Anthropic의 Claude Code는 숨겨진 표식을 몰래 심어 147개 중국 도메인과 AI 연구소에 연결된 사용자를 표시해 왔다고, 개발자들이 이번 주 공개했다.
핵심 내용
- 개발자들에 따르면 클로드 코드는 프록시와 타임존 정보를 시스템 프롬프트 속 보이지 않는 유니코드 마커에 암호화해 숨겨 두었다
- 이 메커니즘은 프롬프트 안의 날짜 줄을 바꾸기 전에 설정값을 147개의 중국 도메인과 11개 AI 연구소 키워드 목록과 대조했다
- 개발자와 연구자들이 문제를 제기하자, 앤트로픽은 다음 버전에서 해당 코드를 제거하겠다고 밝혔다
숨겨진 프롬프트 마커
한 개발자가 비활성화된 원격 제어 기능을 복구하며 Claude Code 2.1.196 버전을 리버스 엔지니어링하는 과정에서, 지난 4월부터 조용히 포함돼 있던 난독화 코드를 발견했다.
이 발견 내용은 6월 30일 Reddit에 한 필명으로 올라왔고, 이어 GitHub에 게시된 기술 분석 글에서 확인되었다.
분석가들은 서로 다른 세 개의 클로드 코드 버전을 검토했고, 수개월간 업데이트가 이어졌음에도 어떤 릴리스 노트에도 언급되지 않은 채 이 메커니즘이 모든 버전에서 동일하게 작동한다는 사실을 확인했다. 이 기능은 사용자가 앤트로픽 서버 대신 커스텀 서버 주소를 사용하도록 클로드 코드를 설정했을 때만 활성화된다. 트리거되면 도구는 먼저 시스템의 타임존을 읽고, 그것이 중국 본토와 연관된 두 도시 중 하나와 일치하는지 확인한다.
그런 다음 프록시 주소를 147개 항목으로 구성된 숨겨진 도메인 목록과 대조한다. 이 목록은 일반 텍스트 검색에 걸리지 않도록 난독화되어 있으며 바이두, 알리바바, 앤트 그룹, 바이트댄스와 더불어 중국 AI 연구소와 연관된 11개 키워드를 포함한다. 그 결과는 겉보기에는 평범한 문장인 "Today's date is..."에 녹아들어 가는데, 중국 타임존일 때는 하이픈이 슬래시로 바뀌고, 표준 아포스트로피가 서로 거의 구분되지 않는 세 가지 문자 중 하나로 교체된다.
또 읽어보기: BitMine, 매도장 속에서도 4,300만 달러 규모 이더리움 베팅으로 정면 돌파
개발자 신뢰의 후폭풍
메커니즘이 공개되자 개발자들은 강한 우려를 표시했다. 소스 코드와 셸 명령에 접근할 수 있는 도구라면 단순 채팅 창보다 훨씬 높은 수준의 공개 기준을 지켜야 한다는 주장이다. 프로젝트 코드 저장소에 접수된 버그 리포트는 이 관행을 은밀한 지문 채취라고 지적하며 이 밖에 어떤 신호들이 사용자에게 숨겨져 있는지 따져 물었다. 댓글 작성자들은 호스트명이나 시스템 시계만 바꿔도 검사를 피할 수 있다고 언급했다.
이는 곧 이 기능이 실제로는 고급 공격자가 아니라 합법적인 기업 프록시를 쓰는 평범한 개발자들을 주로 태깅한다는 의미이다. Anthropic은 올해 초 DeepSeek, Moonshot AI, MiniMax를 포함한 중국 연구소들이 2만 4천 개가 넘는 사기 계정과 1,600만 건 이상의 상호작용을 동원해 클로드의 추론·코딩 방식을 복제했다고 비판한 바 있다.
한 앤트로픽 엔지니어는 소셜 미디어에서 이 코드를 인정하고 다음날 배포될 릴리스에서 제거할 것이라고 밝혔지만, 회사 차원의 공식 서면 입장은 아직 나오지 않았다. 이번 사건은 올해 들어 클로드 코드를 둘러싼 일련의 보안 논란에 또 하나를 보태는 형국이다.
Microsoft 연구진은 6월에 깃허브 통합 기능에서 개발자 워크플로우 내 AI 사용의 위험성을 보여주는 프롬프트 인젝션 취약점을 공개했다. Check Point는 2월에 세 가지 별도의 취약점을 지적했고, 앤트로픽 자체 소스 코드도 4월에 잠시 유출된 바 있다.





