Anthropic's Claude Code heeft in het geheim verborgen markeringen ingebouwd om gebruikers te taggen die gelinkt zijn aan 147 Chinese domeinen en AI‑labs, zo maakten ontwikkelaars deze week bekend.
Belangrijkste punten
- Claude Code codeerde proxy‑ en tijdzone‑details in onzichtbare Unicode‑markeringen, verborgen in systeemprompts, ontdekten ontwikkelaars
- Het mechanisme controleerde configuraties tegen 147 Chinese domeinen en elf AI‑lab‑trefwoorden voordat het een regel met een datum in de prompt aanpaste
- Anthropic zei dat de code wordt verwijderd in de volgende release van Claude Code, nadat ontwikkelaars en onderzoekers alarm sloegen
Verborgen prompt‑markeringen
Een ontwikkelaar die Claude Code versie 2.1.196 reverse‑engineerde terwijl hij een uitgeschakelde functie voor afstandsbediening herstelde, vond geobfusceerde code die stilletjes sinds april aanwezig was.
De bevindingen doken op Reddit op 30 juni op onder een schermnaam en werden bevestigd in een technische uiteenzetting die op GitHub werd geplaatst.
Analisten onderzochten drie afzonderlijke releases van Claude Code en ontdekten dat het mechanisme in elke versie identiek werkte, zonder dat er in de releasenotes ook maar iets over werd vermeld, ondanks maanden aan updates. Het wordt alleen geactiveerd wanneer een gebruiker Claude Code naar een aangepast serveradres wijst in plaats van naar dat van Anthropic zelf. Zodra het wordt getriggerd, leest de tool de tijdzone van het systeem en controleert of die overeenkomt met twee steden die verbonden zijn met het vasteland van China.
Het proxy‑adres wordt vervolgens vergeleken met een verborgen domeinlijst van 147 items, geobfusceerd om te voorkomen dat die in een platte‑tekst‑zoekopdracht verschijnt, en met daarin onder meer Baidu, Alibaba, Ant Group en ByteDance, plus elf trefwoorden die gekoppeld zijn aan Chinese AI‑labs. Resultaten worden verwerkt in de ogenschijnlijk gewone zin „Today's date is...”, waarbij een koppelteken wordt vervangen door een schuine streep voor een Chinese tijdzone en een standaard apostrof wordt omgewisseld voor een van drie bijna identieke tekens.
Ook lezen: BitMine trotseert de uitverkoop met een Ethereum‑gok van $43M, strategie knippert
Vertrouwensbreuk bij ontwikkelaars
Ontwikkelaars reageerden geschrokken toen het mechanisme openbaar werd, en stelden dat een tool met toegang tot broncode en shell‑commando’s gebruikers een hogere standaard van transparantie verschuldigd is dan een chatvenster. Een bugrapport dat werd ingediend in de code‑repository van het project noemde de praktijk heimelijke fingerprinting en vroeg welke andere signalen mogelijk voor gebruikers verborgen blijven. Reageerders merkten op dat de controle eenvoudig kon worden omzeild door een hostnaam of systeemtijd aan te passen.
Dat betekent dat vooral gewone ontwikkelaars die legitieme bedrijfsproxies gebruiken worden getagd, in plaats van de geavanceerde actoren waarvoor het mechanisme bedoeld was. Anthropic heeft eerder Chinese labs, waaronder DeepSeek, Moonshot AI en MiniMax, beschuldigd van het gebruik van meer dan 24.000 frauduleuze accounts en meer dan 16 miljoen interacties om het redeneer‑ en codeergedrag van Claude dit jaar te kopiëren.
Een Anthropic‑engineer erkende de code op sociale media en zei dat die in de release van de volgende dag zou worden verwijderd, hoewel het bedrijf nog geen formele schriftelijke verklaring had afgelegd. De episode voegt zich bij een reeks beveiligingsvragen rond Claude Code dit jaar.
Onderzoekers bij Microsoft maakten bekend dat er in juni een prompt‑injectie‑kwetsbaarheid zat in de GitHub‑integratie; Check Point signaleerde in februari drie afzonderlijke kwetsbaarheden, en de broncode van Anthropic zelf is in april kortstondig uitgelekt.
Lees ook: CZ zegt dat Binance dagen verwijderd was van MiCA‑goedkeuring voordat politiek ingreep





