Anthropic の Claude Code が、147の中国関連ドメインや AI ラボに紐づくユーザーをフラグ付けする隠しマーカーを密かに埋め込んでいたことを、開発者らが今週明らかにした。
重要ポイント
- Claude Code は、プロキシ設定やタイムゾーン情報を不可視の Unicode マーカーとしてシステムプロンプト内に埋め込んでいたと、開発者が発見した
- この仕組みは、147の中国関連ドメインと 11 個の AI ラボ関連キーワードに対して設定を照合し、一致した場合にプロンプト内の日付行を書き換えていた
- 開発者や研究者からの懸念表明を受け、Anthropic は次回リリースの Claude Code からこのコードを削除すると説明した
隠されたプロンプトマーカー
ある開発者が、無効化されていたリモート制御機能を復元するため Claude Code バージョン 2.1.196 をリバースエンジニアリングする過程で、4 月以降ひそかに存在していた難読化コードを発見した。
この発見は 6 月 30 日に Reddit に匿名のスクリーンネームで投稿され、その後 GitHub に掲載された技術的な解析レポートで裏付けが取られた。
アナリストらが 3 つの異なる Claude Code リリースを精査したところ、この仕組みはいずれのバージョンでも同じように動作していたにもかかわらず、複数回のアップデートを通じてリリースノートには一切言及がなかったという。仕組みが有効になるのは、ユーザーが Anthropic の公式サーバーではなく、カスタムサーバーアドレスに Claude Code を向けた場合のみだ。トリガーされると、ツールはシステムのタイムゾーンを読み取り、中国本土に紐づけられた 2 都市と一致するかを確認する。
その後、プロキシアドレスが 147 件からなる隠しドメインリストと照合される。このリストは平文検索で見つかりにくいよう難読化されており、Baidu、Alibaba、Ant Group、ByteDance に加え、中国の AI ラボに関連する 11 個のキーワードが含まれている。照合結果は、一見普通の文である「Today's date is ...」の中に折り込まれ、中国のタイムゾーンであればハイフンがスラッシュに置き換えられ、標準的なアポストロフィも 3 つのほぼ同一な文字のいずれかに差し替えられる。
関連記事: BitMine が 4,300 万ドルの Ethereum ベットで下落相場に逆行、その戦略とは
開発者の信頼失墜
この仕組みの存在が公になったことで、開発者たちは強い懸念を示した。ソースコードやシェルコマンドへアクセスできるツールは、単なるチャットウィンドウ以上の開示責任を負うべきだと主張している。プロジェクトのコードリポジトリには、この手法を「秘密裏のフィンガープリンティング」と呼び、他にもユーザーに隠されたシグナルがないかを問うバグレポートが提出された。コメント欄では、このチェックはホスト名やシステムクロックを変更するだけで容易に回避できると指摘されている。
そのため、実際には高度な運用者ではなく、正規の企業プロキシを利用している一般の開発者ばかりがタグ付けされていた可能性が高い。Anthropic はこれまでにも、中国の DeepSeek、Moonshot AI、MiniMax などのラボが、2 万 4,000 を超える不正アカウントと 1,600 万件以上のやり取りを用いて、Claude の推論やコーディング挙動を模倣していたと非難してきた。
Anthropic のエンジニアはソーシャルメディア上でこのコードの存在を認め、翌日のリリースで削除すると述べたものの、同社は正式な文書による声明は出していない。この一件は、今年に入ってから続く Claude Code を巡る一連のセキュリティ懸念に新たな問題を加える形となった。
Microsoft の研究者は 6 月、GitHub 連携部分におけるプロンプトインジェクションの欠陥を公表し、Check Point は 2 月に 3 件の別個の脆弱性を指摘した。さらに、Anthropic 自身のソースコードも 4 月に一時的に流出している。





