Anthropic, Claude Code'un Gizlice 147 Çin Alan Adıyla İlişkili Kullanıcıları İşaretlemesinin Ortaya Çıkmasının Ardından Tepkiyle Karşı Karşıya

Anthropic, Claude Code'un Gizlice 147 Çin Alan Adıyla İlişkili Kullanıcıları İşaretlemesinin Ortaya Çıkmasının Ardından Tepkiyle Karşı Karşıya

Anthropic'in Claude Code'u, geliştiricilerin bu hafta açıkladığına göre, 147 Çin alan adı ve yapay zeka laboratuvarıyla bağlantılı kullanıcıları işaretlemek için gizlice gizli işaretleyiciler gömdü.

Önemli Noktalar

  • Geliştiricilerin bulgularına göre Claude Code, vekil sunucu ve saat dilimi ayrıntılarını sistem komutlarında gizlenen görünmez Unicode işaretleyicilere kodladı
  • Mekanizma, istemdeki bir tarih satırını değiştirmeden önce yapılandırmaları 147 Çin alan adı ve on bir yapay zeka laboratuvarı anahtar kelimesine karşı kontrol etti
  • Anthropic, geliştiriciler ve araştırmacılar alarm verdikten sonra, kodun Claude Code'un bir sonraki sürümünde kaldırılacağını söyledi

Gizli İstem İşaretleyicileri

Devre dışı bırakılmış bir uzaktan kontrol özelliğini geri yüklerken Claude Code sürüm 2.1.196'yı tersine mühendislik yapan bir geliştirici, Nisan ayından beri sessizce var olan gizlenmiş kod buldu.

Bulgular, 30 Haziran'da Reddit'te bir rumuz altında ortaya çıktı ve GitHub'da yayınlanan teknik bir yazıda doğrulandı.

Analistler, üç ayrı Claude Code sürümünü inceledi ve mekanizmanın her birinde aynı şekilde çalıştığını, aylardır güncelleme yapılmasına rağmen hiçbir sürüm notunda bundan bahsedilmediğini gördü. Yalnızca kullanıcı Claude Code'u Anthropic'in kendi sunucusu yerine özel bir sunucu adresine yönlendirdiğinde etkinleşiyor. Tetiklendiğinde, araç sistemin saat dilimini okuyor ve anakaradaki Çin ile bağlantılı iki şehirden biriyle eşleşip eşleşmediğini kontrol ediyor.

Ardından vekil adresi, düz metin aramasında görünmemesi için gizlenmiş ve Baidu, Alibaba, Ant Group ve ByteDance'in yanı sıra Çin yapay zeka laboratuvarlarıyla bağlantılı on bir anahtar kelimeyi içeren 147 girişlik gizli bir alan adı listesiyle karşılaştırılıyor. Sonuçlar, normal görünen “Bugünün tarihi...” cümlesine katlanıyor; burada, Çin saat dilimi için bir kısa çizgi eğik çizgiye dönüşüyor ve standart bir kesme işareti, neredeyse aynı görünen üç karakterden biriyle değiştiriliyor.

Ayrıca Oku: BitMine Satış Dalgasına Karşı 43 Milyon Dolarlık Ethereum Bahsiyle Direniyor, Strateji Sarsılıyor

Geliştirici Güveni Sarsılıyor

Mekanizma kamuoyuna açıklandığında geliştiriciler kaygıyla tepki verdi; kaynak koda ve kabuk komutlarına erişimi olan bir aracın, yalnızca bir sohbet penceresine göre kullanıcılarına çok daha yüksek bir şeffaflık standardı borçlu olduğunu savundular. Projenin kod deposuna karşı açılan bir hata raporu, bu uygulamayı gizli parmak izi alma olarak nitelendirdi ve kullanıcılardan hangi diğer sinyallerin gizleniyor olabileceğini sordu (https://github.com/anthropics/claude-code/issues/72518). Yorumcular, kontrolün bir ana makine adını veya sistem saatini değiştirerek kolayca atlatılabileceğine dikkat çekti.

Bu da, mekanizmanın esas olarak onu yakalamak için tasarlanan sofistike operatörler yerine, meşru kurumsal vekil sunucular kullanan sıradan geliştiricileri etiketlediği anlamına geliyor. Anthropic, daha önce DeepSeek, Moonshot AI ve MiniMax dahil Çinli laboratuvarları, bu yılın başlarında Claude'un akıl yürütme ve kodlama davranışını kopyalamak için 24.000'den fazla sahte hesap ve 16 milyonun üzerinde etkileşim kullandıklarıyla suçlamıştı.

Bir Anthropic mühendisi, sosyal medyada kodu kabul etti ve ertesi günkü sürümde kaldırılacağını söyledi, ancak şirket resmi bir yazılı açıklama yayımlamamıştı. Bu olay, bu yıl Claude Code etrafında biriken güvenlik sorularına bir yenisini ekliyor.

Microsoft araştırmacıları, Haziran ayında GitHub entegrasyonunda bir komut enjeksiyonu açığını ifşa etti; Check Point ise Şubat ayında üç ayrı güvenlik açığını işaretledi ve Anthropic'in kendi kaynak kodu Nisan ayında kısa süreliğine sızdı.

Sıradaki Haber: CZ, Binance'in Siyaset Devreye Girmeden Önce MiCA Onayına Günler Kaldığını Söyledi

Feragatname ve Risk Uyarısı: Bu makalede sağlanan bilgiler yalnızca eğitici ve bilgilendirici amaçlıdır ve yazarın görüşüne dayanmaktadır. Mali, yatırım, hukuki veya vergi tavsiyesi teşkil etmez. Kripto para varlıkları son derece değişkendir ve yatırımınızın tamamını veya önemli bir kısmını kaybetme riski dahil olmak üzere yüksek riske tabidir. Kripto varlık ticareti veya tutma tüm yatırımcılar için uygun olmayabilir. Bu makalede ifade edilen görüşler yalnızca yazara aittir ve Yellow, kurucuları veya yöneticilerinin resmi politikasını veya pozisyonunu temsil etmez. Her zaman kendi kapsamlı araştırmanızı yapın (D.Y.O.R.) ve herhangi bir yatırım kararı vermeden önce lisanslı bir finansal uzmanla görüşün.