Claude Code di Anthropic ha segretamente incorporato marcatori nascosti per contrassegnare gli utenti collegati a 147 domini cinesi e laboratori di IA, hanno rivelato questa settimana alcuni sviluppatori.
Punti chiave
- Gli sviluppatori hanno scoperto che Claude Code codificava dettagli di proxy e fuso orario in marcatori Unicode invisibili nascosti nei prompt di sistema
- Il meccanismo confrontava le configurazioni con 147 domini cinesi e undici parole chiave di laboratori di IA prima di modificare una riga di data nel prompt
- Anthropic ha dichiarato che il codice verrà rimosso nella prossima release di Claude Code dopo che sviluppatori e ricercatori hanno lanciato l’allarme
Marker nascosti nei prompt
Uno sviluppatore che stava effettuando il reverse engineering di Claude Code versione 2.1.196 mentre ripristinava una funzione di controllo remoto disabilitata ha trovato codice offuscato silenziosamente presente da aprile.
I risultati sono emersi su Reddit il 30 giugno sotto uno pseudonimo e sono stati confermati in un’analisi tecnica pubblicata su GitHub.
Gli analisti hanno esaminato tre diverse release di Claude Code e hanno scoperto che il meccanismo funzionava in modo identico in ciascuna, senza alcun riferimento nelle note di rilascio nonostante mesi di aggiornamenti. Si attiva solo quando un utente punta Claude Code a un indirizzo server personalizzato invece che a quello di Anthropic. Una volta attivato, lo strumento legge il fuso orario del sistema e verifica se corrisponde a due città collegate alla Cina continentale.
L’indirizzo del proxy viene quindi confrontato con un elenco nascosto di 147 domini, offuscato per evitare che compaia in una ricerca in testo semplice e comprendente Baidu, Alibaba, Ant Group e ByteDance, oltre a undici parole chiave legate a laboratori di IA cinesi. I risultati vengono inseriti nella frase dall’aspetto ordinario «La data di oggi è...», in cui un trattino passa a una barra per un fuso orario cinese e un apostrofo standard viene sostituito con uno di tre caratteri quasi identici.
Leggi anche: BitMine sfida la svendita con una scommessa da 43 milioni di dollari su Ethereum, la strategia tentenna
Crollo della fiducia degli sviluppatori
Gli sviluppatori hanno reagito con allarme quando il meccanismo è diventato pubblico, sostenendo che uno strumento con accesso al codice sorgente e ai comandi della shell deve agli utenti uno standard di trasparenza più elevato rispetto a una semplice finestra di chat. Un bug report presentato nel repository del progetto ha definito la pratica un fingerprinting nascosto e ha chiesto quali altri segnali potessero essere occultati agli utenti. I commentatori hanno osservato che il controllo poteva essere aggirato semplicemente cambiando il nome host o l’orologio di sistema.
Ciò significa che per lo più etichetta comuni sviluppatori che utilizzano proxy aziendali legittimi, piuttosto che gli operatori sofisticati per cui era stato progettato. Anthropic in passato ha accusato laboratori cinesi tra cui DeepSeek, Moonshot AI e MiniMax di aver utilizzato più di 24.000 account fraudolenti e oltre 16 milioni di scambi per copiare il ragionamento e il comportamento di codifica di Claude all’inizio di quest’anno.
Un ingegnere di Anthropic ha riconosciuto il codice sui social media e ha dichiarato che sarebbe stato rimosso nella release del giorno successivo, sebbene l’azienda non avesse ancora pubblicato una dichiarazione scritta ufficiale. L’episodio si aggiunge a una serie di interrogativi sulla sicurezza di Claude Code emersi quest’anno.
I ricercatori di Microsoft hanno rivelato a giugno una vulnerabilità di prompt injection nella sua integrazione con GitHub, Check Point ha segnalato tre diverse vulnerabilità a febbraio e il codice sorgente di Anthropic è brevemente trapelato ad aprile.
Da leggere dopo: CZ afferma che Binance era a pochi giorni dall’approvazione MiCA prima dell’intervento della politica





