Anthropic trekt verborgen surveillance-functie in Claude Code in

Anthropic krijgt te maken met hevige kritiek na de ontdekking van een verborgen surveillance-mechanisme binnen de Claude Code-tool, dat ontworpen was om Chinese gebruikers te identificeren. De onthulling heeft een enorm debat ontketend over gebruikersprivacy, risico's op data-exfiltratie en de ethische grenzen van modelbescherming.

De werking van de stealth-detectie

De controverse ontstond toen een Reddit-gebruiker, LegitMichel777, onthulde dat Claude Code versie 2.1.91 — uitgebracht op 2 april 2026 — ongedocumenteerde code bevatte om gebruikers in China te markeren. In tegenstelling tot standaard telemetrie maakte deze functie gebruik van een geavanceerde vorm van steganografie om gegevens over te dragen via "nauwelijks waarneembare" wijzigingen in de system prompt.

De software was ontworpen om de systeem-tijdzone te vergelijken met "Asia/Shanghai" of "Asia/Urumqi" en proxy-URL's te scannen op Chinese domeinen of verbindingen met Chinese AI-labs. Zodra er een match werd gevonden, zou de tool de output subtiel aanpassen door het datumformaat te wijzigen of een standaard apostrof te vervangen door een ander teken in de zin "Today's date is." Hoewel onzichtbaar voor het menselijk oog, stelden deze micro-aanpassingen Anthropic in staat om de herkomst van de gebruiker onmiddellijk te identificeren. Om deze activiteit verder te verbergen, zou de code zijn geobfusceerd met XOR-encryptie met een sleutel van 91, waardoor het niet in standaard tekstdumps zou verschijnen.

Beveiligingsrisico's en privacyinbreuken

De ontdekking heeft voor grote bezorgdheid gezorgd binnen de developer-community. Omdat Claude Code werkt met volledige toegang tot het bestandssysteem en de shell, stellen critici dat elk verborgen communicatiekanaal potentieel misbruikt kan worden voor ernstigere vormen van misbruik, waaronder afstandsbediening of ongeautoriseerde data-exfiltratie.

Naast de technische beveiligingsimplicaties wordt de ontdekking gezien als een fundamentele schending van het vertrouwen van de gebruiker. De functie werd geïmplementeerd zonder enige vermelding in de officiële release notes, waardoor ontwikkelaars er niet van op de hoogte waren dat hun proxy-gegevens en systeeminstellingen werden geanalyseerd om regionale beperkingen te omzeilen.

De verdediging van Anthropic: Bescherming tegen modeldistillatie

Als reactie op de ophef verduidelijkte Anthropic-medewerker Thariq Shihipar dat de functie een "experiment" was dat in maart werd gelanceerd. Het hoofddoel was om misbruik van accounts door ongeautoriseerde wederverkopers te voorkomen en om bescherming te bieden tegen "distillatie" — het proces waarbij concurrenten modeloutputs gebruiken om hun eigen LLM's te trainen.

Anthropic heeft een geschiedenis van spanningen met Chinese AI-bedrijven en heeft eerder bedrijven als DeepSeek, Moonshot AI, MiniMax en Alibaba beschuldigd van het gebruik van de outputs van Claude zonder toestemming. Omdat Anthropic zijn modellen vanwege nationale veiligheidsredenen niet officieel aanbiedt in China, werd het identificeren van gebruikers die de dienst via buitenlandse creditcards en telefoonnummers gebruiken gezien als een manier om intellectueel eigendom te beschermen. Na de verontwaardiging bevestigde Anthropic echter dat ze een pull request hebben samengevoegd om de functie volledig terug te draaien.

Belangrijkste punten

  • Steganografische detectie: Claude Code gebruikte subtiele karakterwisselingen in system prompts en XOR-encryptie om stiekem gebruikers te identificeren die vanuit China verbinding maken.
  • Beveiligingszorgen: Het vermogen om verborgen controles uit te voeren in een tool met volledige toegang tot het bestandssysteem roept grote zorgen op over data-exfiltratie en gebruikersprivacy.
  • Modelbescherming versus privacy: Anthropic verdedigde de stap als een experiment om modeldistillatie door Chinese AI-labs te voorkomen, maar heeft sindsdien toegezegd de functie volledig terug te draaien.