Claude Code firmy Anthropic potajemnie osadzał ukryte znaczniki, by oznaczać użytkowników powiązanych ze 147 chińskimi domenami i laboratoriami AI, ujawnili w tym tygodniu deweloperzy.
Kluczowe punkty
- Deweloperzy odkryli, że Claude Code kodował szczegóły dotyczące proxy i strefy czasowej w niewidocznych znacznikach Unicode ukrytych w promptach systemowych
- Mechanizm sprawdzał konfiguracje względem 147 chińskich domen i jedenastu słów kluczowych powiązanych z laboratoriami AI, zanim zmieniał linię z datą w promcie
- Anthropic zapowiedział usunięcie tego kodu w następnej wersji Claude Code po tym, jak deweloperzy i badacze podnieśli alarm
Ukryte znaczniki w promptach
Deweloper, który inżynierią wsteczną analizował Claude Code w wersji 2.1.196 podczas przywracania wyłączonej funkcji zdalnego sterowania, odnalazł zaciemniony kod obecny po cichu od kwietnia.
Odkrycia pojawiły się na Reddicie 30 czerwca pod pseudonimem i zostały potwierdzone w technicznym opracowaniu opublikowanym na GitHubie.
Analitycy zbadali trzy oddzielne wydania Claude Code i stwierdzili, że mechanizm działał identycznie w każdym z nich, bez jakiejkolwiek wzmianki w informacjach o wydaniu, mimo wielu aktualizacji. Aktywuje się tylko wtedy, gdy użytkownik kieruje Claude Code na własny adres serwera zamiast na serwery Anthropica. Po uruchomieniu narzędzie odczytuje strefę czasową systemu i sprawdza, czy odpowiada ona dwóm miastom powiązanym z kontynentalnymi Chinami.
Następnie adres proxy jest porównywany z ukrytą listą domen zawierającą 147 pozycji, zaciemnioną tak, by nie pojawiała się w prostym wyszukiwaniu tekstowym, i obejmującą m.in. Baidu, Alibaba, Ant Group i ByteDance, a także jedenaście słów kluczowych związanych z chińskimi laboratoriami AI. Wyniki są wkomponowywane w zwyczajnie wyglądające zdanie „Dzisiejsza data to...”, w którym myślnik zamieniany jest na ukośnik dla chińskiej strefy czasowej, a standardowy apostrof jest podmieniany na jeden z trzech niemal identycznych znaków.
Zobacz też: BitMine opiera się wyprzedaży, stawiając 43 mln dol. na Ethereum, strategia się chwieje
Utrata zaufania wśród deweloperów
Deweloperzy zareagowali z niepokojem, gdy mechanizm stał się publiczny, argumentując, że narzędzie z dostępem do kodu źródłowego i poleceń powłoki jest winne użytkownikom wyższy standard przejrzystości niż zwykłe okno czatu. Zgłoszenie błędu złożone w repozytorium projektu nazwało tę praktykę ukrytym fingerprintingiem i zapytało, jakie inne sygnały mogą być przed użytkownikami ukryte. Komentujący zauważyli, że sprawdzanie można obejść, po prostu zmieniając nazwę hosta lub zegar systemowy.
Oznacza to, że w większości przypadków tagowani są zwykli deweloperzy korzystający z legalnych korporacyjnych serwerów proxy, a nie zaawansowani operatorzy, na których narzędzie miało pierwotnie polować. Anthropic wcześniej oskarżał chińskie laboratoria, w tym DeepSeek, Moonshot AI i MiniMax, o wykorzystanie ponad 24 000 fałszywych kont i ponad 16 milionów interakcji do kopiowania sposobu rozumowania i stylu kodowania Claude’a na początku tego roku.
Inżynier Anthropica potwierdził istnienie tego kodu w mediach społecznościowych i zapowiedział, że zostanie on usunięty w wydaniu zaplanowanym na następny dzień, choć firma nie wydała formalnego oświadczenia na piśmie. Incydent dołącza do serii pytań o bezpieczeństwo Claude Code w tym roku.
Badacze z Microsoftu ujawnili w czerwcu lukę typu prompt injection w integracji z GitHubem, Check Point wskazał trzy oddzielne luki w lutym, a własny kod źródłowy Anthropica na krótko wyciekł w kwietniu.
Następny artykuł: CZ twierdzi, że Binance było o krok od zatwierdzenia MiCA, zanim do gry weszła polityka





