Громкое раскрытие: инструмент Claude Code от Anthropic помечает каждый отправленный запрос невидимой стеганографической меткой. Звучит как шпионский триллер, но это реальность середины 2026 года. Разработчики, считавшие свою работу с AI-агентом полностью приватной, оказались в зоне риска. Разбираемся, как работает эта маркировка, зачем она нужна Anthropic и чем грозит пользователям.
Стеганография — это сокрытие факта передачи сообщения. В отличие от шифрования, которое делает данные нечитаемыми, стеганография прячет сам сигнал внутри безобидного контента. В случае Claude Code — незаметные изменения в коде, которые не влияют на исполнение, но однозначно идентифицируют запрос.
Как обнаружили стеганографию
Исследователи безопасности, разбиравшие исходный код Claude Code v2.1.88, наткнулись на странный модуль. В документации он назывался «watermarker» и, судя по комментариям, отвечал за добавление «незаметных сигнатур» в выходные данные. Но копнув глубже, выяснили: механизм вшивается не только в ответы, но и в запросы пользователя.
Суть проста: перед отправкой промпта на серверы Anthropic клиентская часть модифицирует его — вставляет специфические комбинации пробелов, табуляций или даже невидимые Unicode-символы (zero-width joiners). Эти изменения не видны глазу, не влияют на логику кода, но позволяют компании однозначно сопоставить каждый запрос с конкретным пользователем и сессией.
Важное уточнение: это не баг, а фича. Anthropic сознательно внедрила стеганографию еще в ранних версиях Claude Code, но публично не анонсировала. Впервые о механизме заговорили после отчета об утечках данных в локальном режиме.
Зачем Anthropic это делает?
Официальная позиция компании — борьба с кражей модели и защита от злоумышленников. Якобы стеганографические метки помогают отследить, если кто-то пытается использовать Claude Code для автоматического реверс-инжиниринга или генерации вредоносного кода. Звучит благородно, но есть нюанс.
Проблема в том, что метки уникальны для каждого пользователя. А значит, Anthropic может не только определить, что запрос отправлен с конкретного аккаунта, но и восстановить историю всех промптов вплоть до первого использования. Фактически — построить профиль разработчика на основе его кода.
И это при том, что Anthropic и так собирает телеметрию: нажатия клавиш, запуск команд, тайминги. Стеганография добавляет еще один слой контроля — теперь даже если вы отключили всю телеметрию в настройках (если таковая опция есть), метки все равно уходят на сервер.
Риски для приватности и бизнеса
Допустим, вы используете Claude Code для работы с проприетарным кодом. Отправляете запросы, содержащие названия внутренних модулей, API-ключи (пусть и в закомментированном виде) или бизнес-логику. Anthropic получает не просто текст запроса, а его стеганографически подписанную копию. Если компания когда-либо скомпрометирует свою базу (внутренняя утечка, атака хакеров), злоумышленники смогут сопоставить метки с реальными разработчиками и проектами.
Более того: недавняя массовая блокировка аккаунтов показала, что Anthropic может в одностороннем порядке заморозить доступ, если заподозрит нарушение правил. А как именно работает «подозрение»? Возможно, стеганографический анализ запросов — один из триггеров. Если ваш код случайно совпал с паттерном, который AI посчитал подозрительным — блокировка без объяснения причин.
Сравните с тем, как ChatGPT тоже запоминает диалоги, но там хотя бы есть обещание не использовать данные для обучения. У Claude Code таких гарантий нет — метки вшиваются постоянно.
Что делать разработчикам?
В теории, можно попытаться обезвредить стеганографию через pre-processing запросов: удалять лишние пробелы, нормализовать whitespace, пропускать код через форматтер (например, Prettier) перед отправкой. Но это сломает контекст — Claude Code использует позиционирование символов для точных исправлений.
Более радикальный вариант — запускать Claude Code в изолированной среде без доступа к чувствительным данным, как советуют правила контроля в production. Но это не решает проблему сбора меток.
Крупные компании, внедрявшие Claude Code в enterprise (как опыт CIAN), начали требовать от Anthropic отключения стеганографии через SLA. Пока безуспешно. На фоне этого разбор недавних утечек показал, что метки фигурируют в логах как индикатор «настоящий пользователь», что делает их потенциальной целью для атак.
Ирония судьбы: Anthropic, чья Конституция Claude провозглашает прозрачность и безопасность, использует скрытые методы сбора данных. Возможно, в будущем регулирование (например, GDPR) заставит компанию раскрыть все стеганографические алгоритмы. Но пока — каждый разработчик сам решает, стоит ли его код того, чтобы стать частью тренировочного датасета с индивидуальной подписью.