Claude Code v2.1.150 добавляет удаленное внедрение системных подсказок через сеть

Claude Code v2.1.150 вводит механизм, который загружает системные промпты с серверов Anthropic при запуске и каждые 60 секунд через флаг GrowthBook, фактически обеспечивая удаленную инъекцию промптов. Изменение, описанное в журнале изменений как «Внутренние улучшения инфраструктуры (без видимых для пользователя изменений)», добавляет два источника данных, которые внедряют произвольные строки в системный промпт LLM с доступом к оболочке.

Как это работает

• Точка загрузки bootstrap: При запуске Claude Code вызывает api.anthropic.com/api/claude_cli/bootstrap и кэширует ответ на диск.
• Флаг GrowthBook: Флаг tengu_heron_brook обновляется каждые 60 секунд через фоновую синхронизацию. Любая строка, возвращаемая этими точками, внедряется в системный промпт.

В предыдущих версиях точка внедрения существовала, но была мертвым кодом, возвращающим null. В версии v2.1.150 сетевой запрос был активирован в функции n0A, а флаг регистрируется через Rv("heron_brook", () => nAA()). Функция nAA читает кэшированное значение с диска.

Блокировка инъекции

Пользователи, которые патчат свои системные промпты (например, с помощью инструментов типа tweakcc), могут заблокировать удаленную инъекцию с помощью переменных окружения:

export CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1
export DISABLE_GROWTHBOOK=1

Команды для проверки (Linux x64)

npm pack @anthropic-ai/[email protected] --pack-destination /tmp
tar xzf /tmp/anthropic-ai-claude-code-linux-x64-2.1.150.tgz
strings package/claude | grep -oP 'function nAA\(\)\{[^}]+\}'
strings package/claude | grep -oP '.{0,60}heron_brook.{0,60}'

Минимизированные имена функций специфичны для этого бинарного файла.

Кого это затрагивает

Любой, кто использует Claude Code v2.1.150 и полагается на локальное патчение промптов (например, продвинутые пользователи, разработчики, заботящиеся о безопасности) или хочет гарантировать отсутствие нежелательных изменений поведения удаленно.