Anthropic, Claude Code'un Gizlice 147 Çin Alan Adıyla İlişkilendirilen Kullanıcıları İşaretlemesinin Ortaya Çıkmasının Ardından Tepkiyle Karşı Karşıya

Anthropic, Claude Code'un Gizlice 147 Çin Alan Adıyla İlişkilendirilen Kullanıcıları İşaretlemesinin Ortaya Çıkmasının Ardından Tepkiyle Karşı Karşıya

Anthropic'in Claude Code'u, geliştiricilerin bu hafta açıkladığına göre, 147 Çin alan adı ve yapay zeka laboratuvarıyla bağlantılı kullanıcıları işaretlemek için gizlice saklı işaretleyiciler yerleştirdi.

Öne Çıkan Noktalar

  • Geliştiricilerin bulgularına göre Claude Code, proxy ve zaman dilimi ayrıntılarını sistem istemlerine gizlenen görünmez Unicode işaretlerine kodladı
  • Mekanizma, istemdeki bir tarih satırını değiştirmeden önce yapılandırmaları 147 Çin alan adı ve on bir yapay zeka laboratuvarı anahtar kelimesine karşı denetledi
  • Anthropic, geliştiriciler ve araştırmacıların alarma geçmesinin ardından, kodun Claude Code'un bir sonraki sürümünde kaldırılacağını söyledi

Gizli İstem İşaretleyicileri

Devre dışı bırakılmış bir uzaktan kontrol özelliğini geri yüklerken bir geliştirici, Claude Code 2.1.196 sürümünü tersine mühendislik yaparken, Nisan ayından beri sessizce var olan karartılmış kod buldu.

Bulgular, 30 Haziran'da bir takma adla Reddit üzerinde ortaya çıktı ve GitHub'da yayımlanan teknik bir yazıda doğrulandı.

Analistler, üç ayrı Claude Code sürümünü inceledi ve mekanizmanın her birinde özdeş şekilde çalıştığını, aylar süren güncellemelere rağmen hiçbir sürüm notunda ondan bahsedilmediğini tespit etti. Yalnızca kullanıcı Claude Code'u Anthropic'in kendi adresi yerine özel bir sunucu adresine yönlendirdiğinde etkinleşiyor. Tetiklendiğinde araç, sistemin zaman dilimini okuyor ve bunun anakara Çin ile bağlantılı iki şehirden biriyle eşleşip eşleşmediğini kontrol ediyor.

Ardından proxy adresi, düz metin aramasında görünmemesi için karartılmış, Baidu, Alibaba, Ant Group ve ByteDance'in yanı sıra Çin yapay zeka laboratuvarlarıyla bağlantılı on bir anahtar kelimeyi de içeren 147 girdilik gizli bir alan adı listesiyle karşılaştırılıyor. Sonuçlar, "Bugünün tarihi..." şeklindeki sıradan görünen cümleye gömülüyor; burada, Çin zaman dilimi için kısa çizgi eğik çizgiyle değişiyor ve standart bir apostrof da neredeyse aynı görünen üç karakterden biriyle yer değiştiriyor.

Bunu da Oku: BitMine, 43 Milyon Dolarlık Ethereum Bahsiyle Satış Dalgasına Meydan Okuyor, Strateji Sorgulanıyor

Geliştirici Güveninde Sarsıntı

Mekanizma kamuya açıldığında geliştiriciler alarma geçti; kaynak koda ve kabuk komutlarına erişimi olan bir aracın, sıradan bir sohbet penceresinden çok daha yüksek bir şeffaflık standardı borçlu olduğunu savundular. Projenin kod deposuna karşı açılan bir hata raporu, uygulamayı gizli parmak izi çıkarma olarak nitelendirdi ve kullanıcılardan hangi diğer sinyallerin saklanıyor olabileceğini sordu (rapor). Yorumcular, kontrolün basitçe bir ana bilgisayar adını veya sistem saatini değiştirerek boşa çıkarılabileceğine dikkat çekti.

Bu da mekanizmanın, tasarlandığı sofistike operatörler yerine, çoğunlukla meşru kurumsal proxy'ler kullanan sıradan geliştiricileri etiketlediği anlamına geliyor. Anthropic, bu yılın başlarında DeepSeek, Moonshot AI ve MiniMax dahil Çinli laboratuvarları, Claude'un akıl yürütme ve kodlama davranışını kopyalamak için 24.000'den fazla sahte hesap ve 16 milyonun üzerinde etkileşim kullanmakla suçlamıştı.

Bir Anthropic mühendisi, sosyal medyada kodu kabul etti ve ertesi günkü sürümde kaldırılacağını söyledi, ancak şirket henüz resmi yazılı bir açıklama yayımlamamıştı. Bu olay, bu yıl Claude Code etrafında biriken güvenlik sorularına bir yenisini ekliyor.

Microsoft araştırmacıları, Haziran ayında GitHub entegrasyonunda bir istem enjeksiyonu açığını açıkladı, Check Point Şubat ayında üç ayrı güvenlik açığını işaretledi ve Anthropic'in kendi kaynak kodu Nisan ayında kısa bir süreliğine sızdı.

Sıradaki Haber: CZ, Binance'in Siyaset Devreye Girmeden Günler Önce MiCA Onayına Çok Yaklaştığını Söyledi

Feragatname ve Risk Uyarısı: Bu makalede sağlanan bilgiler yalnızca eğitici ve bilgilendirici amaçlıdır ve yazarın görüşüne dayanmaktadır. Mali, yatırım, hukuki veya vergi tavsiyesi teşkil etmez. Kripto para varlıkları son derece değişkendir ve yatırımınızın tamamını veya önemli bir kısmını kaybetme riski dahil olmak üzere yüksek riske tabidir. Kripto varlık ticareti veya tutma tüm yatırımcılar için uygun olmayabilir. Bu makalede ifade edilen görüşler yalnızca yazara aittir ve Yellow, kurucuları veya yöneticilerinin resmi politikasını veya pozisyonunu temsil etmez. Her zaman kendi kapsamlı araştırmanızı yapın (D.Y.O.R.) ve herhangi bir yatırım kararı vermeden önce lisanslı bir finansal uzmanla görüşün.