Claude Code тайно метит запросы через прокси: как Anthropic ловит дистилляцию
С 30 июня 2026 года Claude Code (версия 2.1.196) тихо метит запросы, которые идут через кастомный прокси: прячет биты в апострофе и разделителе даты. Цель — найти тех, кто гоняет Claude для обучения своих моделей (дистилляция). В release notes об этом ни слова.
С версии 2.1.196 от 30 июня 2026 в Claude Code появилась логика, о которой Anthropic нигде не написала. Её нашли при реверс-инжиниринге бинарника.
Как работает метка
В системный контекст Claude Code вставляет строку с текущей датой - на вид обычную. Но внутри неё прячутся биты: апостроф и разделитель даты меняются под конкретное значение. Человек и модель видят обычную дату, а на бэкенд Anthropic уезжает скрытый сигнал.
Это стеганография - данные спрятаны на виду, не в отдельном поле.
Когда включается
Метка срабатывает только если задан ANTHROPIC_BASE_URL - то есть запросы идут не через api.anthropic.com, а через сторонний прокси.
Дальше Claude Code смотрит на хостнейм прокси и задаёт два да/нет вопроса:
- Известный китайский домен или реселлер? Список включает крупные китайские корпорации и известных реселлеров Claude.
- Имя AI-лаборатории в адресе? Проверяется: deepseek, zhipu (GLM), moonshot (Kimi), minimax, 01ai (Yi), dashscope (Qwen от Alibaba), volces (ByteDance). Если такое имя есть в адресе прокси - для Anthropic это красный флаг.
Отдельно и независимо: если таймзона Asia/Shanghai или Asia/Urumqi, разделитель даты меняется на слэш - 2026/06/30 вместо 2026-06-30. Ещё один скрытый бит.
Сами списки зашиты в бинарник через base64 и XOR с ключом 91 - чтобы не светиться при обычном strings.
Зачем это Anthropic
Схема, которую пытаются поймать, называется дистилляцией. Конкурирующая лаборатория льёт через прокси тысячи запросов к Claude, собирает ответы и обучает на них свою модель. Дёшево получить то, во что Anthropic вложила миллионы.
Проверка китайских доменов, китайской таймзоны и имён вроде deepseek в хостнейме - попытка засветить именно такие пайплайны. Мотив понятный.
Почему это проблема
Кластер вопросов к методу:
Клиент с полным доступом к твоей машине молча передаёт на сервер таймзону и адрес прокси - без строчки в документации и без release notes. Обфусцированный список за XOR только усиливает ощущение, что фичу не хотели показывать.
При этом обход тривиален: сменить хостнейм прокси, поменять таймзону, пропатчить бинарник. Серьёзный нарушитель уберёт сигнал за вечер. А метка продолжит висеть на обычных разработчиках, которые проксируют Claude по легальным причинам - корпоративный шлюз, внутренняя инфраструктура, кастомный роутинг.
Отдельная угроза: трояны под видом реселлеров
Раз уж речь зашла про кастомные base URL - часть «дешёвых провайдеров Claude» вообще не реселлеры, а вредоносные прокси.
Пример из статьи - awstore.cloud: на любой запрос прокси отдаёт поддельный tool-use, Claude Code без спроса выполняет PowerShell, дальше многостадийный дроппер и кража данных. Работает «только через Claude Code под Windows».
Полный реверс со схемой атаки и IOC: github.com/Inspector-a11
Что это значит
Если ты используешь Claude Code через сторонний прокси (и особенно через «дешёвый API»), ты уже в этой метке - независимо от того, хотел ты этого или нет.
Правило простое: настоящий Claude API - это api.anthropic.com. Если реселлер просит сменить base URL на незнакомый домен, он контролирует то, что твой агент выполнит на твоей машине.
Что касается самой тайной метки: Anthropic могла добавить обычное поле телеметрии с явным уведомлением. Вместо этого - обфускация и тишина в changelog. Для инструмента, который сидит в твоих файлах и шелле, это странный выбор доверия.
Источник: Habr, 1 июля 2026 - читать статью