Claude Code, da Anthropic incorporou secretamente marcadores ocultos para sinalizar usuários ligados a 147 domínios chineses e laboratórios de IA, revelaram desenvolvedores nesta semana.
Pontos principais
- Desenvolvedores descobriram que o Claude Code codificava detalhes de proxy e fuso horário em marcadores Unicode invisíveis escondidos em prompts de sistema
- O mecanismo verificava configurações contra 147 domínios chineses e onze palavras-chave de laboratórios de IA antes de alterar uma linha de data no prompt
- A Anthropic disse que o código será removido na próxima versão do Claude Code após o alerta de desenvolvedores e pesquisadores
Marcadores ocultos no prompt
Um desenvolvedor, ao fazer engenharia reversa do Claude Code versão 2.1.196 enquanto restaurava um recurso desativado de controle remoto, encontrou código ofuscado silenciosamente presente desde abril.
As descobertas surgiram no Reddit em 30 de junho sob um nome de usuário anônimo e foram confirmadas em uma análise técnica publicada no GitHub.
Analistas examinaram três versões diferentes do Claude Code e descobriram que o mecanismo funcionava de forma idêntica em todas elas, sem qualquer menção nas notas de versão, apesar de meses de atualizações. Ele só é ativado quando o usuário aponta o Claude Code para um endereço de servidor personalizado em vez dos da própria Anthropic. Uma vez acionado, a ferramenta lê o fuso horário do sistema e verifica se ele corresponde a duas cidades ligadas à China continental.
Em seguida, o endereço de proxy é comparado a uma lista oculta de 147 domínios, ofuscada para não aparecer em buscas em texto simples e incluindo Baidu, Alibaba, Ant Group e ByteDance, além de onze palavras-chave associadas a laboratórios de IA chineses. Os resultados são incorporados à frase aparentemente comum “Today's date is...”, em que um hífen é trocado por uma barra para fuso horário chinês, e um apóstrofo padrão é substituído por um de três caracteres quase idênticos.
Leia também: BitMine desafia a queda com aposta de US$ 43 milhões em Ethereum, estratégia vacila
Abalo na confiança dos desenvolvedores
Desenvolvedores reagiram com alarme quando o mecanismo se tornou público, argumentando que uma ferramenta com acesso a código-fonte e comandos de shell deve aos usuários um padrão de transparência mais alto do que uma janela de chat. Um relatório de bug registrado no repositório do projeto chamou a prática de impressão digital encoberta e questionou quais outros sinais poderiam estar ocultos dos usuários. Comentários observaram que a verificação poderia ser facilmente burlada apenas mudando o hostname ou o relógio do sistema.
Isso significa que, na prática, o mecanismo rotula principalmente desenvolvedores comuns usando proxies corporativos legítimos, em vez dos operadores sofisticados que ele supostamente buscava identificar. A Anthropic já havia acusado laboratórios chineses, incluindo DeepSeek, Moonshot AI e MiniMax, de usar mais de 24.000 contas fraudulentas e mais de 16 milhões de interações para copiar o raciocínio e o comportamento de código do Claude no início deste ano.
Um engenheiro da Anthropic reconheceu o código nas redes sociais e afirmou que ele seria removido na versão do dia seguinte, embora a empresa não tenha emitido um comunicado formal por escrito. O episódio se soma a uma série de questionamentos de segurança em torno do Claude Code neste ano.
Pesquisadores da Microsoft divulgaram em junho uma falha de injeção de prompt em sua integração com o GitHub, a Check Point apontou três vulnerabilidades distintas em fevereiro, e o próprio código-fonte da Anthropic vazou brevemente em abril.
Leia a seguir: CZ diz que Binance estava a dias de obter aprovação do MiCA antes de interferência política





