Сегодня у Anthropic, можно сказать, «двойной праздник».
С одной стороны, они выпустили «самую агентскую на сегодняшний день модель Sonnet» — Claude Sonnet 5, производительность которой близка к Opus 4.8.
С другой стороны, заявили, что Министерство торговли США сняло экспортные ограничения с их моделей Claude Fable 5 и Mythos 5. Anthropic начнет возобновлять доступ завтра и скоро поделится последними новостями.

Согласно содержанию соглашения, подписанного министром торговли США Ховардом Лютником (Howard Lutnick), с момента отправки соответствующих писем 12 и 26 июня Anthropic тесно сотрудничала с правительством США, принимая меры по устранению рисков, связанных с Claude Mythos 5 и Claude Fable 5.
Anthropic обязалась активно выявлять и устранять потенциальные риски безопасности, которые могут представлять эти модели; тесно сотрудничать с правительством США по вопросам соглашений, стандартов и планов выпуска для Mythos, Fable и будущих моделей; и информировать правительство США при обнаружении злонамеренной деятельности.
На основании уже принятых Anthropic мер и данных обещаний, а также оценки Бюро промышленности и безопасности Министерства торговли США текущих рисков передачи технологий, связанных с Claude Mythos 5 и Claude Fable 5, Министерство торговли США решило отменить ограничительные меры, изложенные в письме от 12 июня.
Это означает, что экспорт, реэкспорт, внутренняя передача Claude Mythos 5 и Claude Fable 5, включая условный экспорт и условный реэкспорт, больше не будут требовать лицензии.
Однако Министерство торговли США оставляет за собой право пересмотреть это решение. Если ситуация изменится или Anthropic не выполнит свои обещания, Министерство торговли может повторно ввести требования к лицензированию.

Однако для китайских пользователей пока рано радоваться.
В тот же день в сообществе разработчиков бурно обсуждалась другая тема: было обнаружено, что Claude Code без ведома пользователей собирает информацию о локальном прокси и часовом поясе и с помощью «стеганографии» (Steganography) скрытно встраивает эту информацию в промпты, отправляемые в облако.
Claude Code обвиняют в использовании невидимого кода для маркировки китайских пользователей
Недавно стало известно, что Anthropic тайно внедрила в Claude Code фрагмент кода.
Этот код автоматически определяет, использует ли пользователь китайский часовой пояс, текущую сетевую прокси, а также подключен ли к средам, связанным с некоторыми китайскими AI-лабораториями.
Затем он встраивает эту информацию скрытым образом в системный промпт, отправляемый ИИ.
Китайские пользователи совершенно не подозревают об этом, но Anthropic может идентифицировать их по этим невидимым «отпечаткам».
Один разработчик сначала выразил сомнения на Reddit, а затем опубликовал на GitHub отчет о проверке, заявив, что проанализировал код версий 2.1.193, 2.1.195 и 2.1.196 Claude Code и подтвердил наличие скрытого механизма. Этот механизм характеризуется как скрытый канал передачи информации в системных промптах.
Логика обнаружения
Согласно описанию в отчете, Claude Code проверяет переменную окружения ANTHROPIC_BASE_URL, которая обычно включается, когда пользователь направляет Claude Code на пользовательский API-прокси, а не на официальную конечную точку api.anthropic.com. При обнаружении неофициального маршрута программа извлекает домен прокси, читает системный часовой пояс пользователя, уделяя особое внимание проверке, является ли он Asia/Shanghai или Asia/Urumqi.

Анализ с помощью GLM5.2
В отчете говорится, что этот домен сравнивается с раскодированным списком, содержащим 147 записей. Список включает домены китайских технологических компаний и AI-лабораторий, таких как Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax, Stepfun, а также множество адресов услуг перепродажи или зеркалирования API Claude.
Способ передачи информации
Ядром спора является путь передачи информации.
В отчете указывается, что Claude Code не настроил отдельное поле телеметрии для отправки данных. Носителем аномальной информации является та самая неприметная фраза «Today's date is...» в системном промпте.
Когда системный часовой пояс определяется как китайский, разделитель дат меняется с дефиса на косую черту, например, 2026-06-30 отображается как 2026/06/30. Апостроф в «Today's date» одновременно переключается между несколькими визуально близкими символами Unicode, такими как ', ', ʼ, ʹ, чтобы пометить, что данный запрос совпал с доменом из списка, ключевыми словами AI-лабораторий или и тем, и другим. Эти символы трудно различить невооруженным глазом в обычном интерфейсе.
Для обычного пользователя символы ', ', ʼ, ʹ практически неразличимы, что и позволило этому механизму долгое время оставаться скрытым. Если анализ верен, каждый соответствующий условиям запрос несет с собой такую незаметную метку наверх.
Суть спора
Сбор данных телеметрии широко распространен в программной индустрии. У AI-компаний, стремящихся предотвратить злоупотребления, сдерживать перепродажу, избегать санкционных рисков и не допустить дистилляции модели, часто есть достаточные мотивы для идентификации поведения пользователей. С этой точки зрения нетрудно понять мотивацию Anthropic в сдерживании незаконной перепродажи доступа к Claude на китайском рынке.
Точкой разногласий является способ реализации, а не сама цель.
Что касается открыто раскрытых механизмов телеметрии, разработчики обладают полным правом на информированность и выбор: они могут изучать документацию, блокировать определенные конечные точки или самостоятельно решать, принимать ли тот или иной сбор данных. Но скрытие маркировочной информации в едва различимых символьных различиях в промпте меняет предпосылку доверия между пользователем и инструментом. Для помощника по программированию нарушение таких границ, если оно произойдет, может дорого обойтись.
Контекст разрешений
В Claude Code встроена система разрешений, охватывающая такие операции, как чтение файлов, выполнение команд Bash и редактирование файлов. Операции только для чтения не требуют одобрения пользователя, в то время как операции, связанные с выполнением команд и изменением файлов, требуют подтверждения прав.
Ранее Anthropic также открыто говорила о возможной проблеме «усталости от одобрения» (approval fatigue) в Claude Code, признавая, что большинство пользователей привычно одобряют запросы на разрешение, и что полное отключение механизма подтверждения разрешений в большинстве сценариев небезопасно.
В собственном инженерном блоге компании также задокументированы реальные случаи «агентского неправильного поведения» (agentic misbehavior), включая случайное удаление удаленных веток git, непреднамеренную загрузку GitHub-токена и даже попытки выполнить операции миграции в производственной базе данных.
Кодирующий агент работает внутри репозитория кода, имеет доступ к исходному коду, структуре файлов, деталям проекта и даже ключевой информации, которую пользователь может неосторожно раскрыть, и ему предоставлены права на выполнение команд и изменение файлов. Для такого инструмента само доверие является его основой существования.
Если клиентская сторона тайно кодирует метаданные маршрутизации в промпты, у пользователей естественно возникает повод задаться вопросом: какая еще информация записывается аналогичным образом? Существуют ли на стороне клиента другие нераскрытые механизмы обнаружения? Были ли эти действия где-либо задокументированы?
После раскрытия информации член технической команды Anthropic @trq212 отреагировал на причину реализации кода и заявил, что этот код будет удален в новой версии, выпуск которой запланирован на следующий день.

Ссылки по теме:
https://news.ycombinator.com/item?id=48734373
https://thereallo.dev/blog/claude-code-prompt-steganography
https://x.com/IntCyberDigest/status/2071971609183678544?s=20
https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
Эта статья взята с официального аккаунта WeChat «机器之心» (ID: almosthuman2014), автор: 关注AI的








