Nowości
Anthropic ukrywał w Claude Code kod śledzący chińskich użytkowników
Posłuchaj tego artykułu

Spis treści
Anthropic przyznał, że jego narzędzie do programowania Claude Code od kwietnia potajemnie sprawdzało, czy osoba za klawiaturą łączy się z Chin. Kod wykrywający lokalizację był ukryty tak sprytnie, że przez trzy miesiące nikt z zewnątrz go nie zauważył. Gdy sprawa wyszła na jaw, Alibaba nakazała swoim pracownikom całkowite zaprzestanie korzystania z narzędzia.
Sprawa dotyczy Claude Code, flagowego narzędzia Anthropic do agentowego programowania, z którego korzystają zespoły inżynierskie na całym świecie. Badacze bezpieczeństwa odkryli, że oprogramowanie po cichu sprawdzało, czy działa na maszynie zlokalizowanej w Chinach lub połączonej z chińską infrastrukturą sieciową. Informacja o wykryciu trafiała do systemu w sposób niewidoczny dla zwykłego użytkownika.
Jak działał ukryty mechanizm
Technika była steganograficzna, czyli ukrywała dane w pozornie niewinnym elemencie interfejsu. Claude Code subtelnie zmieniał format daty w komunikacie systemowym i zastępował standardowy apostrof w zwrocie 'Today's date is' jednym z trzech wizualnie identycznych, ale technicznie odrębnych znaków Unicode. Fragment odpowiedzialny za wykrywanie był dodatkowo zaszyfrowany operacją XOR z kluczem liczbowym 91, co miało uniemożliwić jego odczytanie podczas zwykłej analizy tekstu kodu.
Sprawdzane były dwa sygnały: strefa czasowa systemu, porównywana z Asia/Shanghai i Asia/Urumqi, oraz adres proxy użytkownika, zestawiany z twardo zakodowaną listą chińskich domen i identyfikatorów laboratoriów AI, wśród których wymieniano Alibabę, Baidu, Ant Group i ByteDance. Innymi słowy, narzędzie miało rozpoznawać, czy ktoś korzysta z Claude Code w imieniu chińskiej firmy technologicznej, nawet jeśli formalnie łączył się spoza Chin przez proxy.
Tłumaczenie Anthropic
Inżynier zespołu Claude Code, Thariq Shihipar, opisał mechanizm jako wewnętrzny eksperyment mający chronić firmę przed nadużyciami. Pull request usuwający kod trafił do repozytorium 1 lipca, a funkcja miała zniknąć całkowicie w kolejnym wydaniu.
To był eksperyment, który uruchomiliśmy w marcu, mający zapobiec nadużyciom kont ze strony nieautoryzowanych sprzedawców i chronić przed destylacją - Thariq Shihipar, inżynier zespołu Claude Code w Anthropic
Zespół zapewnia, że od tego czasu wdrożył 'silniejsze zabezpieczenia' i planował wycofanie mechanizmu jeszcze przed jego ujawnieniem. Nie zmienia to jednak faktu, że narzędzie używane przez firmy na całym świecie przez trzy miesiące zawierało funkcję, o której istnieniu nie informowano ani użytkowników, ani klientów korporacyjnych.
Reakcja Alibaby
Alibaba zakwalifikowała Claude Code jako oprogramowanie wysokiego ryzyka i nakazała pracownikom zaprzestanie korzystania z niego od 10 lipca 2026 roku. Zamiennikiem ma być Qoder, własne narzędzie koncernu do wspomaganego kodowania. Decyzja zbiega się z narastającym od tygodni sporem między Anthropic a Alibabą o domniemaną destylację modeli.
Anthropic twierdzi, że podmioty powiązane z laboratorium Qwen należącym do Alibaby przeprowadziły największy znany atak destylacyjny na Claude. Według firmy, między 22 kwietnia a 5 czerwca niemal 25 tysięcy fałszywych kont wygenerowało 28,8 miliona wymian z modelem, a zebrane odpowiedzi miały posłużyć do trenowania Qwen w kierunku zbliżenia jego możliwości do flagowego modelu Anthropic określanego jako Mythos Preview, wyspecjalizowanego w kodowaniu, wieloetapowym rozumowaniu i zadaniach związanych z cyberbezpieczeństwem.
Co to znaczy dla firm korzystających z Claude
Dla firm i zespołów programistycznych korzystających z Claude Code sprawa oznacza przede wszystkim utratę zaufania do przejrzystości narzędzia. Nawet jeśli deklarowanym celem było utrudnienie kradzieży modelu, ukryte mechanizmy śledzenia lokalizacji w produkcie komercyjnym rodzą pytania o to, jakie inne niejawne funkcje mogą działać w podobnych narzędziach agentowych używanych codziennie przez inżynierów, także w Polsce, gdzie Claude Code zyskuje popularność wśród zespołów deweloperskich.
Spór wpisuje się w szerszy konflikt geopolityczny wokół dostępu chińskich firm do amerykańskich modeli AI. Anthropic od miesięcy zaostrza zasady dotyczące dostępu podmiotów powiązanych z Chinami do swoich usług, a Departament Handlu USA wprowadził dodatkowe ograniczenia eksportowe wobec niektórych modeli firmy, powołując się na obawy o możliwe wykorzystanie wojskowe. Ujawnienie ukrytego mechanizmu śledzącego dodaje tej sprawie nowy, niewygodny dla Anthropic wymiar.
Źródła: The Decoder (the-decoder.com), TechCrunch (techcrunch.com), South China Morning Post (scmp.com)

