На прошлой неделе исследователь безопасности под псевдонимом Thereallo обнаружил в Claude Code, инструменте от Anthropic для программирования в терминале, скрытый трекер. Код использовал технику стеганографии промптов — в обычные запросы встраивались незаметные метки, которые передавали в Anthropic информацию о часовом поясе пользователя, прокси-сервере и возможной принадлежности к китайским ИИ-лабораториям. Это позволяло компании отслеживать подозрительную активность, не предупреждая пользователей.

Инженер Anthropic Thariq Shihipar подтвердил в X, что трекер был добавлен в марте как «эксперимент» для защиты от дистилляции — копирования моделей через массовые запросы — и борьбы с неавторизованной перепродажей доступа. По данным The Washington Post, перепродавцы предлагали доступ к бесплатным моделям за $1 в месяц, а Pro-подписки стоимостью $100 — всего за $12. Shihipar заявил, что компания планировала удалить трекер раньше, так как появились «более сильные средства защиты», но точные сроки не назвал.

Правозащитники раскритиковали действия Anthropic, назвав их «серьёзным нарушением доверия пользователей». Особую остроту ситуации придаёт позиция компании: ранее Anthropic отказалась разрешить правительству США использовать Claude для слежки за американцами и подала на Белый дом в суд из-за этого требования. Теперь же компания сама применяет скрытое наблюдение за пользователями из Китая, что, по мнению обозревателей, подрывает её репутацию защитника приватности.

Anthropic назвала код экспериментом по предотвращению дистилляции и мошеннической перепродажи доступа.

Listing image for first story in Most Read: Review: Supergirl is not the disaster its low box office suggests
Listing image for first story in Most Read: Review: Supergirl is not the disaster its low box office suggests · Источник: Ars Technica

Инцидент произошёл на фоне усиливающейся конфронтации между американскими и китайскими ИИ-компаниями. The Washington Post сообщает, что за прошлый год китайские фирмы «последовательно догоняли» возможности американских моделей в течение нескольких месяцев. По данным Peking University и Академии наук Китая, большинство китайских моделей несут следы дистилляции, в первую очередь из моделей США. Например, одна из моделей Alibaba (Qwen) «неоднократно имитировала» Claude, иногда даже ошибочно называя себя Claude.

Anthropic и OpenAI призывают правительство США считать дистилляцию формой кражи интеллектуальной собственности и ввести экспортные ограничения. Сенатор Тим Скотт поддержал эту позицию, отметив необходимость «тщательно сформулировать чёткую и краткую политику экспортного контроля». Однако критики указывают, что сама Anthropic использует методы скрытого наблюдения, которые могут нарушать пользовательские соглашения и законы о приватности.

Реакция не заставила себя ждать: по сообщению South China Morning Post, Alibaba запретила своим сотрудникам использовать Claude Code для работы, сославшись на обнаруженные риски «бэкдора». В служебной записке говорится, что Claude Code теперь внесён в список высокорискованного ПО с уязвимостями. Для Alibaba это также способ избежать юридических рисков, связанных с возможным нарушением условий Anthropic.

Ситуация показывает, что борьба с дистилляцией заставляет компании идти на спорные меры. Стеганография в промптах — технически изящное, но этически сомнительное решение. Даже если Anthropic снимет трекер, инцидент оставит след в доверии пользователей и ужесточит регуляторные дискуссии о границах допустимого в ИИ-индустрии.