Claude Code ของ Anthropic ถูกพบว่าฝังตัวบ่งชี้ที่ซ่อนอยู่เพื่อขึ้นธงผู้ใช้ที่เชื่อมโยงกับ 147 โดเมนในจีนและห้องแล็บ AI ตามที่นักพัฒนาหลายรายเปิดเผยในสัปดาห์นี้
ประเด็นสำคัญ
- นักพัฒนาพบว่า Claude Code เข้ารหัสข้อมูลพร็อกซีและเขตเวลาไว้ในตัวอักขระ Unicode ที่มองไม่เห็นซ่อนอยู่ใน system prompt
- กลไกนี้จะตรวจค่า configuration เทียบกับ 147 โดเมนในจีนและคำสำคัญเกี่ยวกับห้องแล็บ AI อีกสิบเอ็ดคำ ก่อนจะเปลี่ยนบรรทัดวันที่ใน prompt
- Anthropic ระบุว่าจะถอดโค้ดดังกล่าวออกในการออกรุ่นถัดไปของ Claude Code หลังนักพัฒนาและนักวิจัยออกมาเตือน
ตัวบ่งชี้ที่ซ่อนในพรอมป์ต์
นักพัฒนารายหนึ่งที่ทำ reverse engineering Claude Code เวอร์ชัน 2.1.196 ขณะกู้ฟีเจอร์ควบคุมระยะไกลที่ถูกปิดการใช้งานอยู่ พบ โค้ดที่ถูกทำให้สับสนซึ่งแฝงอยู่มาตั้งแต่เดือนเมษายนโดยไร้เสียงเอะอะ
ผลการค้นพบถูกนำไปโพสต์บน Reddit เมื่อวันที่ 30 มิ.ย. ใต้ชื่อผู้ใช้สมมติ และต่อมาได้รับการยืนยัน ในบทวิเคราะห์เชิงเทคนิคที่เผยแพร่บน GitHub
นักวิเคราะห์ตรวจสอบ Claude Code สามรุ่นแยกกันและพบว่ากลไกนี้ทำงานเหมือนกันทุกประการในแต่ละรุ่น โดยไม่มีการกล่าวถึงใน release notes แม้มีการอัปเดตต่อเนื่องหลายเดือน กลไกจะทำงานก็ต่อเมื่อนักชี้ Claude Code ไปยังที่อยู่เซิร์ฟเวอร์แบบกำหนดเองแทนที่จะใช้ของ Anthropic เอง เมื่อถูกกระตุ้น เครื่องมือจะอ่านเขตเวลาของระบบแล้วตรวจว่าตรงกับสองเมืองที่เชื่อมโยงกับจีนแผ่นดินใหญ่หรือไม่
จากนั้นจึงนำที่อยู่พร็อกซีไปเทียบกับรายการโดเมนลับ 147 รายการ ซึ่งถูกทำให้อ่านไม่ออกเพื่อไม่ให้โผล่ในค้นหาข้อความธรรมดา และรวมถึง Baidu, Alibaba, Ant Group และ ByteDance ตลอดจนคำสำคัญอีกสิบเอ็ดคำที่เชื่อมโยงกับห้องแล็บ AI ในจีน ผลลัพธ์จะถูกพับรวมเข้าไปในประโยคที่ดูธรรมดาอย่าง “Today's date is...” โดยขีดกลางจะเปลี่ยนเป็นเครื่องหมายทับเมื่ออยู่ในเขตเวลาในจีน และอัปอสทรอฟีแบบมาตรฐานจะถูกสลับเป็นหนึ่งในสามอักขระที่คล้ายกันมาก
อ่านเพิ่มเติม: BitMine ฝ่าวัฏจักรเทขายด้วยเดิมพัน Ethereum มูลค่า 43 ล้านดอลลาร์ กลยุทธ์พลิกเกม
วิกฤตความเชื่อใจของนักพัฒนา
เมื่อตัวกลไกนี้ถูกเปิดเผย นักพัฒนาจำนวนมากต่างแสดงความตื่นตระหนก โดยมองว่าเครื่องมือที่เข้าถึงซอร์สโค้ดและคำสั่งเชลล์ได้ ควรมีมาตรฐานการเปิดเผยที่สูงกว่าหน้าต่างแชตทั่วไป มีรายงานบั๊กที่ถูกยื่น ในที่เก็บซอร์สโค้ดของโปรเจกต์ ระบุว่าการกระทำดังกล่าวเป็นการพิมพ์ลายนิ้วมือแบบลับ ๆ และตั้งคำถามว่ายังมีสัญญาณอื่นใดที่ถูกซ่อนไว้จากผู้ใช้อีกบ้าง ผู้แสดงความเห็นชี้ว่าการตรวจนี้สามารถถูกหลบเลี่ยงได้ง่าย ๆ เพียงเปลี่ยน hostname หรือเวลาในระบบ
นั่นทำให้มันมักจะไปตั้งธงนักพัฒนาทั่วไปที่ใช้พร็อกซีองค์กรที่ถูกต้องตามกฎหมาย มากกว่าผู้โจมตีชั้นสูงที่กลไกนี้ถูกออกแบบมาเพื่อจับตาเสียอีก Anthropic ก่อนหน้านี้เคยกล่าวหาห้องแล็บจีนอย่าง DeepSeek, Moonshot AI และ MiniMax ว่าใช้บัญชีปลอมมากกว่า 24,000 บัญชี และทำธุรกรรมกว่า 16 ล้านครั้งเพื่อคัดลอกรูปแบบการให้เหตุผลและการเขียนโค้ดของ Claude เมื่อต้นปีนี้
วิศวกรของ Anthropic รายหนึ่งได้ยอมรับ การมีอยู่ของโค้ดดังกล่าวบนโซเชียลมีเดีย และระบุว่าจะถอดออกในรุ่นที่ออกในวันถัดไป แม้ทางบริษัทเองยังไม่ได้ออกแถลงการณ์เป็นลายลักษณ์อักษร เหตุการณ์นี้ยิ่งเพิ่มคำถามด้านความปลอดภัยที่รุมเร้า Claude Code ตลอดปีนี้
นักวิจัยที่ Microsoft เคยเปิดเผยช่องโหว่ prompt injection ในการเชื่อมต่อกับ GitHub เมื่อเดือนมิถุนายน ขณะที่ Check Point ก็ชี้ช่องโหว่สามจุดที่แตกต่างกันในเดือนกุมภาพันธ์ อีกทั้งซอร์สโค้ดของ Anthropic เองยังเคยรั่วไหล ชั่วคราวในเดือนเมษายน
อ่านต่อถัดไป: CZ เผย Binance เกือบได้อนุมัติ MiCA ก่อนโดนการเมืองขวาง





