Claude Code firmy Anthropic potajemnie zawierał ukryte znaczniki, które oznaczały użytkowników powiązanych ze 147 chińskimi domenami i laboratoriami AI, jak ujawnili w tym tygodniu deweloperzy.
Kluczowe punkty
- Deweloperzy odkryli, że Claude Code kodował szczegóły dotyczące proxy i strefy czasowej w niewidzialnych znacznikach Unicode ukrytych w promptach systemowych
- Mechanizm sprawdzał konfiguracje względem 147 chińskich domen i jedenastu słów kluczowych związanych z laboratoriami AI, zanim zmienił linię z datą w promcie
- Anthropic poinformował, że kod zostanie usunięty w następnej wersji Claude Code po tym, jak deweloperzy i badacze podnieśli alarm
Ukryte znaczniki w promptach
Deweloper, który inżynierią wsteczną analizował Claude Code w wersji 2.1.196 podczas przywracania wyłączonej funkcji zdalnego sterowania, odnalazł zaciemniony kod, cicho obecny od kwietnia.
Odkrycia pojawiły się na Reddicie 30 czerwca pod pseudonimem i zostały potwierdzone w technicznym opracowaniu opublikowanym na GitHubie.
Analitycy zbadali trzy oddzielne wydania Claude Code i stwierdzili, że mechanizm działał identycznie w każdej wersji, bez żadnej wzmianki w informacjach o wydaniu, mimo miesięcy aktualizacji. Aktywuje się tylko wtedy, gdy użytkownik kieruje Claude Code na własny adres serwera zamiast na serwery Anthropic. Po uruchomieniu narzędzie odczytuje strefę czasową systemu i sprawdza, czy odpowiada ona dwóm miastom powiązanym z Chinami kontynentalnymi.
Adres proxy jest następnie porównywany z ukrytą listą domen liczącą 147 pozycji, zaciemnioną tak, by nie pojawiała się w prostym wyszukiwaniu tekstowym, obejmującą m.in. Baidu, Alibabę, Ant Group i ByteDance oraz jedenaście słów kluczowych związanych z chińskimi laboratoriami AI. Wyniki zostają zaszyte w z pozoru zwykłe zdanie „Dzisiejsza data to...”, gdzie myślnik zmienia się na ukośnik dla chińskiej strefy czasowej, a standardowy apostrof zostaje zastąpiony jednym z trzech niemal identycznych znaków.
Zobacz też: BitMine opiera się wyprzedaży, stawiając 43 mln dolarów na Ethereum, strategia na zakręcie
Utrata zaufania wśród deweloperów
Deweloperzy zareagowali alarmem, gdy mechanizm stał się publiczny, argumentując, że narzędzie z dostępem do kodu źródłowego i poleceń powłoki jest winne użytkownikom wyższy standard jawności niż zwykłe okno czatu. Zgłoszenie błędu złożone w repozytorium projektu nazwało tę praktykę ukrytym fingerprintingiem i zapytało, jakie inne sygnały mogą być ukrywane przed użytkownikami. Komentujący zauważyli, że sprawdzanie można łatwo obejść, po prostu zmieniając nazwę hosta lub zegar systemowy.
Oznacza to, że w praktyce mechanizm głównie taguje zwykłych deweloperów korzystających z legalnych korporacyjnych proxy, a nie zaawansowanych operatorów, przeciwko którym miał być skierowany. Anthropic wcześniej oskarżał chińskie laboratoria, w tym DeepSeek, Moonshot AI i MiniMax, o wykorzystanie ponad 24 000 sfałszowanych kont i ponad 16 milionów interakcji do kopiowania zachowań Claude'a w zakresie rozumowania i kodowania na początku tego roku.
Inżynier Anthropic potwierdził istnienie kodu w mediach społecznościowych i zapowiedział, że zostanie on usunięty w wydaniu z następnego dnia, choć firma nie wydała formalnego pisemnego oświadczenia. Incydent dołącza do serii pytań o bezpieczeństwo wokół Claude Code w tym roku.
Badacze z Microsoftu ujawnili w czerwcu podatność na wstrzyknięcie promptu w integracji z GitHubem, Check Point wskazał trzy oddzielne luki w lutym, a sam kod źródłowy Anthropic na krótko wyciekł w kwietniu.
Następny materiał: CZ twierdzi, że Binance był o krok od zatwierdzenia MiCA, zanim w grę weszła polityka





