Anthropic の Claude Code が、147 の中国ドメインおよび AI ラボに関連するユーザーをフラグ付けする隠しマーカーをひそかに埋め込んでいたことを、開発者たちが今週明らかにした。
主なポイント
- 開発者によると、Claude Code はプロキシとタイムゾーンの情報を、システムプロンプト内に隠された不可視の Unicode マーカーへとエンコードしていた
- この仕組みは、プロンプト内の日付行を改変する前に、設定を 147 の中国ドメインと 11 個の AI ラボ関連キーワードと照合していた
- 開発者と研究者から懸念が上がったことを受け、Anthropic は次回リリースで当該コードを削除すると説明した
隠されたプロンプトマーカー
ある開発者が、無効化されていたリモートコントロール機能を復元するために Claude Code バージョン 2.1.196 をリバースエンジニアリングしていた際、4 月以降ひそかに存在していた難読化コードを発見した。
この発見は 6 月 30 日に Reddit 上で匿名アカウントから共有され、その後 GitHub に投稿された技術的なレポートで裏付けが取られた。
アナリストが 3 つの別々の Claude Code リリースを検証したところ、この仕組みはいずれのバージョンでも同じように動作しており、数か月にわたるアップデートにもかかわらず、リリースノートには一切記載されていなかったことが判明した。機構が起動するのは、ユーザーが Anthropic 自身のサーバーではなくカスタムのサーバーアドレスに Claude Code を向けた場合に限られる。トリガーされると、このツールはシステムのタイムゾーンを読み取り、それが中国本土に関連する 2 都市のいずれかと一致するかを確認する。
その後、プロキシアドレスは、プレーンテキスト検索に引っかからないよう難読化された 147 件の隠しドメインリストと照合される。このリストには Baidu、Alibaba、Ant Group、ByteDance に加え、中国の AI ラボに関連した 11 個のキーワードが含まれている。判定結果は、見た目には普通の「Today's date is...(今日は何年何月何日です……)」という文に折り込まれ、中国のタイムゾーンの場合はハイフンがスラッシュに変わり、標準のアポストロフィがほとんど同じに見える 3 種類の別文字のいずれかに置き換えられる。
関連記事: BitMine が 4,300 万ドルのイーサリアム投資で下落相場に逆行、その戦略とは
開発者コミュニティの信頼失墜
この仕組みが公になったことで開発者たちは強い警戒感を示し、ソースコードやシェルコマンドへアクセスできるツールは、単なるチャットウィンドウ以上の高い説明責任を負うべきだと主張した。プロジェクトのコードリポジトリにはバグ報告が提出され、この手法を「秘密裏のフィンガープリンティング」だとして、ユーザーに知らされていない他のシグナルが存在しないかを問いただしている。コメント欄では、このチェックはホスト名やシステムクロックを変えるだけで簡単に回避できると指摘された。
つまり、この仕組みがタグ付けしているのは、当初想定されていた高度な攻撃者ではなく、正当な企業プロキシを利用している一般的な開発者がほとんどだということになる。Anthropic はこれまでにも、中国の DeepSeek、Moonshot AI、MiniMax などのラボが、2 万 4,000 件以上の不正アカウントと 1,600 万件超のやり取りを通じて、Claude の推論およびコーディング挙動をコピーしていたと非難してきた。
Anthropic のエンジニアはソーシャルメディア上でこのコードの存在を認め、翌日のリリースで削除すると述べたが、同社は正式な文書による声明はまだ出していなかった。この一件は、今年に入ってから続いている Claude Code 周辺のセキュリティ上の疑問をさらに増やす形となった。
Microsoft の研究者は 6 月、GitHub 連携部分におけるプロンプトインジェクションの脆弱性を公開し、Check Point は 2 月に 3 つの別々の脆弱性を指摘したほか、Anthropic 自身のソースコードが 4 月に一時的に流出する事態も起きている。





