Скрытый «трекер» в Claude шокирует пользователей на фоне заявлений Anthropic о борьбе со слежкой

Anthropic Claude Code китай дистилляция конфиденциальность arstechnica.com

Anthropic уличили в шпионаже за пользователями; инженер заявил, что «эксперимент» окончен. Компания тайно отслеживала китайских пользователей Claude Code, используя стеганографию промптов.

Компания Anthropic оперативно удалила трекер, тайно отслеживавший пользователей Claude Code в Китае, после того как исследователь безопасности разоблачил скрытый код и осудил слежку, подобную шпионскому ПО, как «серьезное нарушение доверия пользователей».

На прошлой неделе веб-разработчик под псевдонимом «Thereallo», изучая вопросы конфиденциальности в Claude Code, был шокирован, обнаружив, что ИИ-компания использует «стеганографию промптов» для сокрытия кода, который отслеживает китайских пользователей «на виду». Этот код не был вредоносным, но он отправлял Anthropic информацию, которую большинство пользователей не смогли бы обнаружить, используя сокращенные маркеры для скрытого обозначения часового пояса пользователя, прокси и потенциальной связи с китайскими ИИ-лабораториями, которые, по утверждению Anthropic, занимаются атаками дистилляции.

В X инженер Anthropic Тарик Шихипар подтвердил, что трекер был добавлен в Claude Code в марте в качестве «эксперимента». По словам Шихипара, код «предназначался для предотвращения злоупотребления учетными записями со стороны неавторизованных реселлеров и защиты от дистилляции». Что касается первого пункта, The Washington Post выяснила, что неавторизованные продавцы продавали доступ к бесплатным моделям по 1 доллару в месяц, а профессиональные подписки, которые могут стоить 100 долларов в месяц, продавались «всего за 12 долларов».

Шихипар заявил, что Anthropic «на самом деле давно собиралась удалить этот код», поскольку инженеры с тех пор «внедряли более надежные меры смягчения последствий».

Однако защитники конфиденциальности не были довольны этим объяснением, предупреждая, что этот код является доказательством того, что Anthropic готова переступать черту для наблюдения за пользователями. Это, пожалуй, особенно удивительно, учитывая, что Anthropic вызвала недовольство администрации Трампа, отказавшись разрешить правительству США использовать Claude для слежки за пользователями из США. Впоследствии ИИ-компания подала в суд на Белый дом из-за этого конфликта.

Anthropic добивается признания дистилляции незаконной

The Post предположила, что инцидент с трекером является признаком того, что американские фирмы, такие как Anthropic, принимают «все более агрессивные меры» для блокирования копирования их моделей китайскими ИИ-фирмами.

По-видимому, более оборонительная позиция стала критически важной. В прошлом году китайские фирмы «последовательно догоняли» возможности моделей США «в течение нескольких месяцев», сообщила The Post. Совсем недавно, как сообщила The Post, «новая бесплатная ИИ-модель от китайской компании Zhipu AI оказалась лучше в поиске компьютерных уязвимостей, чем модель Claude Opus 4.8 от Anthropic, выпущенная в мае».

Чтобы закрепить преимущество США на 12 или, возможно, даже 24 месяца, Anthropic заявила, что США должны активизировать вмешательство, используя различные возможные меры наказания для борьбы с атаками дистилляции, включая блокирование доступа к передовым моделям, чипам и центрам обработки данных в США.

Хотя дистилляция не является незаконной (ведущие американские фирмы тоже этим занимаются), многократное обращение к моделям вроде Claude с промптами с целью быстрого усовершенствования китайских моделей нарушает пользовательские условия Anthropic.

Чтобы положить конец бесконечному копированию, Anthropic присоединилась к OpenAI в призыве к США рассматривать атаки дистилляции как форму кражи интеллектуальной собственности. На недавних слушаниях в Сенате сенатор Тим Скотт (республиканец от Южной Каролины) согласился с необходимостью правового вмешательства, заявив, что США должны «тщательно разработать политику экспортного контроля, которая будет ясной и краткой», чтобы помешать Китаю использовать такие атаки для «получения технологического преимущества», сообщила The Post.

Секретный код спровоцировал бан Alibaba для Claude

По данным The Post, очевидно, что китайские фирмы занимаются дистилляцией американских моделей. В феврале китайские исследователи из Пекинского университета и государственно финансируемой Китайской академии наук «разработали методы обнаружения признаков дистилляции в ведущих больших языковых моделях» и обнаружили, что большинство китайских моделей «продемонстрировали существенные свидетельства дистилляции», в основном из американских моделей. Одна из ИИ-моделей Qwen от Alibaba — которая, по утверждению Anthropic, была усовершенствована после крупнейшей атаки дистилляции на Claude в июне — «неоднократно, по-видимому, имитировала» Claude в феврале. В некоторых интенсивных тестах модель даже иногда ошибалась и идентифицировала себя как Claude, обнаружили исследователи.

,

Alibaba не комментировала обвинения Anthropic, но компания предприняла шаги, чтобы дистанцироваться от моделей Anthropic на фоне продолжающегося пристального внимания.

В прошлую пятницу Alibaba запретила своим сотрудникам использовать Claude Code в работе, как сообщила South China Morning Post, ссылаясь на сообщение. Согласно служебной записке, которую просмотрела SCMP, Alibaba сообщила сотрудникам, что запрет стал прямым ответом на тревожные новости о трекере, который Anthropic использует для мониторинга китайских пользователей.

«Поскольку недавно было обнаружено, что Claude Code несет риски бэкдора, после всесторонней оценки Claude Code теперь добавлен в список программного обеспечения высокого риска с уязвимостями безопасности», — говорилось в служебной записке.

Для Alibaba игнорирование решимости Anthropic обнаруживать пользователей, связанных с ведущими китайскими ИИ-лабораториями, сопряжено с риском.

В отличие от индивидуальных пользователей, которые могут легко заплатить за дешевые обходные технологии, чтобы избежать блокировщиков местоположения Anthropic без страха серьезных последствий, Alibaba может столкнуться с юридическими рисками и рисками соблюдения нормативных требований, если ее поймают на нарушении условий Anthropic, сообщил источник, пожелавший остаться анонимным, в беседе с Reuters, комментируя запрет Claude в Alibaba.

Для Anthropic продолжение атак может нанести ущерб бизнесу компании. Некоторые китайские модели с открытым исходным кодом более популярны, чем бесплатные и открытые американские аналоги, сообщила The Post, а генеральные директора Fortune 500 дали понять, что ищут более дешевые ИИ-решения. Для США блокирование китайской дистилляции американских моделей не только было бы сложным, но и могло бы быть непопулярным — блокируя американцам возможность извлекать выгоду из более дешевых ИИ-альтернатив из Китая, предположила The Post.

Отслеживание Anthropic пересекло «страшную черту»

В этом климате, когда лояльность пользователя чат-бота зависит от анализа затрат и выгод, взвешивающего стоимость доступа к моделям и их возможности, Anthropic, вероятно, не может позволить себе потерять доверие пользователей, борясь за то, чтобы передовые модели опережали китайские.

,

Как отметил веб-разработчик, обнаруживший скрытый трекер, это «странно», что Anthropic решила действовать тайно, хотя компания могла бы вместо этого прозрачно уведомить пользователей о нарушающем права отслеживании.

«Это не вредоносная функция, но это странный выбор для инструмента разработчика, который требует доверия», — говорилось в блоге Thereallo. В блоге отмечалось, что «если клиенту нужно обнаружить пользовательские API-шлюзы, он может заявить об этом прямо. Он может отправить явное поле телеметрии с документацией. Он может сделать политику видимой. Он может указать это поведение в примечаниях к выпуску».

Исследователь подчеркнул, что «агенты для кодирования уже находятся на неверной стороне страшной черты. Они могут инспектировать код, случайно суммировать секреты, выполнять команды, устанавливать пакеты, редактировать файлы и отправлять коммиты на вашей локальной машине».

Хотя большинство пользователей, вероятно, не пострадали от отслеживания, Thereallo предупредил, что «правильная реакция» — это более пристальное изучение потенциала Claude для слежки за пользователями, поскольку «эта функция в основном наказывает именно тех людей, которых легче всего идентифицировать: обычных разработчиков, занимающихся странными, но законными вещами».

«Сокрытие сигнала в системном промпте делает каждое другое заявление о конфиденциальности менее правдоподобным», — сказал Thereallo.

Anthropic не сразу ответила на запрос Ars о комментарии.

Однако представитель сообщил The Post, что атаки дистилляции со стороны китайских лабораторий «представляют серьезную угрозу национальной безопасности и подрывают стандарты безопасности ИИ во всей отрасли. Именно поэтому мы продолжаем открыто говорить о том, что видим, и тесно сотрудничаем с другими лабораториями, правительством и партнерами по поиску общих решений».

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: