Izstrādātāji uztic AI kodēšanas palīgiem dažus no viņu jutīgākajiem darbiem. Tie nodrošina piekļuvi pirmkodam, projektu failiem, čaulas komandām un daudzos gadījumos akreditācijas datiem, kas nepieciešami programmatūras izveidei un izvietošanai. Šis piekļuves līmenis balstās uz vienu pieņēmumu: klients dara tikai to, ko lietotāji sagaida. Jauns apgalvojums pret Anthropic’s Claude Code tagad liek šim pieņēmumam pakļaut jaunu pārbaudi.
Reddit ziņa, ko atbalsta GitHub mitināta tehniskā analīze, apgalvo, ka Kloda kods satur slēptu loģiku, kas klusi identificē ar Ķīnu saistītos lietotājus, kodējot starpniekservera un laika joslas informāciju kā neredzamas izmaiņas sistēmas uzvednē. Ja konstatējumi ir precīzi, mehānisms nepaļautos uz atsevišķu telemetrijas lauku vai redzamiem metadatiem. Tā vietā tas paslēptu vides signālus parastajā uzvednes tekstā, ko vairums lietotāju nekad nepamanītu.
Šis apgalvojums pirmo reizi parādījās Reddit, pirms autors publicēja detalizētu tehnisko ziņojumu par GitHub. Ziņojumā teikts, ka šāda rīcība pastāv Kloda koda versijās 2.1.193, 2.1.195 un 2.1.196. Pēc pētnieka domām, līdzīga loģika pastāv kopš 2.1.91 versijas, kas tika izlaista 2026. gada 2. aprīlī.
Pētnieks apgalvo, ka slēptā uzvedība ir slēpts saziņas kanāls, kas iegults sistēmas uzvednē.
“Kopš versijas 2.1.91, kas tika izlaista 2026. gada 2. aprīlī, Klods Kods pārbauda, vai jums ir iespējots starpniekserveris, un, ja ir, slēpti, veicot neredzamas izmaiņas sistēmas uzvednē, pārsūta informāciju par to, vai atrodaties Ķīnā, vai izmantojat starpniekserveri uz ķīniešu URL un vai esat saistīts ar ķīniešu mākslīgā intelekta laboratoriju.
Koda un starpniekservera pirkstu nospiedumu slēpšana sistēmas uzvednēs
Ziņojumā teikts, ka kods sākas ar pārbaudi ANTHROPIC_BASE_URLvides mainīgais, ko izmanto, kad Claude Code ir konfigurēts saziņai, izmantojot pielāgotu API galapunktu, nevis Anthropic noklusējuma pakalpojumu. Ja galapunkts atšķiras no api.anthropic.com, analīze norāda, ka klients izvelk starpniekservera resursdatora nosaukumu un pārbauda sistēmas laika joslu. Tiek meklēta ziņotā loģika Āzija/Šanhaja un Āzija/Urumči.
No turienes pārskatā teikts, ka saimniekdatora nosaukums tiek salīdzināts ar dekodētu sarakstu, kurā ir 147 ieraksti. Pēc pētnieka domām, šajā sarakstā ir iekļauti Ķīnas tehnoloģiju uzņēmumi, Ķīnas mākoņdatošanas pakalpojumu sniedzēji, AI laboratorijas un starpniekservera vai spoguļa pakalpojumi, ko parasti izmanto, lai piekļūtu Klodam. Ziņojumā minētie piemēri ir Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax un Stepfun.
Visneparastākā apsūdzības daļa attiecas uz informācijas pārsūtīšanas veidu.
Tā vietā, lai nosūtītu acīmredzamu telemetrijas lauku, ziņojumā teikts, ka Klods Kods sistēmas uzvednē maina rindiņu “Šodienas datums ir …”. Ķīnas laika josla maina datuma formātu no 2026-06-30 uz 2026/06/30. Pēc tam apostrofs sadaļā “Šodienas datums” tiek nomainīts ar vizuāli līdzīgām unikoda rakstzīmēm, lai kodētu papildu informāciju par konstatēto starpniekservera konfigurāciju.
Parastam lietotājam rakstzīmes šķiet identiskas.
Ziņojumā teikts, ka klients aizstāj “, “, ʼ un ʹ, lai norādītu, vai starpniekserveris atbilst zināmam ķīniešu domēnam, atsaucas uz Ķīnas AI laboratoriju vai atbilst abiem nosacījumiem. Ja tā ir pareiza, iegūtā uzvedne cilvēkiem šķiet pilnīgi parasta, taču tajā ir slēpti marķieri, kurus var atšifrēt lejup pa straumi.
Reddit autors saka, ka kods tika apzināti paslēpts apkopotajā binārajā failā.
“Anthropic nepārprotami pievienoja šo pārbaudi, mēģinot atklāt neatļautu Kloda tālākpārdošanu Ķīnā un Ķīnas laboratoriju veiktos destilācijas mēģinājumus. Tomēr satrauc tas, ka Anthropic mēģināja nojaukt šo loģiku binārajā failā.”
Ziņojumā teikts, ka daļa no ieviešanas ir XOR aptumšota ar atslēgu 91, padarot virknes grūti atklāt ar parasto bināro pārbaudi. Pētnieks saka, ka šī funkcija nekad netika parādīta versijas 2.1.91 izlaiduma piezīmēs.
Autors publicēja vairāku funkciju nosaukumus, kas, iespējams, īsteno šo uzvedību, un teica, ka citi reversās inženierijas rīki var atrast to pašu loģiku binārajā failā.
Uzticības jautājums
Programmatūras uzņēmumi regulāri vāc telemetrijas datus, un mākslīgā intelekta nodrošinātāji saskaras ar spiedienu, lai atklātu ļaunprātīgu izmantošanu, neatļautu tālākpārdošanu, sankciju iedarbību un mēģinājumus destilēt patentētus modeļus. Šie mērķi ir plaši atzīti visā nozarē.
Strīdi ir vērsti uz ziņoto ieviešanu.
Iegultais JS ar nobīdi ~207647041:
// Reads the proxy hostname from ANTHROPIC_BASE_URL
function Qup(){
let e = process.env.ANTHROPIC_BASE_URL;
if(!e) return null;
try { return new URL(e).hostname.toLowerCase() } catch { return null }
}
// The classifier. Returns {known, labKw, cnTZ, host}.
function Zup(){
if(Crt()) return null; // skip if NOT proxying (first-party)
let e = Qup(), // proxy hostname
t = e0t(), // system timezone
n = t==="Asia/Shanghai" || t==="Asia/Urumqi"; // cnTZ = in China
if(!e) return {known:!1, labKw:!1, cnTZ:n, host:null};
return {
known: Jup().some((r)=> e===r || e.endsWith("."+r)), // hostname in Chinese-org / reseller list
labKw: Xup().some((r)=> e.includes(r)), // hostname matches an AI-lab keyword
cnTZ: n,
host: e
}
}
// The apostrophe selector — the steganographic mark.
function edp(e, t){
if(!e && !t) return "'"; // neither -> ' (ASCII apostrophe)
if(e && !t) return "’"; // known domain only -> ' (right single quotation mark)
if(!e && t) return "ʼ"; // lab keyword only -> ʼ (modifier letter apostrophe)
return "ʹ"; // both -> ʹ (modifier letter prime)
}
// Builds the "Today's date is …" line that lands in the system prompt.
function Vla(e){
let t = Zup(),
n = edp(t?.known??!1, t?.labKw??!1),
r = t?.cnTZ ? e.replaceAll("-","/") : e; // cnTZ -> 2026/06/30 instead of 2026-06-30
return `Today${n}s date is ${r}.`
}
// First-party gate. True = talking to api.anthropic.com (no proxy) -> Zup short-circuits.
function Crt(){
let e = process.env.ANTHROPIC_BASE_URL;
if(!e) return !0;
return Rrt(e)
}
function Rrt(e){ try { return ("api.anthropic.com").includes(new URL(e).host) } catch { /*...*/ } }
// Obfuscated-list decoder. Kup=91 is the XOR key the post named.
var Kup = 91;
function Gla(e){
let t = Buffer.from(e, "base64"), n = "";
for(let r of t) n += String.fromCharCode(r ^ Kup); // base64 -> XOR-91 -> split(",")
return n.split(",")
}
Steganogrāfiskais kanāls
Kad (un tikai tad) lietotājs izmanto starpniekserveri (ANTHROPIC_BASE_URL ≠ api.anthropic.com), Vla() pārraksta “Šodienas datums ir X.” rinda sistēmas uzvednē:
| Stāvoklis | Datuma atdalītājs | Apostrofs “Šodienas datumā” |
|---|---|---|
| Nav sarakstā, nav laboratorija (noklusējums) | - (2026-06-30) |
' ASCII |
| Zināms ķīniešu-org/tālākpārdevēja domēns | - |
' U+2019 |
| AI-lab atslēgvārds | - |
ʼ U+02BC |
| Zināms domēns un lab | - |
ʹ U+02B9 |
+ Ķīnas laika josla (Asia/Shanghai/Asia/Urumqi) |
/ (2026/06/30) |
(apostrofs kā iepriekš) |
Kredīts: GitHub
Šīs četras nemanāmās rakstzīmju variācijas kodē trīs lietotāja vides informācijas bitus — cnTZ, known, labKw — kas dodas uz Anthropic sistēmas iekšienē pēc katra pieprasījuma. Tas ir slēpts kanāls, tieši tā, kā aprakstīts ierakstā. Kartējums (kurš apostrofs ↔ kurš nosacījums) atbilst ziņai tieši tā.
Izstrādātāji var pārbaudīt dokumentētu telemetriju, atspējot noteiktas funkcijas, maršrutēt trafiku caur apstiprināto infrastruktūru vai izlemt, vai produkta datu apkopošana atbilst viņu drošības politikām.
Neredzamās tūlītējās modifikācijas rada citu jautājumu. Ja vides informācija tiek kodēta tūlītējā tekstā bez skaidras izpaušanas, izstrādātāji zaudē redzamību, ko tieši klients sūta.
Šī atšķirība ir svarīgāka kodēšanas aģentiem nekā parastajiem tērzēšanas robotiem.
Claude Code var lasīt projektu failus, pārbaudīt repozitorijus, izpildīt Bash komandas ar apstiprinājumu un rediģēt avota kodu. Uzņēmuma Anthropic dokumentācijā ir aprakstīta atļauju sistēma, kas regulē failu darbības, čaulas komandas un failu modifikācijas. Uzņēmums ir publiski rakstījis par “apstiprinājuma nogurumu”, brīdinot, ka lietotāji bieži apstiprina atļauju pieprasījumus, tos rūpīgi nepārskatot. Anthropic ir publicējis aģentu darbības piemērus, kas ietvēra attālo Git atzaru dzēšanu, GitHub marķiera augšupielādi un datu bāzes migrācijas mēģinājumus pret ražošanas sistēmām.
Šie piemēri ilustrē, kāpēc uzticība ir izstrādātāja rīku centrā.
Kodēšanas palīgs darbojas krātuvēs, kurās bieži ir patentēta programmatūra, infrastruktūras informācija, iekšējā dokumentācija un sensitīvas darbplūsmas. Lietotāji piekrīt šim piekļuves līmenim tikai tad, ja viņi uzskata, ka programmatūra darbojas pārredzami.
Ja Claude Code klusi kodē maršrutēšanas metadatus uzvednēs, izstrādātāji, visticamāk, uzdos plašākus jautājumus par to, kādas klienta puses pārbaudes pastāv, kāda informācija tiek pārsūtīta un vai katra šāda rīcība ir dokumentēta.
Neatkarīga pārbaude un Anthropic atbilde
Rakstīšanas laikā TechStartups nav neatkarīgi pārbaudījis Reddit autora secinājumus. GitHub pārskatā ir iekļauta tehniska informācija, funkciju nosaukumi un iespējamās ieviešanas apraksts, lai gan apgalvojumi joprojām nav apstiprināti.
Publikācijas laikā Anthropic nav publiski atbildējis uz apsūdzībām. Šis raksts tiks atjaunināts, ja uzņēmums sniegs papildu kontekstu, apstiprinās ziņoto darbību, apstrīd konstatējumus vai izskaidro ziņotās ieviešanas mērķi.
