Robocikowo>ROBOCIKOWO
Sztuczna Inteligencja

Claude Code ukrywał znacznik wykrywający użytkowników z Chin

Claude Code ukrywał znacznik wykrywający użytkowników z Chin

Anthropic potwierdziło i wycofuje ukryty mechanizm w Claude Code, który za pomocą steganografii w system prompcie oznaczał zapytania kierowane przez chińskie serwery proxy i strefy czasowe. Sprawę ujawnił 30 czerwca 2026 badacz bezpieczeństwa występujący jako Thereallo, a Alibaba w reakcji wpisała narzędzie na listę oprogramowania wysokiego ryzyka.

Najważniejsze w skrócie

  • Mechanizm działał tylko przy własnym ANTHROPIC_BASE_URL — oficjalny endpoint api.anthropic.com go nie uruchamiał
  • Znacznik kodowano jako niewidoczne warianty apostrofu i zmianę separatora daty w zdaniu „Today's date is"
  • Wyzwalacze: strefa czasowa Asia/Shanghai lub Asia/Urumqi oraz hostname z listy chińskich domen i słów-kluczy laboratoriów AI
  • Inżynier Anthropic Thariq Shihipar nazwał to „eksperymentem" z marca, wymierzonym w nieautoryzowanych resellerów i distillation
  • Alibaba od 10 lipca 2026 zakazuje pracownikom Claude Code, klasyfikując go jako oprogramowanie wysokiego ryzyka

Co dokładnie znaleziono

Badacz przeanalizował lokalną instalację Claude Code (wersja 2.1.196) i natrafił na funkcję, która modyfikuje ciąg z datą wstrzykiwany do system promptu. Zamiast zwykłego „Today's date is 2026-06-30." narzędzie potrafiło po cichu zmienić dwie rzeczy — znak apostrofu oraz separator daty z myślnika na ukośnik. Dla człowieka i dla modelu zdanie wygląda identycznie. W surowym zapytaniu powstaje jednak marker, który backend Anthropic odczytuje natychmiast.

To technika zwana steganografią promptu, czyli ukrywanie danych na widoku. Cztery warianty apostrofu (zwykły, U+2019, U+02BC, U+02B9) kodują cztery stany: brak dopasowania, znana domena, słowo-klucz laboratorium oraz jedno i drugie naraz. Zmiana separatora na ukośnik sygnalizowała chińską strefę czasową. Listy domen i słów-kluczy schowano jako base64 i odkodowywano operacją XOR z kluczem 91, więc nie pojawiały się w prostym podglądzie tekstu. Wśród słów-kluczy znalazły się m.in. deepseek, moonshot, minimax, zhipu i baichuan.

Wariant apostrofuZakodowany stan
Zwykły apostrofBrak dopasowania
U+2019Znana chińska domena
U+02BCSłowo-klucz laboratorium AI
U+02B9Domena i słowo-klucz jednocześnie

Kiedy mechanizm w ogóle się włączał

To najważniejsze rozróżnienie między faktem a interpretacją. Kod nie uruchamiał się dla większości użytkowników. Jeśli zmienna ANTHROPIC_BASE_URL była pusta albo wskazywała na oficjalne api.anthropic.com, funkcja kończyła działanie od razu. Aktywowała się dopiero, gdy ktoś kierował Claude Code przez własny adres bazowy — wewnętrzną bramkę, lokalne proxy, router modeli albo domenę resellera. Innymi słowy, narzędzie nie „skanowało" masowo chińskich obywateli, lecz klasyfikowało zapytania przechodzące przez nietypowe endpointy. Sam odkrywca podkreślił, że to „nie jest złośliwa funkcja", ale „dziwny wybór dla narzędzia programistycznego, które prosi o zaufanie".

Wyjaśnienie Anthropic

Inżynier zespołu Claude Code, Thariq Shihipar, potwierdził na platformie X, że znacznik dodano w marcu jako eksperyment mający „zapobiegać nadużyciom kont przez nieautoryzowanych resellerów i chronić przed distillation". Według niego zespół wdrożył już silniejsze zabezpieczenia i od pewnego czasu planował usunięcie starego kodu. Odpowiedni pull request został scalony, a pełne wycofanie miało trafić do kolejnego wydania.

Tło jest konkretne. Anthropic nie oferuje swoich modeli w Chinach, a regulamin zakazuje dostępu firmom z Chin i innych „państw adwersarzy". Jak podaje „Washington Post", nieautoryzowani sprzedawcy oferują dostęp do darmowych modeli za dolara miesięcznie (ok. 4 zł), a subskrypcje pro warte 100 dolarów miesięcznie (ok. 400 zł) sprzedają nawet za 12 dolarów (ok. 48 zł). W czerwcu Anthropic oskarżyło Alibabę o „największy znany atak distillation" na Claude'a.

Jak to robią inni

Blokowanie dostępu regionalnego samo w sobie nie jest niczym wyjątkowym. OpenAI również ogranicza dostęp z Chin i wspólnie z Anthropic naciska, by traktować distillation jak kradzież własności intelektualnej. Różnica leży w metodzie. Zwykłe podejście to jawna telemetria, jasny zapis w regulaminie albo wpis w release notes. Tu zaś sygnał ukryto w interpunkcji system promptu i zaszyfrowano listę domen. Kontrast jest tym ostrzejszy, że sama Anthropic budowała wizerunek firmy stawiającej prywatność ponad naciski — wcześniej odmówiła administracji USA użycia Claude'a do inwigilacji amerykańskich użytkowników i pozwała Biały Dom po tym sporze.

Reakcja Alibaby

Reakcja rynku była szybka. Jak potwierdziło CNBC, Alibaba od 10 lipca 2026 zakazuje pracownikom używania narzędzi Anthropic do pracy i wpisała Claude Code na listę oprogramowania wysokiego ryzyka. Pracownicy mają odinstalować produkty Anthropic i korzystać z własnego asystenta Qoder. Według „South China Morning Post" w wewnętrznym memo napisano, że narzędzie „niesie ryzyko backdoora". Firma, która mogłaby zostać uznana za naruszającą regulamin Anthropic, ponosi realne ryzyko prawne i compliance — inaczej niż pojedynczy deweloper obchodzący blokady tanim VPN-em.

Dlaczego to ważne?

Sprawa obnaża napięcie, które będzie tylko rosło. Narzędzia agentowe mają dostęp do systemu plików, powłoki i repozytoriów, więc każdy ukryty kanał w takim kliencie podważa fundament zaufania. Problemem nie jest samo egzekwowanie regulaminu — firmy mają prawo wykrywać nadużycia. Problemem jest metoda. Gdy dostawca chowa klasyfikację użytkownika w niewidocznej interpunkcji i szyfruje listę celów, każda inna deklaracja o prywatności staje się trudniejsza do zweryfikowania. Dla Anthropic to szczególnie kosztowne, bo firma zbudowała markę na sprzeciwie wobec inwigilacji. Incydent pokazuje też, jak geopolityka AI wchodzi do warstwy kodu: rywalizacja o przewagę technologiczną nad Chinami przekłada się na konkretne mechanizmy fingerprintingu wewnątrz zwykłego narzędzia deweloperskiego. W świecie, w którym lojalność użytkownika zależy od chłodnej kalkulacji kosztu i możliwości modelu, utrata zaufania może być droższa niż jakikolwiek atak distillation, przed którym znacznik miał chronić.

Co dalej?

  • Pełne wycofanie znacznika zapowiedziano w kolejnym wydaniu Claude Code — inżynier Anthropic potwierdził scalenie pull requesta cofającego mechanizm
  • Zakaz Alibaby wchodzi w życie 10 lipca 2026, a pracownicy przechodzą na wewnętrznego asystenta Qoder
  • Anthropic wraz z OpenAI lobbuje w Senacie USA za uznaniem distillation za kradzież własności intelektualnej — ewentualne przepisy eksportowe określą przyszłe granice dostępu

Źródła

Udostępnij ten artykuł