуры и внутреннего рабочего процесса.

Поэтому скрытый marker воспринимается болезненнее, чем обычная аналитика продукта. Даже если мотив был антиабуз, пользователь не видел, что клиент добавляет в system context дополнительный сигнал. Для разработчика system prompt — часть доверенной цепочки: там инструкции, контекст, правила поведения модели. Когда клиент меняет этот слой незаметно, у команды появляется простой вопрос: что ещё может быть закодировано не в UI, а между локальной машиной и сервером?

Это особенно важно для компаний, которые уже ограничивают доступ к AI-агентам. В соседнем материале Toolarium разбирал, почему Claude Code, Alibaba и JADEPUFFER стали поводом пересмотреть корпоративные правила допуска AI-агентов. Там фокус на governance и запретах. Здесь фокус уже на редакционном выводе: прозрачность стала частью качества инструмента.

Что Anthropic официально говорит о данных Claude Code

Официальная документация Claude Code рисует более спокойную, но не простую картину. В разделе Data usage Anthropic разделяет несколько разных механизмов: обучение моделей, telemetry, error reporting, /feedback, surveys и WebFetch safety check. Их нельзя сваливать в одну корзину.

Для consumer-планов Free, Pro и Max Anthropic пишет, что данные могут использоваться для улучшения будущих моделей, если соответствующая настройка включена. Для Team, Enterprise, API, сторонних платформ и Claude Gov компания заявляет другой режим: код и prompts из Claude Code по commercial terms не используются для обучения генеративных моделей, если клиент сам не выбрал передачу данных для model improvement.

Telemetry описана отдельно. Claude Code отправляет operational metrics, например latency, reliability и usage patterns, но документация утверждает, что в telemetry не входят код и пути к файлам. Отключение — через DISABLE_TELEMETRY. Error reporting идёт в Sentry и выключается через DISABLE_ERROR_REPORTING. Команда /feedback может отправить историю разговора, включая код; её можно отключить через DISABLE_FEEDBACK_COMMAND=1.

Есть и менее очевидная деталь: WebFetch domain safety check отправляет hostname в api.anthropic.com для проверки домена по блоклисту. Документация подчёркивает, что это не полный URL и не содержимое страницы, а результат кэшируется на пять минут. Но этот check не отключается общей переменной CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC; для него нужен отдельный skipWebFetchPreflight: true.

Такой разбор не оправдывает скрытый marker. Он показывает, что у AI coding agents уже есть несколько каналов данных, и каждый надо проверять отдельно. "Выключил telemetry" не означает "вообще ничего не уходит". "Commercial terms" не означает "нет логов". Это нормальная инженерная реальность, но нормальной она становится только при прозрачной документации.

Справка Google о Save Media в Search Services History
Google описывает Save Media как отдельную настройку внутри Search Services History. Источник: Google Search Help.

Google Save Media показывает ту же проблему с другой стороны

История Google не про coding agents, но полезна как контрольный пример. В справке Google сказано, что Search Services History может сохранять запросы, изображения, файлы, аудио, видео, transcripts и связанные данные из Search-сервисов. Отдельная настройка Save Media отвечает за сохранение медиа: изображений, файлов, аудио и видео из взаимодействий с Search.

Ключевое условие такое: Google сохраняет media, если Search Services History включён и рядом с Save Media стоит галочка. Сохранённые media могут использоваться для развития и улучшения ИИ-моделей и технологий, включая AI Mode, Lens, Translate, Search Live и voice/audio search. Когда media уже выбраны для обучения, Google пишет, что данные отключаются от аккаунта и могут храниться до четырёх лет.

Практическая часть тоже важна. Если выключить Save Media, будущие media interactions не будут использоваться для обучения генеративных моделей Google, если пользователь сам не отправит feedback. Но это не выключает Search Services History целиком: текстовая история, transcripts voice interactions и generative AI media responses могут продолжать сохраняться. Google также отдельно уточняет, что Save Media не покрывает Gemini Apps, Google Voice, NotebookLM и YouTube.

Для читателя это тот же урок в более бытовой форме. Настройка приватности не всегда одна. Часто это несколько переключателей, каждый со своим охватом и исключениями.

Что проверить разработчику и команде

После истории с Claude Code checklist для AI coding agents должен быть не только про качество кода. Минимальный набор выглядит так.

  • Проверить версию инструмента и changelog. Для Claude Code на 6 июля 2026 года latest в npm — 2.1.201; старые версии из окна 2.1.912.1.196 требуют отдельной проверки.
  • Разобрать каналы данных по отдельности: model training, telemetry, error reporting, feedback, surveys, WebFetch или аналогичные проверки доменов.
  • Зафиксировать корпоративные переменные и настройки: DISABLE_TELEMETRY, DISABLE_ERROR_REPORTING, DISABLE_FEEDBACK_COMMAND, CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC, skipWebFetchPreflight.
  • Ограничить права агента на уровне проекта: доступ к секретам, shell-команды, сеть, запись в репозиторий, запуск внешних инструментов.
  • Не считать proxy/base URL нейтральной деталью. Для антиабуз-систем это сигнал, а для компании — часть threat model.
  • Проверить opt-out настройки у соседних сервисов, где пользователь загружает медиа или код. Пример: Google Search Services History и Save Media.

Если в компании уже есть политика по IDE-плагинам, её стоит расширить на AI-агентов. Агент с доступом к проекту ближе к автоматизированному сотруднику, чем к обычному расширению редактора.

Где проходит граница доверия

AI coding agents будут всё чаще применять скрытые антиабуз-проверки. У провайдеров есть понятная мотивация: экспортный контроль, дистилляция, реселлеры, массовые аккаунты, безопасность платформы. Anthropic в отдельном материале о distillation attacks прямо пишет о более чем 16 млн exchanges и примерно 24 000 fraudulent accounts в обнаруженных кампаниях. Это не игрушечная угроза.

Но доверие ломается не от самого факта проверки. Оно ломается от невидимости. Пользователь может принять telemetry, если понимает её состав и выключатели. Компания может принять anti-abuse контроль, если он описан в документации, контракте или админ-политике. Скрытая маркировка в system prompt выглядит иначе: она просит доверия, не показывая, за что именно.

Хороший AI-агент в 2026 году должен объяснять не только "что он умеет", но и "что он отправляет". Для разработчиков это становится таким же критерием выбора, как качество правок и цена токенов. Для редакции это главный вывод из истории Claude Code: доверие к AI coding agents начинается с прозрачности, а не с очередного обещания писать код быстрее.

Смежный сюжет про обучение на пользовательских данных уже проявлялся в других инструментах. Например, в материале про GitHub Copilot и opt-out видно ту же линию: пользователю нужны не общие заверения, а понятная карта настроек, сроков хранения и исключений.

Короткий FAQ

Что проверить пользователю AI coding agent после истории с Claude Code tracker?

Проверьте версию клиента, настройки telemetry/error reporting/feedback, права агента на файлы и shell-команды, сетевые исключения, proxy/base URL и корпоративные правила допуска инструмента. Если сервис даёт отдельные настройки для обучения моделей и operational logs, проверяйте обе группы.

Google AI data opt-out относится к Claude Code?

Нет. Google Search Services History и Save Media — отдельная история про данные в Search-сервисах Google. В этой статье она используется как пример того, что у современных AI-сервисов privacy-настройки часто разделены на несколько переключателей.

Telegram-канал @toolarium