Предупреждение NVDB 2026: риск бэкдора Claude Code (2.1.91–2.1.196) — технический разбор и руководство для разработчиков
Кто и с чем столкнулся? Разработчики Mac/iOS и корпоративные IT-директора, получившие 8 июля 2026 г. квалификацию NVDB «серьёзная угроза». Что даёт эта статья? Полную хронологию, трёхэтапный разбор стеганографии, сводку позиций NVDB/Anthropic/Alibaba, команды терминала и семишаговый compliance-runbook. Структура: таблицы версий и СМИ, матрица рисков, чеклисты для индивидуальных и корпоративных пользователей, FAQ (10 вопросов), путь верификации на изолированном Mac.
📋 Содержание
⚠️ Материал составлен на основе публичного предупреждения NVDB от 8 июля 2026 г., отчётов IT之家/新京报/人民网/36氪 и reverse engineering thereallo.dev. Мотивы Anthropic — вывод сообщества и СМИ, не подтверждение регулятора. Данные на 9 июля 2026 г. Технические детали стеганографии — в полном разборе инцидента Claude Code; здесь — регуляторный контекст и корпоративный runbook.
01 · Краткий обзор предупреждения NVDB
8 июля 2026 г. NVDB (National Vulnerability Database — платформа обмена информацией об угрозах и уязвимостях при Министерстве информатизации КНР, MIIT) опубликовала предупреждение о том, что AI-инструмент программирования Claude Code (Anthropic) содержит риск бэкдора, квалифицированный как «серьёзная угроза». Затронуты версии v2.1.91–v2.1.196. Встроенный механизм мониторинга способен без согласия пользователя передавать на удалённые серверы данные о геолокации и идентификаторах.
| Измерение | Ключевые факты |
|---|---|
| Регуляторная квалификация | NVDB впервые дал Claude Code официальный статус «серьёзная угроза» (2026-07-08) |
| Затронутые версии | 2.1.91 (релиз 2026-04-02) — 2.1.196 (2026-06-29), всего 106 patch-релизов |
| Исправление | Anthropic выпустил 2.1.197 1–2 июля; на 8 июля актуальна 2.1.204 |
| Технический механизм | Стеганография в system prompt: разделители даты + Unicode-апострофы + 147 правил XOR+base64 blacklist |
| Период нераскрытия | С марта 2026 по 30 июня (экспозиция) — ~3 месяца без упоминания в changelog и privacy policy |
| Условие триггера | Только при ANTHROPIC_BASE_URL, указывающем на неофициальный endpoint (прокси/шлюз/реселлер) |
| Корпоративная реакция | Alibaba с 10 июля полностью запретила Claude Code; рекомендован Qoder |
| Жёсткие метрики | Hacker News: 350+ points; дистилляция: ~25 000 фальш-аккаунтов, ~28,8 млн диалогов (обвинение Anthropic) |
02 · Три критических болевых точки: почему действовать немедленно
- Регуляторная квалификация уже зафиксирована — compliance-стоимость резко растёт. «Серьёзная угроза» NVDB — не clickbait заголовок. При аудитах цепочки поставок, whitelist ПО и оценках информационной безопасности предприятия обязаны доказать отсутствие версий 2.1.91–2.1.196 на dev-терминалах и наличие egress-мониторинга. Запрет Alibaba 10 июля — первый прецедент; другие tech-компании могут последовать.
- Скрытый канал сложнее детектировать, чем явную exfiltration. Сигнал мониторинга закодирован в пунктуации system prompt: разделитель даты
-→/, апостроф вToday'sпереключается между четырьмя Unicode code point. Firewall и DLP сканируют payload на ключевые слова — такие маркеры не перехватываются; обнаружение возможно только через reverse binary или A/B diff system prompt. - «Ад смешанных версий CLI» на рабочем Mac. Сравнение system prompt на официальном endpoint vs прокси, аудит
ANTHROPIC_BASE_URLи shell-артефактов на машине с VPN, Homebrew multi-Node и Keychain может испортить baseline на недели — как описано в техническом разборе стеганографии Claude Code, но здесь фокус на регуляторном реагировании и корпоративном compliance.
03 · Полная хронология (февраль–июль 2026)
| Дата | Событие |
|---|---|
| Февраль 2026 | Эскалация трений Anthropic и китайских AI-вендоров по доступу к моделям и экспортному контролю (Fable 5); часть компаний переходит на прокси-шлюзы Claude API |
| Март 2026 | По последующему заявлению Thariq Shihipar команда Claude Code внедряет «экспериментальный» механизм мониторинга против нелегальной перепродажи и дистилляции |
| Начало апреля 2026 | Anthropic публично обвиняет Qwen (Alibaba) в промышленной дистилляции: ~25 000 фальш-аккаунтов, ~28,8 млн диалогов (апр–июнь) |
| 2 апреля 2026 | Релиз Claude Code v2.1.91 со встроенной логикой стеганографии; changelog молчит |
| ~18 апреля 2026 | Консультант Alexander Hanff раскрывает Claude Desktop Native Messaging injection (событие A, The Register) |
| Апрель 2026 | Noah Kenney подтверждает воспроизводимость события A; Antiy Labs публикует отчёт о высокопривилегированном browser channel в Claude Desktop |
| Апрель–июнь 2026 | Claude Code 2.1.92–2.1.196: стеганографическая логика сохраняется, release notes не обновляются |
| 30 июня 2026 | Отчёт reverse engineering на thereallo.dev; Reddit → Hacker News (350+ points) |
| 1 июля 2026 | Anthropic выпускает v2.1.197; по СМИ код удалён; changelog не описывает явно |
| 2 июля 2026 | Thariq Shihipar признаёт «эксперимент» и заявляет об удалении; Adnane Khan независимо верифицирует механизм на 2.1.193/195/196 |
| 3–4 июля 2026 | Внутреннее уведомление Alibaba: с 10 июля полный запрет Claude Code и продуктов Anthropic; рекомендация Qoder; освещение Wall Street CN, 36Kr, Yicai |
| 8 июля 2026 | NVDB публикует предупреждение, квалификация «серьёзная угроза»; IT之家, 新京报, 人民网, China Daily, CNBC |
| 10 июля 2026 | Запрет Alibaba вступает в силу; сотрудники обязаны удалить Claude Code, Sonnet, Opus, Fable и др. |
04 · Основные положения NVDB и рекомендации по реагированию
Ключевая формулировка NVDB (по цитатам IT之家, 新京报, 人民网): Claude Code выполняет написание и исправление кода по текстовым запросам, но встроенный механизм мониторинга способен без согласия пользователя передавать на удалённые серверы данные о геолокации, идентификаторах и другой чувствительной информации.
NVDB даёт два уровня рекомендаций:
- Инвентаризация терминалов: немедленно проверить все dev-машины на наличие версий 2.1.91–2.1.196; при обнаружении — удалить или обновить до последней безопасной сборки.
- Сетевой контроль: усилить egress-политики и мониторинг трафика dev-инструментов в критичных сегментах сети для предотвращения несанкционированной передачи данных.
Это первое явное регуляторное предупреждение MIIT в отношении зарубежного AI dev-tool — Claude Code переходит из категории «спор сообщества» в «обязательный compliance-курс» для enterprise.
05 · Условие срабатывания: только неофициальный ANTHROPIC_BASE_URL
Критически важная техническая деталь, которую заголовки СМИ часто упрощают. По отчёту thereallo.dev и независимой верификации Adnane Khan:
Логика стеганографии активируется только если ANTHROPIC_BASE_URL указывает на endpoint, отличный от api.anthropic.com. Типичные сценарии:
- Корпоративный API-шлюз или reverse proxy (форвардинг на Anthropic)
- Сторонний реселлер API (OpenAI-compatible layer, CN relay-узлы)
- Dev, задавший custom Base URL в
.zshrc,.bashrcили CI env
При прямом подключении к https://api.anthropic.com строка Today's date is... в system prompt не модифицируется. Это обязательная граница fact-check — формулировка «все пользователи Claude Code под мониторингом» неверна.
06 · Стеганография: три технических этапа
При выполнении условия триггера Claude Code встраивает три слоя скрытых сигналов в system prompt каждого API-запроса. Детальная таблица Unicode — в полном разборе стеганографии Claude Code; ниже — ядро механизма в контексте NVDB (без полного disassembly бинарника):
Этап 1: переключение разделителя даты (геосигнал)
Если системный TZ — Asia/Shanghai или Asia/Urumqi, формат даты меняется с 2026-07-08 на 2026/07/08. Глаз и LLM не замечают разницы; backend Anthropic декодирует.
Этап 2: Unicode-апостроф (классификация идентичности)
Апостроф в Today's переключается между четырьмя символами, кодируя hit-флаги:
| Условие hit | Символ апострофа | Unicode |
|---|---|---|
| По умолчанию (нет hit) | ' ASCII apostrophe | U+0027 |
| Hit на CN-институциональный/дилерский домен | ' right single quotation mark | U+2019 |
| Hit на keyword AI-лаборатории | ʼ modifier letter apostrophe | U+02BC |
| Одновременный hit домена и лаборатории | ʹ modifier letter prime | U+02B9 |
Этап 3: 147 правил blacklist (base64 + XOR(91))
Список доменов и keywords лёгко обфусцирован через base64 + XOR(91), всего ~147 правил: deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai и др. CLI сравнивает hostname прокси, DNS-резолв и env, выбирая комбинацию Unicode-маркеров.
Итог простым языком: это не классическая «загрузка исходников на чужой сервер», а встраивание невидимых классификационных меток в system prompt каждого запроса — backend Anthropic определяет «прошёл ли запрос через CN-прокси / похож ли на дистилляцию».
07 · Граница с нормальной телеметрией: четыре аргумента
Anthropic и часть СМИ называют это «anti-abuse telemetry». С позиции регулятора и enterprise compliance четыре пункта объясняют, почему NVDB квалифицировал это как «риск бэкдора»:
- Отсутствие disclosure и informed consent. Нормальная телеметрия описана в privacy policy, ToS или settings panel, часто с opt-out. Стеганография Claude Code с марта по 30 июня — ~3 месяца без упоминания в changelog, release notes и user-facing docs.
- Аномальный carrier и протокол. Стандартная telemetry — отдельные analytics fields, HTTP headers или SDK. Здесь сигнал спрятан в Unicode code points пунктуации system prompt — классический covert channel; firewall/DLP не перехватывают по keyword rules.
- Селективная скрытая активация. Обычная telemetry одинакова для всех (или по tier подписки). Здесь модификация prompt — только для пользователей с неофициальным
ANTHROPIC_BASE_URL; прямой API — без изменений. Асимметричный мониторинг в одной версии бинарника. - Обфускация и anti-RE. Blacklist через base64+XOR(91), визуально идентичные апострофы — явная цель обойти static analysis и user review. Это ближе к malware-adjacent реализации, чем к «прозрачному abuse detection».
08 · Позиции трёх сторон: NVDB · Anthropic · Alibaba
| Сторона | Дата | Ключевая позиция | Действие |
|---|---|---|---|
| NVDB (MIIT) | 2026-07-08 | «Риск бэкдора, серьёзная угроза»; передача геоданных и идентификаторов без согласия | Немедленная инвентаризация, удаление/обновление; усиление egress-контроля |
| Anthropic Thariq Shihipar |
2026-07-02 | Признание «экспериментальной» меры (март 2026) против перепродажи аккаунтов и дистилляции | Удалено в релизе 2 июля; changelog не описывает явно |
| Alibaba | объявление 07-03 вступление 07-10 |
Оценка риска бэкдора → high-risk software list; запрет Claude Code и всех продуктов Anthropic в офисе | Принудительное удаление; рекомендация Qoder как Agent IDE |
09 · Фон: война за дистилляцию моделей US↔CN — зачем Anthropic «маркировал» запросы
Чтобы понять мотивацию стеганографии, нужен контекст AI-конfrontation начала 2026 г. Ключевые факты из публичных отчётов:
- Обвинение Anthropic: Qwen (Alibaba) использовал ~25 000 фальш-аккаунтов и ~28,8 млн диалогов Claude (апр–июнь 2026) для крупнейшей известной дистилляции (CNBC, SCMP, TechCrunch).
- Контрмеры Alibaba: иск против US DoD об исключении из «Chinese military companies list»; параллельно — внутренняя политика компенсации Claude/GPT с лимитами в сотни USD/неделю на разработчика.
- Экспортный контроль: модели вроде Fable 5 попадают под US export restrictions; CN-разработчики массово используют proxy gateway — структурная причина неофициальных
ANTHROPIC_BASE_URL. Подробнее: экспортный контроль Fable 5 и альтернативы. - Консенсус сообщества (не официальная позиция): стеганография — anti-distillation мера Anthropic; цель понятна, но нераскрытие, обфускация и пунктуация в prompt нарушают trust boundary dev-tool → регуляторная реакция NVDB.
10 · Проверка фактов и границы риска: что да, что нет
Между регуляторной паникой и tech-дискурсом нужно различать пять утверждений:
| Распространённое утверждение | Результат проверки |
|---|---|
| «Все пользователи Claude Code под мониторингом» | Неверно. Триггер только при ANTHROPIC_BASE_URL ≠ api.anthropic.com; прямой официальный API не затронут |
| «Исходный код загружается на чужой сервер» | Нет публичных доказательств. Подтверждены классификационные маркеры в system prompt, уходящие на серверы Anthropic с обычным API-запросом |
| «Это классический malicious backdoor» | Частично. NVDB использует термин «бэкдор»; tech-сообщество — «covert channel». Нет RCE, persistence или C2-паттернов |
| «Веб-версия Claude тоже затронута» | Нет. Логика в бинарнике Claude Code CLI, не в web Claude |
| «2.1.197 полностью исправляет проблему» | Anthropic заявил об удалении, changelog не подтверждает. Рекомендуется 2.1.204+ и изолированная верификация |
| «Alibaba запретила только API, не клиент» | Запрет охватывает Claude Code client и все продукты Anthropic; влияние на API зависит от корпоративной сетевой политики |
11 · Таблица версий: что требует действий, что безопасно
| Версия | Дата релиза | Стеганография | Рекомендуемое действие |
|---|---|---|---|
< 2.1.91 | до 2026-04-02 | Нет | Всё равно обновить до latest |
| 2.1.91 – 2.1.196 | 04-02 — 06-29 | Да (диапазон NVDB) | Немедленно обновить или удалить |
| 2.1.197 | 2026-07-01 | По отчётам удалена (changelog не подтверждает) | Обновить и верифицировать |
| 2.1.198 – 2.1.203 | 2026-07-02 — 07-07 | По отчётам нет | Можно использовать |
| 2.1.204+ | с 2026-07-08 | По отчётам нет | Рекомендуемая версия |
12 · Матрица формулировок СМИ и источников
| Источник | Ключевая формулировка | Фокус |
|---|---|---|
| NVDB / 人民网 | «риск бэкдора», «серьёзная угроза» | Регуляторный compliance, enterprise audit |
| IT之家 / 新京报 | «механизм мониторинга», «передача без согласия» | Техника + timeline запрета Alibaba |
| 36Kr / 智东西 | «первое регуляторное определение MIIT» | Отраслевое влияние, Qoder как замена |
| CNBC / China Daily | «backdoor risk», «unauthorized data transmission» | Международный угол, геополитика |
| Ars Technica | «covert tracking», «prompt steganography» | Техническая глубина, trust boundary dev-tools |
| The Register | «changes software permissions without consent» (событие A) | Claude Desktop high-privilege channel |
| TechCrunch | «distillation attack», «Alibaba ban» | Дистилляция и отраслевые последствия |
| Hacker News | «prompt steganography», «malware-adjacent» | Этика dev-сообщества |
| thereallo.dev | «covert information channel» | Binary RE, function-level восстановление кода |
13 · Матрица рисков по сценариям использования
| Сценарий | Стеганография? | Регуляторный риск | Приоритет |
|---|---|---|---|
| Офиц. API + latest 2.1.204+ | Нет | Низкий | Routine update |
| Офиц. API + 2.1.91–2.1.196 | Нет | Средний (version compliance) | Обновить до 2.1.204+ |
| Proxy Base URL + 2.1.91–2.1.196 | Да | Высокий | Немедленно обновить или удалить |
| Proxy Base URL + 2.1.197+ | По отчётам нет | Средний | Верификация в изоляции перед prod |
| CN enterprise office (любая версия) | Зависит от Base URL | Высокий (compliance) | NVDB + internal policy; Qoder/Cursor как альтернатива |
| Сотрудник Alibaba (после 10.07) | — | Запрещено | Полное удаление, миграция на Qoder |
14 · Команды терминала: проверка версии, обновление, полное удаление
Команды для macOS Terminal. Перед удалением сохраните нужные настройки из ~/.claude (без plaintext API Key).
14.1 Проверка текущей версии
14.2 Аудит ANTHROPIC_BASE_URL
14.3 Hex-дифф апострофа (форензика system prompt)
14.4 Обновление до безопасной версии
14.5 Полное удаление
15 · Семь шагов compliance: от инвентаризации до архивации
- Инвентаризация версий: на всех dev Mac, CI runner и remote build node выполнить
claude --version, экспортировать список, пометить узлы с 2.1.91–2.1.196. - Аудит ANTHROPIC_BASE_URL: проверить shell config, CI secret store, Docker Compose, Kubernetes ConfigMap — используется ли неофициальный proxy/gateway.
- Немедленное обновление или удаление: для затронутых версий —
npm install -g @anthropic-ai/claude-code@latestили полный uninstall (см. §14). - Усиление egress-контроля: whitelist исходящих API-endpoint для dev VLAN; TLS inspection и алерты на аномалии.
- Оценка альтернатив: enterprise может рассмотреть Qoder (Alibaba), Cursor, GitHub Copilot; сравнение — обзор AI-ассистентов для кодинга.
- Верификация в изоляции: на чистом macOS переустановить Claude Code, A/B-тест official vs proxy endpoint, diff system prompt — подтвердить отсутствие стеганографии.
- Обновление security policy: включить предупреждение NVDB в software whitelist review; уведомить сотрудников со сроком remediation и audit trail.
16 · Чеклист индивидуального разработчика (30 минут)
Для indie dev, фрилансеров и tech lead небольших команд:
- Версия:
claude --version; если 2.1.91–2.1.196 — немедленно 2.1.204+ или uninstall. - Base URL:
echo $ANTHROPIC_BASE_URL+ grep shell configs и project.env; задокументировать причину proxy и data flow. - TZ и proxy chain: проверить
Asia/Shanghai/Asia/Urumqi— понимать overlay с date-separator encoding. - Cleanup: при отказе —
npm uninstall -g @anthropic-ai/claude-code+rm -rf ~/.claude. - Альтернативы: см. Cursor, Copilot, Gemini — сравнение.
- Изолированная верификация (рекомендуется): A/B на арендованном/запасном Mac, скриншоты diff для audit record.
17 · Чеклист корпоративного IT и SecOps
Для security team, IT ops и compliance officer — alignment с NVDB и supply chain audit:
- Asset inventory: через MDM/endpoint management/Ansible массово собрать
claude --versionиANTHROPIC_BASE_URL. - Software whitelist: Claude Code 2.1.91–2.1.196 → blocked; оценить total ban Anthropic clients по прецеденту Alibaba 10.07.
- Egress policy: dev VLAN API whitelist; мониторинг TLS к endpoint ≠
api.anthropic.comи anomalous DNS. - Key rotation: если использовался proxy — оценить риск компрометации API key; rotate; очистить Base URL из CI/CD.
- Employee comms: internal security bulletin с NVDB qualification, deadline, owner; signed acknowledgment.
- Alternative PoC: Qoder, Cursor, Copilot или on-prem model; document selection rationale для auditor.
- Acceptance & archive: после upgrade verification — version screenshot, uninstall log, network policy change order в ISO 27001 / local compliance evidence store.
18 · FAQ (10 вопросов)
Какие версии затронуты предупреждением NVDB?
Claude Code v2.1.91–v2.1.196. 2.1.91 — 2 апреля 2026, 2.1.196 — 29 июня. Anthropic выпустил 2.1.197 1–2 июля с удалением кода.
Мониторятся ли все пользователи Claude Code?
Нет. Стеганография срабатывает только если ANTHROPIC_BASE_URL ≠ api.anthropic.com. Прямой официальный API не затронут.
Это утечка данных?
Нет публичных доказательств прямой загрузки source code или диалогов. Подтверждены маркеры классификации в system prompt — covert channel; NVDB квалифицирует как серьёзный риск бэкдора.
Почему Alibaba запретила Claude Code?
После оценки риска бэкдора — high-risk list; с 10 июля 2026 запрет в office environment; рекомендован Qoder.
Как отреагировал Anthropic?
Thariq Shihipar признал «эксперимент» (март 2026) против resale/distillation; удалено 2 июля; changelog явно не описывает.
Как работает стеганография?
В строке Today's date is... переключаются date separator и Unicode apostrophe (U+0027/U+2019/U+02BC/U+02B9) + 147 правил base64+XOR(91).
Связано ли с Claude Desktop injection?
Два независимых инцидента. A (апрель): Hanff — Native Messaging. B (июнь): thereallo.dev — Claude Code prompt steganography. NVDB — прежде всего B.
Как enterprise действовать?
NVDB: inventory, upgrade/uninstall, egress control. См. §15–17.
Достаточно ли 2.1.197?
Anthropic заявил об удалении; changelog не подтверждает. Рекомендуется 2.1.204+ и изолированная верификация.
Связано ли с дистилляцией US↔CN?
Да. Anthropic обвинил Qwen в ~25 000 аккаунтах и ~28,8 млн диалогов. Сообщество считает стеганографию anti-distillation мерой; реализация вызвала регуляторную реакцию.
19 · Отказ от ответственности
Материал основан на публичном предупреждении NVDB, открытых СМИ и community reverse engineering reports. Цель — помочь разработчикам и IT-директорам оценить риск и выполнить remediation. Не является юридической консультацией или security certification. Политики Anthropic, internal bans enterprise и регуляторные интерпретации могут измениться — ориентируйтесь на официальные bulletin. MacDate не аффилирован с Anthropic или Alibaba; упомянутые альтернативы и аренда Mac — технический reference для принятия решений.
20 · Аренда изолированного Mac: наиболее контролируемый путь верификации
Чтобы в срок NVDB remediation предоставить audit-ready evidence chain — «мы обновились до safe version, system prompt без steganography, ANTHROPIC_BASE_URL указывает на official endpoint» — нужна чистая, snapshot-able, disposable macOS среда для полного A/B-теста. Боль на primary MacBook реальна: Homebrew multi-Node, corporate VPN, daily Keychain и browser profile — один experiment может испортить baseline на недели; worse — repeated install/uninstall Claude Code может пересоздать Native Messaging manifest (событие A).
npm install -g @anthropic-ai/claude-code на Linux cloud host — временный путь: нет native Keychain semantics, нет ~/Library/Application Support/ browser injection surface, нет реалистичного macOS/iOS dev CLI ecosystem. Для reproducible, auditable, production-faithful acceptance conclusion цикл «upgrade → prompt diff → uninstall → environment destroy» на посуточном Apple Silicon Mac mini обычно дешевле по времени и bandwidth, чем pollution primary machine. Тарифы и SSH — руководство по ценам Mac mini M4; для agent orchestration security cross-check см. инцидент JADEPUFFER Langflow ransomware и его isolated deployment pattern.
21 · Источники и reference material
- NVDB / MIIT — предупреждение о риске бэкдора Claude Code (2026-07-08)
- IT之家 — 工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
- 新京报 — 工信部监测发现 Claude Code 存安全后门隐患
- 人民网 — coverage NVDB risk bulletin
- 36Kr / 智东西 — 工信部首次定调:Claude Code 危害严重; 突发,阿里全面禁用 Claude
- CNBC — Anthropic distillation allegations against Alibaba
- China Daily — China's industry regulator flags 'backdoor' risk in Claude Code
- Ars Technica — Claude Code prompt steganography and covert tracking
- TechCrunch — Alibaba Claude ban and distillation dispute
- The Register — Claude Desktop changes software permissions without consent (событие A)
- thereallo.dev — original Claude Code prompt steganography RE report
- Adnane Khan — independent verification (2.1.193/195/196)
- TechTimes / Tech Startups — Anthropic 2.1.197 fix and Shihipar response
- Yicai / Wall Street CN — Alibaba Claude ban and Qoder alternative
- Antiy Labs — Claude Desktop high-privilege browser channel analysis
- Hacker News — Claude Code steganography thread (350+ points)
Последнее обновление: 9 июля 2026 г. При последующих bulletin NVDB или official security advisory Anthropic материал будет пересмотрен.