Хуже, чем Microsoft Recall: Claude Code тайно копирует все ваши файлы на серверы Anthropic
Утилита для разработчиков Claude Code от Anthropic собирает куда больше данных о пользователях, чем следует из пользовательского соглашения — такой вывод сделал исследователь в области безопасности, изучив недавно утёкший исходный код приложения. Масштаб доступа агента к устройствам пользователей оказался неожиданно широким даже для тех, кто внимательно читает лицензионные условия.
Утечка исходного кода клиентской части Claude Code, детали которой уже несколько месяцев циркулировали среди специалистов по реверс-инжинирингу, спровоцировала в том числе судебный скандал. В рамках иска Anthropic против Министерства обороны США (Anthropic PBC v. U.S. Department of War et al) — поданного после того, как ведомство запретило сервисы компании, отказавшейся ослабить защитные механизмы модели, — правительство заявило о «существенном риске того, что Anthropic может попытаться отключить свои технологии или тайно изменить поведение модели в ходе боевых операций». Anthropic в ответном заявлении отвергла обвинения, подчеркнув, что после развёртывания в засекреченных средах компания не имеет доступа к работающей системе и не может управлять ею.
Исследователь под псевдонимом «Antlers», которого привлекло издание The Register, провёл детальный анализ кода и пришёл к выводу, что «люди не осознают: каждый файл, который просматривает Claude, сохраняется и загружается на серверы Anthropic. Если агент открыл файл на вашем устройстве, копия файла есть у Anthropic».
Среди наиболее примечательных находок — фоновый процесс KAIROS, работающий без ведома пользователя в режиме «невидимого ассистента»: подавляет интерфейс, отключает режим планирования и автоматически переводит долгие задачи в фоновый режим без каких-либо уведомлений. Функция autoDream — пока официально не выпущенная, хотя публично обсуждавшаяся — запускает фонового субагента, который прочёсывает все локальные журналы сессий и извлекает из них данные в файл MEMORY.md. Содержимое файла затем автоматически включается в системные подсказки и уходит на серверы Anthropic через API.
Функция CHICAGO — кодовое название модуля компьютерного управления — по согласию пользователя позволяет агенту кликать мышью, вводить текст с клавиатуры, получать доступ к буферу обмена и делать скриншоты. Доступна подписчикам Pro и Max, а также сотрудникам Anthropic.
Телеметрия при каждом запуске отправляет на серверы компании идентификатор пользователя, идентификатор сессии, версию приложения, платформу, тип терминала, адрес электронной почты и перечень активных функций. Изначально сбор данных вёлся через Statsig, однако после того, как сервис приобрёл конкурирующий OpenAI, Anthropic переключилась на платформу GrowthBook. При работе со сторонними провайдерами — AWS Bedrock, Vertex, Foundry — телеметрия отключается автоматически. Удалённое управление настройками позволяет Anthropic раз в час без участия пользователя доставлять на устройство новые политики, переменные среды и флаги функций с немедленным применением через горячую перезагрузку. Рядовые изменения при этом проходят без уведомлений.
Система отчётности об ошибках через Sentry фиксировала рабочий каталог, пути к файлам, идентификаторы пользователей и данные сессий при каждом необработанном исключении. Anthropic, однако, заявила, что в настоящее время Sentry не используется: «Когда мы применяли Sentry в прошлом, мы не отправляли чувствительные данные — пути к файлам или персональные данные. Сервис автоматически отключался при работе со сторонними провайдерами».
Масштаб локального сбора данных сопоставим со скандально известной функцией Microsoft Recall: Claude Code сохраняет в plaintext-файлах формата JSONL каждый вызов инструментов чтения, Bash-команды, результаты поиска и все правки файлов — старые и новые версии.
В коде также обнаружена нереализованная функция Team Memory Sync — двунаправленная синхронизация локальных файлов памяти с серверами Anthropic через api.anthropic.com для обмена данными между участниками одной организации. Встроенный сканер секретов проверяет данные по около 40 шаблонам токенов и API-ключей крупных облачных провайдеров, однако чувствительные данные, не соответствующие известным шаблонам, могут утечь к другим членам команды через синхронизацию памяти.
Экспериментальный Skill Search, пока доступный лишь сотрудникам Anthropic, позволяет загружать и исполнять определения навыков с удалённого сервера — что теоретически открывает возможность для удалённого выполнения произвольного кода, если функция будет активирована для сторонних аккаунтов через флаги GrowthBook.
Отдельного внимания заслуживает файл undercover.ts с инструкциями для работы с публичными репозиториями: «Вы работаете ПОД ПРИКРЫТИЕМ в ПУБЛИЧНОМ/ОТКРЫТОМ репозитории. Ваши коммиты, заголовки PR и их описания НЕ ДОЛЖНЫ содержать НИКАКОЙ внутренней информации Anthropic. Не раскрывайте своё прикрытие». Судя по всему, таким образом компания скрывает авторство ИИ в проектах с открытым кодом, которые запрещают использование сгенерированного контента.
Для пользователей Free, Pro и Max Anthropic хранит собранные данные пять лет при согласии на обучение модели или 30 дней без него. Корпоративные клиенты могут воспользоваться опцией нулевого хранения данных. Дополнительные детали об обнаруженных возможностях опубликованы на ccleaks.com.
Отдельной загадкой остаётся «Melon Mode» — функция за флагом для сотрудников Anthropic, присутствовавшая в предыдущих реверс-инженерных версиях кода, но исчезнувшая из текущего исходника. «Antlers» предположил, что речь может идти о кодовом названии безголового агентного режима. В Anthropic лишь сообщили, что регулярно тестируют прототипы, далеко не все из которых доходят до производственных версий.