Регуляторное предупреждение Безопасность ИИ 2026-07-09

Предупреждение NVDB 2026: риск бэкдора Claude Code (2.1.91–2.1.196) — технический разбор и руководство для разработчиков

Кто и с чем столкнулся? Разработчики Mac/iOS и корпоративные IT-директора, получившие 8 июля 2026 г. квалификацию NVDB «серьёзная угроза». Что даёт эта статья? Полную хронологию, трёхэтапный разбор стеганографии, сводку позиций NVDB/Anthropic/Alibaba, команды терминала и семишаговый compliance-runbook. Структура: таблицы версий и СМИ, матрица рисков, чеклисты для индивидуальных и корпоративных пользователей, FAQ (10 вопросов), путь верификации на изолированном Mac.

NVDB предупреждение Claude Code 2.1.91–2.1.196 бэкдор стеганография Anthropic 2026

⚠️ Материал составлен на основе публичного предупреждения NVDB от 8 июля 2026 г., отчётов IT之家/新京报/人民网/36氪 и reverse engineering thereallo.dev. Мотивы Anthropic — вывод сообщества и СМИ, не подтверждение регулятора. Данные на 9 июля 2026 г. Технические детали стеганографии — в полном разборе инцидента Claude Code; здесь — регуляторный контекст и корпоративный runbook.

01 · Краткий обзор предупреждения NVDB

8 июля 2026 г. NVDB (National Vulnerability Database — платформа обмена информацией об угрозах и уязвимостях при Министерстве информатизации КНР, MIIT) опубликовала предупреждение о том, что AI-инструмент программирования Claude Code (Anthropic) содержит риск бэкдора, квалифицированный как «серьёзная угроза». Затронуты версии v2.1.91–v2.1.196. Встроенный механизм мониторинга способен без согласия пользователя передавать на удалённые серверы данные о геолокации и идентификаторах.

Измерение Ключевые факты
Регуляторная квалификацияNVDB впервые дал Claude Code официальный статус «серьёзная угроза» (2026-07-08)
Затронутые версии2.1.91 (релиз 2026-04-02) — 2.1.196 (2026-06-29), всего 106 patch-релизов
ИсправлениеAnthropic выпустил 2.1.197 1–2 июля; на 8 июля актуальна 2.1.204
Технический механизмСтеганография в system prompt: разделители даты + Unicode-апострофы + 147 правил XOR+base64 blacklist
Период нераскрытияС марта 2026 по 30 июня (экспозиция) — ~3 месяца без упоминания в changelog и privacy policy
Условие триггераТолько при ANTHROPIC_BASE_URL, указывающем на неофициальный endpoint (прокси/шлюз/реселлер)
Корпоративная реакцияAlibaba с 10 июля полностью запретила Claude Code; рекомендован Qoder
Жёсткие метрикиHacker News: 350+ points; дистилляция: ~25 000 фальш-аккаунтов, ~28,8 млн диалогов (обвинение Anthropic)

02 · Три критических болевых точки: почему действовать немедленно

  1. Регуляторная квалификация уже зафиксирована — compliance-стоимость резко растёт. «Серьёзная угроза» NVDB — не clickbait заголовок. При аудитах цепочки поставок, whitelist ПО и оценках информационной безопасности предприятия обязаны доказать отсутствие версий 2.1.91–2.1.196 на dev-терминалах и наличие egress-мониторинга. Запрет Alibaba 10 июля — первый прецедент; другие tech-компании могут последовать.
  2. Скрытый канал сложнее детектировать, чем явную exfiltration. Сигнал мониторинга закодирован в пунктуации system prompt: разделитель даты -/, апостроф в Today's переключается между четырьмя Unicode code point. Firewall и DLP сканируют payload на ключевые слова — такие маркеры не перехватываются; обнаружение возможно только через reverse binary или A/B diff system prompt.
  3. «Ад смешанных версий CLI» на рабочем Mac. Сравнение system prompt на официальном endpoint vs прокси, аудит ANTHROPIC_BASE_URL и shell-артефактов на машине с VPN, Homebrew multi-Node и Keychain может испортить baseline на недели — как описано в техническом разборе стеганографии Claude Code, но здесь фокус на регуляторном реагировании и корпоративном compliance.

03 · Полная хронология (февраль–июль 2026)

ДатаСобытие
Февраль 2026Эскалация трений Anthropic и китайских AI-вендоров по доступу к моделям и экспортному контролю (Fable 5); часть компаний переходит на прокси-шлюзы Claude API
Март 2026По последующему заявлению Thariq Shihipar команда Claude Code внедряет «экспериментальный» механизм мониторинга против нелегальной перепродажи и дистилляции
Начало апреля 2026Anthropic публично обвиняет Qwen (Alibaba) в промышленной дистилляции: ~25 000 фальш-аккаунтов, ~28,8 млн диалогов (апр–июнь)
2 апреля 2026Релиз Claude Code v2.1.91 со встроенной логикой стеганографии; changelog молчит
~18 апреля 2026Консультант Alexander Hanff раскрывает Claude Desktop Native Messaging injection (событие A, The Register)
Апрель 2026Noah Kenney подтверждает воспроизводимость события A; Antiy Labs публикует отчёт о высокопривилегированном browser channel в Claude Desktop
Апрель–июнь 2026Claude Code 2.1.92–2.1.196: стеганографическая логика сохраняется, release notes не обновляются
30 июня 2026Отчёт reverse engineering на thereallo.dev; Reddit → Hacker News (350+ points)
1 июля 2026Anthropic выпускает v2.1.197; по СМИ код удалён; changelog не описывает явно
2 июля 2026Thariq Shihipar признаёт «эксперимент» и заявляет об удалении; Adnane Khan независимо верифицирует механизм на 2.1.193/195/196
3–4 июля 2026Внутреннее уведомление Alibaba: с 10 июля полный запрет Claude Code и продуктов Anthropic; рекомендация Qoder; освещение Wall Street CN, 36Kr, Yicai
8 июля 2026NVDB публикует предупреждение, квалификация «серьёзная угроза»; IT之家, 新京报, 人民网, China Daily, CNBC
10 июля 2026Запрет Alibaba вступает в силу; сотрудники обязаны удалить Claude Code, Sonnet, Opus, Fable и др.

04 · Основные положения NVDB и рекомендации по реагированию

Ключевая формулировка NVDB (по цитатам IT之家, 新京报, 人民网): Claude Code выполняет написание и исправление кода по текстовым запросам, но встроенный механизм мониторинга способен без согласия пользователя передавать на удалённые серверы данные о геолокации, идентификаторах и другой чувствительной информации.

NVDB даёт два уровня рекомендаций:

  1. Инвентаризация терминалов: немедленно проверить все dev-машины на наличие версий 2.1.91–2.1.196; при обнаружении — удалить или обновить до последней безопасной сборки.
  2. Сетевой контроль: усилить egress-политики и мониторинг трафика dev-инструментов в критичных сегментах сети для предотвращения несанкционированной передачи данных.

Это первое явное регуляторное предупреждение MIIT в отношении зарубежного AI dev-tool — Claude Code переходит из категории «спор сообщества» в «обязательный compliance-курс» для enterprise.

05 · Условие срабатывания: только неофициальный ANTHROPIC_BASE_URL

Критически важная техническая деталь, которую заголовки СМИ часто упрощают. По отчёту thereallo.dev и независимой верификации Adnane Khan:

Логика стеганографии активируется только если ANTHROPIC_BASE_URL указывает на endpoint, отличный от api.anthropic.com. Типичные сценарии:

  • Корпоративный API-шлюз или reverse proxy (форвардинг на Anthropic)
  • Сторонний реселлер API (OpenAI-compatible layer, CN relay-узлы)
  • Dev, задавший custom Base URL в .zshrc, .bashrc или CI env

При прямом подключении к https://api.anthropic.com строка Today's date is... в system prompt не модифицируется. Это обязательная граница fact-check — формулировка «все пользователи Claude Code под мониторингом» неверна.

06 · Стеганография: три технических этапа

При выполнении условия триггера Claude Code встраивает три слоя скрытых сигналов в system prompt каждого API-запроса. Детальная таблица Unicode — в полном разборе стеганографии Claude Code; ниже — ядро механизма в контексте NVDB (без полного disassembly бинарника):

Этап 1: переключение разделителя даты (геосигнал)

Если системный TZ — Asia/Shanghai или Asia/Urumqi, формат даты меняется с 2026-07-08 на 2026/07/08. Глаз и LLM не замечают разницы; backend Anthropic декодирует.

Этап 2: Unicode-апостроф (классификация идентичности)

Апостроф в Today's переключается между четырьмя символами, кодируя hit-флаги:

Условие hit Символ апострофа Unicode
По умолчанию (нет hit)' ASCII apostropheU+0027
Hit на CN-институциональный/дилерский домен' right single quotation markU+2019
Hit на keyword AI-лабораторииʼ modifier letter apostropheU+02BC
Одновременный hit домена и лабораторииʹ modifier letter primeU+02B9

Этап 3: 147 правил blacklist (base64 + XOR(91))

Список доменов и keywords лёгко обфусцирован через base64 + XOR(91), всего ~147 правил: deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai и др. CLI сравнивает hostname прокси, DNS-резолв и env, выбирая комбинацию Unicode-маркеров.

Итог простым языком: это не классическая «загрузка исходников на чужой сервер», а встраивание невидимых классификационных меток в system prompt каждого запроса — backend Anthropic определяет «прошёл ли запрос через CN-прокси / похож ли на дистилляцию».

07 · Граница с нормальной телеметрией: четыре аргумента

Anthropic и часть СМИ называют это «anti-abuse telemetry». С позиции регулятора и enterprise compliance четыре пункта объясняют, почему NVDB квалифицировал это как «риск бэкдора»:

  1. Отсутствие disclosure и informed consent. Нормальная телеметрия описана в privacy policy, ToS или settings panel, часто с opt-out. Стеганография Claude Code с марта по 30 июня — ~3 месяца без упоминания в changelog, release notes и user-facing docs.
  2. Аномальный carrier и протокол. Стандартная telemetry — отдельные analytics fields, HTTP headers или SDK. Здесь сигнал спрятан в Unicode code points пунктуации system prompt — классический covert channel; firewall/DLP не перехватывают по keyword rules.
  3. Селективная скрытая активация. Обычная telemetry одинакова для всех (или по tier подписки). Здесь модификация prompt — только для пользователей с неофициальным ANTHROPIC_BASE_URL; прямой API — без изменений. Асимметричный мониторинг в одной версии бинарника.
  4. Обфускация и anti-RE. Blacklist через base64+XOR(91), визуально идентичные апострофы — явная цель обойти static analysis и user review. Это ближе к malware-adjacent реализации, чем к «прозрачному abuse detection».

08 · Позиции трёх сторон: NVDB · Anthropic · Alibaba

Сторона Дата Ключевая позиция Действие
NVDB (MIIT) 2026-07-08 «Риск бэкдора, серьёзная угроза»; передача геоданных и идентификаторов без согласия Немедленная инвентаризация, удаление/обновление; усиление egress-контроля
Anthropic
Thariq Shihipar
2026-07-02 Признание «экспериментальной» меры (март 2026) против перепродажи аккаунтов и дистилляции Удалено в релизе 2 июля; changelog не описывает явно
Alibaba объявление 07-03
вступление 07-10
Оценка риска бэкдора → high-risk software list; запрет Claude Code и всех продуктов Anthropic в офисе Принудительное удаление; рекомендация Qoder как Agent IDE

09 · Фон: война за дистилляцию моделей US↔CN — зачем Anthropic «маркировал» запросы

Чтобы понять мотивацию стеганографии, нужен контекст AI-конfrontation начала 2026 г. Ключевые факты из публичных отчётов:

  • Обвинение Anthropic: Qwen (Alibaba) использовал ~25 000 фальш-аккаунтов и ~28,8 млн диалогов Claude (апр–июнь 2026) для крупнейшей известной дистилляции (CNBC, SCMP, TechCrunch).
  • Контрмеры Alibaba: иск против US DoD об исключении из «Chinese military companies list»; параллельно — внутренняя политика компенсации Claude/GPT с лимитами в сотни USD/неделю на разработчика.
  • Экспортный контроль: модели вроде Fable 5 попадают под US export restrictions; CN-разработчики массово используют proxy gateway — структурная причина неофициальных ANTHROPIC_BASE_URL. Подробнее: экспортный контроль Fable 5 и альтернативы.
  • Консенсус сообщества (не официальная позиция): стеганография — anti-distillation мера Anthropic; цель понятна, но нераскрытие, обфускация и пунктуация в prompt нарушают trust boundary dev-tool → регуляторная реакция NVDB.

10 · Проверка фактов и границы риска: что да, что нет

Между регуляторной паникой и tech-дискурсом нужно различать пять утверждений:

Распространённое утверждение Результат проверки
«Все пользователи Claude Code под мониторингом»Неверно. Триггер только при ANTHROPIC_BASE_URL ≠ api.anthropic.com; прямой официальный API не затронут
«Исходный код загружается на чужой сервер»Нет публичных доказательств. Подтверждены классификационные маркеры в system prompt, уходящие на серверы Anthropic с обычным API-запросом
«Это классический malicious backdoor»Частично. NVDB использует термин «бэкдор»; tech-сообщество — «covert channel». Нет RCE, persistence или C2-паттернов
«Веб-версия Claude тоже затронута»Нет. Логика в бинарнике Claude Code CLI, не в web Claude
«2.1.197 полностью исправляет проблему»Anthropic заявил об удалении, changelog не подтверждает. Рекомендуется 2.1.204+ и изолированная верификация
«Alibaba запретила только API, не клиент»Запрет охватывает Claude Code client и все продукты Anthropic; влияние на API зависит от корпоративной сетевой политики

11 · Таблица версий: что требует действий, что безопасно

Версия Дата релиза Стеганография Рекомендуемое действие
< 2.1.91до 2026-04-02НетВсё равно обновить до latest
2.1.91 – 2.1.19604-02 — 06-29Да (диапазон NVDB)Немедленно обновить или удалить
2.1.1972026-07-01По отчётам удалена (changelog не подтверждает)Обновить и верифицировать
2.1.198 – 2.1.2032026-07-02 — 07-07По отчётам нетМожно использовать
2.1.204+с 2026-07-08По отчётам нетРекомендуемая версия

12 · Матрица формулировок СМИ и источников

Источник Ключевая формулировка Фокус
NVDB / 人民网«риск бэкдора», «серьёзная угроза»Регуляторный compliance, enterprise audit
IT之家 / 新京报«механизм мониторинга», «передача без согласия»Техника + timeline запрета Alibaba
36Kr / 智东西«первое регуляторное определение MIIT»Отраслевое влияние, Qoder как замена
CNBC / China Daily«backdoor risk», «unauthorized data transmission»Международный угол, геополитика
Ars Technica«covert tracking», «prompt steganography»Техническая глубина, trust boundary dev-tools
The Register«changes software permissions without consent» (событие A)Claude Desktop high-privilege channel
TechCrunch«distillation attack», «Alibaba ban»Дистилляция и отраслевые последствия
Hacker News«prompt steganography», «malware-adjacent»Этика dev-сообщества
thereallo.dev«covert information channel»Binary RE, function-level восстановление кода

13 · Матрица рисков по сценариям использования

Сценарий Стеганография? Регуляторный риск Приоритет
Офиц. API + latest 2.1.204+НетНизкийRoutine update
Офиц. API + 2.1.91–2.1.196НетСредний (version compliance)Обновить до 2.1.204+
Proxy Base URL + 2.1.91–2.1.196ДаВысокийНемедленно обновить или удалить
Proxy Base URL + 2.1.197+По отчётам нетСреднийВерификация в изоляции перед prod
CN enterprise office (любая версия)Зависит от Base URLВысокий (compliance)NVDB + internal policy; Qoder/Cursor как альтернатива
Сотрудник Alibaba (после 10.07)ЗапрещеноПолное удаление, миграция на Qoder

14 · Команды терминала: проверка версии, обновление, полное удаление

Команды для macOS Terminal. Перед удалением сохраните нужные настройки из ~/.claude (без plaintext API Key).

14.1 Проверка текущей версии

# Метод 1: прямой запрос версии CLI claude --version # Метод 2: через глобальный npm-пакет npm list -g @anthropic-ai/claude-code # Метод 3: проверка попадания в диапазон NVDB (2.1.91–2.1.196) VERSION=$(claude --version 2>/dev/null | grep -oE '[0-9]+\.[0-9]+\.[0-9]+') echo "Текущая версия: $VERSION"

14.2 Аудит ANTHROPIC_BASE_URL

# Текущее значение в shell echo "ANTHROPIC_BASE_URL=${ANTHROPIC_BASE_URL:-не задан (официальный endpoint)}" # Поиск в shell-конфигах grep -r "ANTHROPIC_BASE_URL" ~/.zshrc ~/.bashrc ~/.bash_profile ~/.profile 2>/dev/null # CI / project-level .env find ~ -name ".env" -maxdepth 4 -exec grep -l "ANTHROPIC_BASE_URL" {} \; 2>/dev/null

14.3 Hex-дифф апострофа (форензика system prompt)

# Вывод code points строки Today's (пример) python3 -c "s='Today\\u2019s'; print([hex(ord(c)) for c in s])" # Сравнение U+0027 (ASCII) vs U+2019 (right single quote) python3 -c "for u in ['\\u0027','\\u2019','\\u02bc','\\u02b9']: print(u, hex(ord(u)))"

14.4 Обновление до безопасной версии

# Обновление до latest (рекомендуется 2.1.204+) npm install -g @anthropic-ai/claude-code@latest # Подтверждение claude --version # Если установлено через Homebrew brew upgrade claude-code 2>/dev/null || echo "Не Homebrew-установка, пропуск"

14.5 Полное удаление

# Удаление глобального npm-пакета npm uninstall -g @anthropic-ai/claude-code # Удаление пользовательского конфига rm -rf ~/.claude # Очистка env в shell (после ручного редактирования) # Удалите строки ANTHROPIC_BASE_URL, ANTHROPIC_API_KEY и т.д. source ~/.zshrc # или source ~/.bashrc # Проверка отсутствия бинарника which claude && echo "Остались артефакты" || echo "Удалено"

15 · Семь шагов compliance: от инвентаризации до архивации

  1. Инвентаризация версий: на всех dev Mac, CI runner и remote build node выполнить claude --version, экспортировать список, пометить узлы с 2.1.91–2.1.196.
  2. Аудит ANTHROPIC_BASE_URL: проверить shell config, CI secret store, Docker Compose, Kubernetes ConfigMap — используется ли неофициальный proxy/gateway.
  3. Немедленное обновление или удаление: для затронутых версий — npm install -g @anthropic-ai/claude-code@latest или полный uninstall (см. §14).
  4. Усиление egress-контроля: whitelist исходящих API-endpoint для dev VLAN; TLS inspection и алерты на аномалии.
  5. Оценка альтернатив: enterprise может рассмотреть Qoder (Alibaba), Cursor, GitHub Copilot; сравнение — обзор AI-ассистентов для кодинга.
  6. Верификация в изоляции: на чистом macOS переустановить Claude Code, A/B-тест official vs proxy endpoint, diff system prompt — подтвердить отсутствие стеганографии.
  7. Обновление security policy: включить предупреждение NVDB в software whitelist review; уведомить сотрудников со сроком remediation и audit trail.

16 · Чеклист индивидуального разработчика (30 минут)

Для indie dev, фрилансеров и tech lead небольших команд:

  1. Версия: claude --version; если 2.1.91–2.1.196 — немедленно 2.1.204+ или uninstall.
  2. Base URL: echo $ANTHROPIC_BASE_URL + grep shell configs и project .env; задокументировать причину proxy и data flow.
  3. TZ и proxy chain: проверить Asia/Shanghai/Asia/Urumqi — понимать overlay с date-separator encoding.
  4. Cleanup: при отказе — npm uninstall -g @anthropic-ai/claude-code + rm -rf ~/.claude.
  5. Альтернативы: см. Cursor, Copilot, Gemini — сравнение.
  6. Изолированная верификация (рекомендуется): A/B на арендованном/запасном Mac, скриншоты diff для audit record.

17 · Чеклист корпоративного IT и SecOps

Для security team, IT ops и compliance officer — alignment с NVDB и supply chain audit:

  1. Asset inventory: через MDM/endpoint management/Ansible массово собрать claude --version и ANTHROPIC_BASE_URL.
  2. Software whitelist: Claude Code 2.1.91–2.1.196 → blocked; оценить total ban Anthropic clients по прецеденту Alibaba 10.07.
  3. Egress policy: dev VLAN API whitelist; мониторинг TLS к endpoint ≠ api.anthropic.com и anomalous DNS.
  4. Key rotation: если использовался proxy — оценить риск компрометации API key; rotate; очистить Base URL из CI/CD.
  5. Employee comms: internal security bulletin с NVDB qualification, deadline, owner; signed acknowledgment.
  6. Alternative PoC: Qoder, Cursor, Copilot или on-prem model; document selection rationale для auditor.
  7. Acceptance & archive: после upgrade verification — version screenshot, uninstall log, network policy change order в ISO 27001 / local compliance evidence store.

18 · FAQ (10 вопросов)

Какие версии затронуты предупреждением NVDB?

Claude Code v2.1.91–v2.1.196. 2.1.91 — 2 апреля 2026, 2.1.196 — 29 июня. Anthropic выпустил 2.1.197 1–2 июля с удалением кода.

Мониторятся ли все пользователи Claude Code?

Нет. Стеганография срабатывает только если ANTHROPIC_BASE_URLapi.anthropic.com. Прямой официальный API не затронут.

Это утечка данных?

Нет публичных доказательств прямой загрузки source code или диалогов. Подтверждены маркеры классификации в system prompt — covert channel; NVDB квалифицирует как серьёзный риск бэкдора.

Почему Alibaba запретила Claude Code?

После оценки риска бэкдора — high-risk list; с 10 июля 2026 запрет в office environment; рекомендован Qoder.

Как отреагировал Anthropic?

Thariq Shihipar признал «эксперимент» (март 2026) против resale/distillation; удалено 2 июля; changelog явно не описывает.

Как работает стеганография?

В строке Today's date is... переключаются date separator и Unicode apostrophe (U+0027/U+2019/U+02BC/U+02B9) + 147 правил base64+XOR(91).

Связано ли с Claude Desktop injection?

Два независимых инцидента. A (апрель): Hanff — Native Messaging. B (июнь): thereallo.dev — Claude Code prompt steganography. NVDB — прежде всего B.

Как enterprise действовать?

NVDB: inventory, upgrade/uninstall, egress control. См. §15–17.

Достаточно ли 2.1.197?

Anthropic заявил об удалении; changelog не подтверждает. Рекомендуется 2.1.204+ и изолированная верификация.

Связано ли с дистилляцией US↔CN?

Да. Anthropic обвинил Qwen в ~25 000 аккаунтах и ~28,8 млн диалогов. Сообщество считает стеганографию anti-distillation мерой; реализация вызвала регуляторную реакцию.

19 · Отказ от ответственности

Материал основан на публичном предупреждении NVDB, открытых СМИ и community reverse engineering reports. Цель — помочь разработчикам и IT-директорам оценить риск и выполнить remediation. Не является юридической консультацией или security certification. Политики Anthropic, internal bans enterprise и регуляторные интерпретации могут измениться — ориентируйтесь на официальные bulletin. MacDate не аффилирован с Anthropic или Alibaba; упомянутые альтернативы и аренда Mac — технический reference для принятия решений.

20 · Аренда изолированного Mac: наиболее контролируемый путь верификации

Чтобы в срок NVDB remediation предоставить audit-ready evidence chain — «мы обновились до safe version, system prompt без steganography, ANTHROPIC_BASE_URL указывает на official endpoint» — нужна чистая, snapshot-able, disposable macOS среда для полного A/B-теста. Боль на primary MacBook реальна: Homebrew multi-Node, corporate VPN, daily Keychain и browser profile — один experiment может испортить baseline на недели; worse — repeated install/uninstall Claude Code может пересоздать Native Messaging manifest (событие A).

npm install -g @anthropic-ai/claude-code на Linux cloud host — временный путь: нет native Keychain semantics, нет ~/Library/Application Support/ browser injection surface, нет реалистичного macOS/iOS dev CLI ecosystem. Для reproducible, auditable, production-faithful acceptance conclusion цикл «upgrade → prompt diff → uninstall → environment destroy» на посуточном Apple Silicon Mac mini обычно дешевле по времени и bandwidth, чем pollution primary machine. Тарифы и SSH — руководство по ценам Mac mini M4; для agent orchestration security cross-check см. инцидент JADEPUFFER Langflow ransomware и его isolated deployment pattern.

21 · Источники и reference material

  • NVDB / MIIT — предупреждение о риске бэкдора Claude Code (2026-07-08)
  • IT之家工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
  • 新京报工信部监测发现 Claude Code 存安全后门隐患
  • 人民网 — coverage NVDB risk bulletin
  • 36Kr / 智东西工信部首次定调:Claude Code 危害严重; 突发,阿里全面禁用 Claude
  • CNBC — Anthropic distillation allegations against Alibaba
  • China DailyChina's industry regulator flags 'backdoor' risk in Claude Code
  • Ars Technica — Claude Code prompt steganography and covert tracking
  • TechCrunch — Alibaba Claude ban and distillation dispute
  • The RegisterClaude Desktop changes software permissions without consent (событие A)
  • thereallo.dev — original Claude Code prompt steganography RE report
  • Adnane Khan — independent verification (2.1.193/195/196)
  • TechTimes / Tech Startups — Anthropic 2.1.197 fix and Shihipar response
  • Yicai / Wall Street CN — Alibaba Claude ban and Qoder alternative
  • Antiy Labs — Claude Desktop high-privilege browser channel analysis
  • Hacker News — Claude Code steganography thread (350+ points)

Последнее обновление: 9 июля 2026 г. При последующих bulletin NVDB или official security advisory Anthropic материал будет пересмотрен.