Alibaba запрещает Claude Code из-за скрытого отслеживания китайских пользователей
TL;DRAlibaba запретила использование Claude Code после того, как исследователи безопасности обнаружили, что Anthropic встроила стеганографический код отслеживания для идентификации китайских пользователей. Запрет последовал за обвинением Anthropic в том, что Alibaba провела крупнейшую известную атаку дистилляции на ее модели.
Alibaba запретила своим сотрудникам использовать Claude Code, ИИ-агента для кодирования от Anthropic, после того как исследователи безопасности обнаружили, что инструмент содержит скрытый код, предназначенный для идентификации китайских пользователей. Запрет, вступивший в силу 10 июля, последовал за неделями нарастающего конфликта между двумя компаниями из-за обвинений в том, что Alibaba украла ИИ-возможности Anthropic через дистилляцию в промышленных масштабах.
«Поскольку недавно было обнаружено, что Claude Code несет риски наличия задних дверей, после всесторонней оценки Claude Code теперь добавлен в список высокорискового программного обеспечения с уязвимостями безопасности», — заявила Alibaba в внутреннем уведомлении, опубликованном South China Morning Post. Компания рекомендовала сотрудникам использовать Qoder, свою собственную платформу для кодирования, в качестве замены.
Как работало отслеживание
Пользователь Reddit с ником LegitMichel777 обратил внимание на Claude Code 30 июня и обнаружил обфусцированный код, который был тихо присутствовал с версии 2.1.91, выпущенной 2 апреля, без упоминания в примечаниях к выпуску. Код проверял, установлен ли часовой пояс системы пользователя на Asia/Shanghai или Asia/Urumqi, и сканировал прокси-URL на наличие в жестко закодированном списке китайских доменов и адресов ИИ-лабораторий.
Вместо того чтобы регистрировать результаты традиционным образом, система использовала стеганографию, чтобы скрыть свои сигналы в системном запросе, отправляемом обратно на серверы Anthropic. Если часовой пояс был китайским, формат даты изменялся с дефисов на слэши, а апостроф в «Сегодняшняя дата» заменялся на один из трех визуально идентичных, но технически различных символов Unicode в зависимости от того, какие флаги были активированы.
Изменения невидимы для человеческих пользователей и потенциально даже для самой модели ИИ, но они могут быть обработаны машинами на серверах Anthropic. Части кода обнаружения были обфусцированы с помощью XOR с ключом 91, техника, используемая для предотвращения извлечения открытого текста во время анализа кода.
Ответ Anthropic
Тарик Шихипар, инженер Anthropic в команде Claude Code, заявил в X, что отслеживание было «экспериментом, который мы запустили в марте, чтобы предотвратить злоупотребление аккаунтами со стороны несанкционированных реселлеров и защитить от дистилляции». Он сказал, что команда «намеревалась убрать это в течение некоторого времени» и что запрос на удаление был объединен 1 июля.
Откат совпал с восстановлением моделей Fable 5 и Mythos 5 от Anthropic, которые Министерство торговли США приказало компании отключить для всех иностранных граждан в середине июня после того, как исследователи Amazon обнаружили уязвимость jailbreak. Экспортные ограничения были сняты 30 июня, и Anthropic восстановила доступ 2 июля, заявив, что будет «расширять сотрудничество с правительством» в области безопасности передового ИИ.
Контекст дистилляции
Обоснование Anthropic для кода отслеживания находится в рамках более широкой кампании против того, что она называет систематическим воровством возможностей своих моделей. В письме в Комитет по банковскому делу Сената США 10 июня компания обвинила операторов, связанных с ИИ-лабораторией Qwen Alibaba, в проведении крупнейшей известной атаки дистилляции на Claude, используя примерно 25,000 мошеннических аккаунтов для генерации 28.8 миллионов обменов с апреля по июнь.
Alibaba отвергла обвинение. Ранее Anthropic назвала DeepSeek, Moonshot AI и MiniMax в феврале как виновников аналогичных кампаний, рассматривая дистилляцию как экзистенциальную угрозу бизнес-моделям компаний передового ИИ.
Дистилляция, практика использования выходных данных мощной модели для обучения меньшей, занимает серую зону в разработке ИИ. Азиатские стартапы в области ИИ запустили альтернативы моделям Anthropic частично потому, что экспортный запрет на Fable 5 и Mythos 5 оставил пробел на рынке, что делает границу между легитимной конкуренцией и незаконной экстракцией все более трудной для проведения.
Проблема доверия разработчиков
Claude Code требует глубокого доступа к локальной файловой системе разработчика для чтения, модификации и выполнения кода, что означает, что любая скрытая функциональность в инструменте фактически имеет доступ ко всему на машине. Huorong Security, китайская компания в области кибербезопасности, заявила, что отслеживание Anthropic является не только вопросом прозрачности, но и вызывает опасения по поводу соблюдения трансграничных данных.
«Сегодня это проверка часового пояса, завтра это может быть саботаж системы или эксфильтрация данных», — написал один пользователь Reddit. Политика конфиденциальности Anthropic утверждает, что она собирает данные подобного рода, но критики утверждают, что стеганографический метод, предназначенный для того, чтобы быть невидимым для пользователей, пересекает черту, которую стандартное раскрытие конфиденциальности не пересекает.
Более широкая картина
Этот эпизод ускоряет стремление Китая сократить зависимость от американских инструментов ИИ, которые китайские компании все чаще рассматривают как несущие юридические, безопасностные и операционные риски. Alibaba активно развивает собственный стек ИИ, интегрируя свои модели Qwen в продукты от электронной коммерции до робототехники, и запрет на Claude Code дает ей дополнительное обоснование для того, чтобы направить сотрудников к отечественным альтернативам.
Лиззи Ли, научный сотрудник Центра анализа Китая Института политики Азиатского общества, сказала, что конфликт показывает, как конкуренция в области ИИ между США и Китаем вышла за рамки технологий в область контроля доступа и суверенитета. «Если инструмент ИИ для кодирования из США может обнаружить китайское использование или доступ через прокси, то неудивительно, что крупные китайские технологические компании не хотят, чтобы сотрудники использовали его внутри компании», — сказала она.
Модели Anthropic долгое время были официально недоступны в Китае, но они остаются популярными среди местных разработчиков, которые используют обходные пути для поддержания доступа. Вопрос о том, подтолкнет ли контроверсия с отслеживанием больше из них к китайским альтернативам или просто подтвердит то, что многие уже подозревали о рисках зависимости от американских инструментов ИИ, выходит далеко за пределы Alibaba.
Другие статьи
Alibaba запрещает Claude Code из-за скрытого отслеживания китайских пользователей
Alibaba классифицировала Claude Code от Anthropic как программное обеспечение с высоким риском после того, как исследователи обнаружили стеганографические маркеры, которые отмечали китайских пользователей по часовым поясам и прокси.
