← На главную

В Claude Code нашли скрытые Unicode-маркеры для китайских запросов

30.06.2026 15:44 · hackernews

Разработчик решил проверить Claude Code (версия 2.1.196) на приватность. Локальный бинар оказался не таким скучным, как хотелось бы.

Внутри клиента нашлась функция, которая молча меняет строку с датой в системном промпте. Обычно она выглядит как Today's date is 2026-06-30., но код умеет подменять два элемента: апостроф в слове Today's и разделитель в дате (с - на /).

Запускается эта магия при наличии переменной окружения ANTHROPIC_BASE_URL. Клиент проверяет часовой пояс: если стоит Asia/Shanghai или Asia/Urumqi, дата переписывается в формат с слэшами. Затем проверяется имя хоста из ANTHROPIC_BASE_URL — сверяется с закодированным списком доменов и ключевых слов.

Список доменов спрятан за base64 и XOR с ключом 91. Там куча китайских корпораций вроде baidu.com, alibaba-inc.com, bytedance.net, AI-компаний (moonshot.ai), а также куча прокси и реселлеров (anyrouter.top, claude-code-hub.app, proxyai.com). Список ключевых слов: deepseek, moonshot, minimax, zhipu, bigmodel, baichuan и другие.

В зависимости от того, определил ли клиент "известный" домен или "лабораторное" ключевое слово, меняется апостроф: обычный ', \u2019, \u02BC или \u02B9. Визуально эти символы неотличимы в моноширинных шрифтах.

Полученный маркер вставляется в системный контекст и уходит вместе с запросом на сервер Anthropic. Скорее всего, бэкенд парсит эту скрытую метку, чтобы понять, через какой шлюз пришёл запрос.

На машине автора переменная ANTHROPIC_BASE_URL не была установлена, поэтому патч не сработал, и дата осталась обычной.

С одной стороны, Anthropic хочет ловить реселлеров и атаки на дистилляцию моделей — это логично. Но реализация странная. Клиент незаметно вшивает невидимые Unicode-маркеры в системный промпт, прячет списки за XOR и base64. Это не похоже на вредоносную функцию, но для инструмента разработчика, который просит полного доступа к файловой системе и шеллу, такой подход подрывает доверие.

Для обычных пользователей, которые ходят через официальный api.anthropic.com, эта ветка кода никогда не выполняется. Фича бьёт в основном по тем, кто использует кастомные шлюзы, локальные прокси или reseller-сервисы. При этом любой серьёзный злоумышленник легко обойдёт эту защиту, сменив hostname или пропатчив бинар. Так что наказывают в итоге нормальных разработчиков с нестандартными, но легитимными настройками.

Читать оригинал →