В конце июня 2026 года в среде разработчиков произошёл скандал. Пользователь Reddit LegitMichel777, занимаясь обратной разработкой инструмента Claude Code, обнаружил скрытый код. Программа — искусственный интеллект (ИИ) для помощи программистам, созданный американской компанией Anthropic, — без ведома пользователя проверяла его местоположение и связь с китайскими организациями.
Механизм был почти незаметен. При подключении через неофициальный API (программный интерфейс приложения) инструмент сверял часовой пояс с «Asia/Shanghai» или «Asia/Urumqi» и сопоставлял адрес прокси-сервера (промежуточного шлюза) с зашифрованным списком из 147 доменов — преимущественно китайских корпораций и AI-лабораторий. Затем программа меняла системный промпт (внутреннюю инструкцию): дефис в дате превращался в слэш, а апостроф в «Today's» заменялся на один из четырёх визуально неотличимых, но разных по кодировке символов Юникода. Сервер Anthropic считывал эти изменения, получая три бита информации о пользователе.
Механизм был почти незаметен. При подключении через неофициальный API (программный интерфейс приложения) инструмент сверял часовой пояс с «Asia/Shanghai» или «Asia/Urumqi» и сопоставлял адрес прокси-сервера (промежуточного шлюза) с зашифрованным списком из 147 доменов — преимущественно китайских корпораций и AI-лабораторий. Затем программа меняла системный промпт (внутреннюю инструкцию): дефис в дате превращался в слэш, а апостроф в «Today's» заменялся на один из четырёх визуально неотличимых, но разных по кодировке символов Юникода. Сервер Anthropic считывал эти изменения, получая три бита информации о пользователе.
«Это эксперимент, запущенный в марте, направленный на предотвращение злоупотреблений учётными записями со стороны неавторизованных реселлеров и защиту от дистилляции», — пояснил инженер Anthropic Тарик Шихипар (Thariq Shihipar) (The Register, 1 июля 2026).
Дистилляция как джокер
Дистилляция моделей (model distillation) — ключевое понятие этой истории. В академическом смысле это легитимный метод: большая «учительская» модель генерирует ответы, на которых обучается меньшая «студенческая». Так получают компактные версии моделей.
Однако та же техника становится инструментом промышленного шпионажа без разрешения владельца. Конкурирующая лаборатория отправляет тысячи запросов к API чужой модели через подставные аккаунты, собирает ответы с цепочками рассуждений (reasoning traces) и обучает на них собственную модель. Затраты на такое копирование — лишь стоимость API-запросов, тогда как оригинальная разработка стоит миллиарды долларов.
По данным Anthropic, масштаб явления значителен. В феврале 2026 года компания сообщила о трёх китайских лабораториях — DeepSeek, Moonshot и MiniMax, — которые сгенерировали более 16 миллионов обменов с Claude через примерно 24 тысячи поддельных аккаунтов. Однако настоящий шок ждал впереди.
Однако та же техника становится инструментом промышленного шпионажа без разрешения владельца. Конкурирующая лаборатория отправляет тысячи запросов к API чужой модели через подставные аккаунты, собирает ответы с цепочками рассуждений (reasoning traces) и обучает на них собственную модель. Затраты на такое копирование — лишь стоимость API-запросов, тогда как оригинальная разработка стоит миллиарды долларов.
По данным Anthropic, масштаб явления значителен. В феврале 2026 года компания сообщила о трёх китайских лабораториях — DeepSeek, Moonshot и MiniMax, — которые сгенерировали более 16 миллионов обменов с Claude через примерно 24 тысячи поддельных аккаунтов. Однако настоящий шок ждал впереди.
Крупнейшая атака
В июне 2026 года Anthropic направила письмо в Банковский комитет Сената США, обвинив лабораторию Qwen (принадлежит Alibaba) в крупнейшей известной дистилляционной атаке. Согласно письму, оказавшемуся в распоряжении Reuters и Bloomberg, с 22 апреля по 5 июня 2026 года операторы создали примерно 25 тысяч мошеннических учётных записей, через которые осуществили более 28,8 миллиона взаимодействий с Claude. Целью стали особо ценные способности модели — программирование и агентные рассуждения (agentic reasoning). По масштабу эта атака превзошла совокупный объём трёх предыдущих кампаний, ранее доведённых до сведения Вашингтона.
Методы обхода и лазейки
Китайские компании нашли несколько способов обхода. Ant Financial (аффилированная с Alibaba) предоставляла сотрудникам корпоративные аккаунты Claude, зарегистрированные на сингапурское юрлицо. ByteDance (владелец TikTok) компенсировала инженерам личные подписки на Claude, к которым те подключались через ВПН. Другие арендовали облачную инфраструктуру Microsoft Azure через зарубежные филиалы.
Эти методы не нарушают законодательства ни США, ни КНР. Однако они противоречат условиям обслуживания (Terms of Service) Anthropic. А с сентября 2025 года компания ввела запрет для организаций, более чем наполовину принадлежащих структурам из неподдерживаемых регионов, — независимо от места их фактической регистрации.
Эти методы не нарушают законодательства ни США, ни КНР. Однако они противоречат условиям обслуживания (Terms of Service) Anthropic. А с сентября 2025 года компания ввела запрет для организаций, более чем наполовину принадлежащих структурам из неподдерживаемых регионов, — независимо от места их фактической регистрации.
Вмешательство правительства США
Ситуация обострилась настолько, что в дело вмешалось правительство США. 12 июня 2026 года Бюро промышленности и безопасности (BIS) Минторга США впервые ввело экспортные ограничения непосредственно на ИИ-модели — Mythos 5 и Fable 5, новейшие разработки Anthropic. Потребовалась индивидуальная лицензия, ограничение распространялось на иностранных граждан, включая сотрудников компании. Anthropic отключила модели глобально — быстро реализовать проверку гражданства для миллионов пользователей было технически невозможно.
Глава Anthropic Дарио Амодей (Dario Amodei) ранее заявлял: «Мы предпочли отказаться от нескольких сотен миллионов долларов выручки, ограничив использование Claude компаниями, связанными с Коммунистической партией Китая» (anthropic.com, 26 февраля 2026).
После переговоров правительство США частично сняло ограничения, а затем отменило экспортный контроль в обмен на обязательства Anthropic выявлять риски безопасности и сотрудничать с властями по стандартам для будущих моделей.
Глава Anthropic Дарио Амодей (Dario Amodei) ранее заявлял: «Мы предпочли отказаться от нескольких сотен миллионов долларов выручки, ограничив использование Claude компаниями, связанными с Коммунистической партией Китая» (anthropic.com, 26 февраля 2026).
После переговоров правительство США частично сняло ограничения, а затем отменило экспортный контроль в обмен на обязательства Anthropic выявлять риски безопасности и сотрудничать с властями по стандартам для будущих моделей.
Ответный ход Alibaba
Кульминация наступила 3 июля 2026 года: Financial Times опубликовала статью о методах обхода ограничений Anthropic, а Alibaba в тот же день объявила о полном запрете Claude Code для сотрудников. Инструмент внесли в список «высокорискованного программного обеспечения», сотрудникам предписали перейти на платформу Qoder (ранее TONGYI Lingma). Запрет вступил в силу 10 июля 2026 года. Конфликт перешёл в открытую фазу.
Некоторые выводы
Из этой истории можно сделать несколько предварительных выводов. Технологическая конкуренция США и Китая переходит на новый уровень: после ограничений на поставки микропроцессоров противоборство смещается в программную плоскость. Дистилляционные атаки становятся одним из инструментов борьбы, а ответные меры — от стеганографии в коде до экспортного контроля на модели — формируют новый ландшафт отрасли.
Вопрос доверия к инструментам разработчика теперь стоит остро. Ситуация с Claude Code создала прецедент: программа с доступом к файловой системе способна скрыто передавать данные об окружении пользователя. Некоторые аналитики отмечают, что история ускоряет формирование двух конкурирующих экосистем ИИ — западной и китайской — с минимальным пересечением, где каждая сторона разрабатывает собственные инструменты и стандарты.
Вопрос доверия к инструментам разработчика теперь стоит остро. Ситуация с Claude Code создала прецедент: программа с доступом к файловой системе способна скрыто передавать данные об окружении пользователя. Некоторые аналитики отмечают, что история ускоряет формирование двух конкурирующих экосистем ИИ — западной и китайской — с минимальным пересечением, где каждая сторона разрабатывает собственные инструменты и стандарты.