Cайт веб-разработчика, программиста Ruby on Rails ESV Corp. Екатеринбург, Москва, Санкт-Петербург, Новосибирск, Первоуральск

Борьба с дистилляцией или слежка за пользователями? Anthropic объяснила скрытый код в Claude Code»

В истории с Claude Code появился новый эпизод: после апрельского разбора скрытых функций и телеметрии в инструменте Anthropic нашли ещё один спорный механизм. На этот раз речь идёт не о доступе к файлам или управлении настройками, а о скрытых маркерах в системном контексте, которые помогали компании вычислять прокси, шлюзы, перепродавцов аккаунтов и возможные попытки копирования моделей.

Инженер команды Claude Code Тарик Шихипар сообщил, что Anthropic убирает скрытый код из инструмента. По его словам, эксперимент запустили в марте для борьбы с неавторизованной перепродажей аккаунтов и дистилляцией моделей. Дистилляцией называют попытку воспроизвести поведение ИИ-модели через множество запросов к оригинальной системе.

Шихипар заявил, что команда уже внедрила более сильные меры защиты, а старый механизм давно планировали отключить. Заявка на удаление кода уже попала в основную ветку и должна войти в ближайший релиз Claude Code.

Механизм обнаружил разработчик под именем Thereallo и подробно описал в блоге. По его словам, Claude Code применял стеганографию, то есть прятал служебные данные в обычном системном контексте, который отправлялся на серверы Anthropic. Инструмент проверял переменную окружения с базовым адресом API, используемую для прокси или шлюзов. Если пользователь менял адрес, код сверял часовой пояс системы и доменное имя со списком, куда входили китайские ИИ-лаборатории, другие компании, перепродавцы аккаунтов и шлюзовые сервисы.

Thereallo признал, что попытка находить домены конкурентов или посредников выглядит понятной, но раскритиковал скрытую реализацию. Разработчик отметил, что Claude Code незаметно менял системный промпт с помощью почти невидимых Unicode-маркеров, кодировал классификацию прокси в обычной английской фразе и прятал список доменов через XOR и base64. Вредоносной такую функцию исследователь не назвал, но счёл подход странным для инструмента, который требует доверия со стороны программистов.

Anthropic не ответила прямо, раскрывали ли документы компании скрытый механизм отслеживания. Представитель компании сослался на комментарии Шихипара, где вопрос о пользовательских соглашениях не разбирался. Компания также не уточнила, какие именно новые меры теперь защищают Claude Code от перепродажи аккаунтов и дистилляции.

В феврале Anthropic уже говорила, что вкладывается в защиту от копирования моделей. В список мер входили классификаторы, поведенческие отпечатки, обмен данными с другими ИИ-лабораториями, контроль доступа и технические приёмы, усложняющие обучение новой модели на ответах Claude. После утечки исходного кода Claude Code стало известно и о другом механизме: флаг ANTI_DISTILLATION_CC добавлял в API-запросы поддельные данные инструментов, чтобы испортить обучающие выборки для конкурентов.

Anthropic при этом призывает ИИ-индустрию, облачных провайдеров и государство совместно бороться с дистилляцией моделей. Компания считает, что угроза требует не только внутренних защит, но и общей реакции рынка. Недавний указ Белого дома о защите американского ИИ от иностранных противников показывает, что власти США тоже рассматривают проблему как вопрос технологической безопасности.

SecurityLab