Claude Code của Anthropic đã bí mật nhúng các đánh dấu ẩn để gắn cờ người dùng liên quan đến 147 tên miền và phòng thí nghiệm AI tại Trung Quốc, theo tiết lộ của các nhà phát triển trong tuần này.
Các điểm chính
- Các nhà phát triển phát hiện Claude Code mã hóa chi tiết proxy và múi giờ vào các ký tự Unicode vô hình, ẩn trong các system prompt
- Cơ chế này kiểm tra cấu hình với 147 tên miền Trung Quốc và mười một từ khóa phòng thí nghiệm AI trước khi thay đổi một dòng ngày tháng trong prompt
- Anthropic cho biết đoạn mã sẽ bị gỡ trong bản phát hành tiếp theo của Claude Code sau khi các nhà phát triển và nhà nghiên cứu lên tiếng cảnh báo
Các đánh dấu ẩn trong prompt
Một lập trình viên khi đảo ngược mã Claude Code phiên bản 2.1.196 trong lúc khôi phục một tính năng điều khiển từ xa đã bị vô hiệu hóa đã phát hiện ra đoạn mã bị làm rối, âm thầm tồn tại từ tháng 4.
Các phát hiện này xuất hiện trên Reddit ngày 30/6 dưới một tài khoản ẩn danh và được xác nhận trong một bài phân tích kỹ thuật đăng trên GitHub.
Các nhà phân tích đã xem xét ba bản phát hành Claude Code riêng biệt và phát hiện cơ chế này hoạt động giống hệt nhau trong từng bản, mà không hề được nhắc đến trong bất kỳ ghi chú phát hành nào dù đã qua nhiều tháng cập nhật. Nó chỉ kích hoạt khi người dùng trỏ Claude Code tới một địa chỉ máy chủ tùy chỉnh thay vì hạ tầng của Anthropic. Khi được kích hoạt, công cụ sẽ đọc múi giờ của hệ thống và kiểm tra xem nó có khớp với hai thành phố gắn với Trung Quốc đại lục hay không.
Sau đó, địa chỉ proxy được so sánh với một danh sách tên miền ẩn gồm 147 mục, được làm rối để không xuất hiện trong các tìm kiếm văn bản thuần, bao gồm Baidu, Alibaba, Ant Group và ByteDance, cùng mười một từ khóa liên quan tới các phòng thí nghiệm AI Trung Quốc. Kết quả được nhúng vào câu trông có vẻ bình thường là “Today's date is...”, trong đó dấu gạch ngang chuyển thành dấu gạch chéo đối với múi giờ Trung Quốc và dấu nháy đơn tiêu chuẩn được thay thế bằng một trong ba ký tự gần như giống hệt nhau.
Đọc thêm: BitMine chống lại đợt bán tháo với cú cược Ethereum 43 triệu USD, chiến lược chao đảo
Khủng hoảng niềm tin của nhà phát triển
Các nhà phát triển đã phản ứng đầy lo ngại khi cơ chế này được công khai, lập luận rằng một công cụ có quyền truy cập mã nguồn và lệnh shell phải có chuẩn mực minh bạch cao hơn nhiều so với một cửa sổ chat. Một báo cáo lỗi được gửi lên kho mã của dự án gọi đây là hành vi lấy dấu bí mật và đặt câu hỏi liệu còn tín hiệu nào khác đang bị che giấu khỏi người dùng. Người bình luận nhận xét rằng việc kiểm tra này có thể bị vô hiệu hóa đơn giản bằng cách đổi hostname hoặc đồng hồ hệ thống.
Điều đó có nghĩa cơ chế chủ yếu gắn nhãn những lập trình viên thông thường sử dụng proxy doanh nghiệp hợp pháp, thay vì các tác nhân tinh vi mà nó được thiết kế để phát hiện. Anthropic trước đó đã cáo buộc các phòng thí nghiệm Trung Quốc như DeepSeek, Moonshot AI và MiniMax sử dụng hơn 24.000 tài khoản gian lận và hơn 16 triệu tương tác để sao chép cách lập luận và hành vi viết mã của Claude hồi đầu năm nay.
Một kỹ sư Anthropic đã thừa nhận đoạn mã này trên mạng xã hội và cho biết nó sẽ được gỡ trong bản phát hành ngày hôm sau, dù công ty chưa đưa ra tuyên bố chính thức bằng văn bản. Sự việc này nối dài chuỗi câu hỏi về bảo mật quanh Claude Code trong năm nay.
Các nhà nghiên cứu tại Microsoft đã công bố một lỗ hổng prompt injection trong tích hợp GitHub của công cụ vào tháng 6, Check Point phát hiện ba lỗ hổng riêng biệt vào tháng 2, và chính mã nguồn của Anthropic cũng từng bị rò rỉ trong thời gian ngắn vào tháng 4.
Đọc tiếp: CZ nói Binance chỉ còn vài ngày nữa là được phê duyệt MiCA trước khi yếu tố chính trị can thiệp





