Anthropic wycofuje ukrytą funkcję inwigilacji w Claude Code
Anthropic mierzy się z intensywną krytyką po odkryciu ukrytego mechanizmu inwigilacji w swoim narzędziu Claude Code, zaprojektowanego do identyfikowania chińskich użytkowników. Ujawnienie to wywołało masową debatę na temat prywatności użytkowników, ryzyka wycieku danych oraz etycznych granic ochrony modeli.
Mechanika ukrytego wykrywania
Kontrowersja wybuchła, gdy użytkownik Reddita, LegitMichel777, ujawnił, że wersja 2.1.91 Claude Code — wydana 2 kwietnia 2026 r. — zawierała nieudokumentowany kod służący do oznaczania użytkowników w Chinach. W przeciwieństwie do standardowej telemetrii, funkcja ta wykorzystywała wyrafinowaną formę steganografii do przesyłania danych poprzez „ledwo zauważalne” zmiany w systemowym prompcie.
Oprogramowanie zostało zaprojektowane tak, aby porównywać strefę czasową systemu z „Asia/Shanghai” lub „Asia/Urumqi” oraz skanować adresy URL serwerów proxy pod kątem chińskich domen lub połączeń z chińskimi laboratoriami AI. Po znalezieniu dopasowania narzędzie subtelnie zmieniało wynik, modyfikując format daty lub podmieniając standardowy apostrof na inny znak w frazie „Today's date is”. Choć niewidoczne dla ludzkiego oka, te mikro-korekty pozwalały Anthropic na natychmiastową identyfikację pochodzenia użytkownika. Aby jeszcze bardziej ukryć tę aktywność, kod miał być zaciemniany przy użyciu szyfrowania XOR z kluczem 91, co zapobiegało jego pojawieniu się w standardowych zrzutach tekstu.
Ryzyka bezpieczeństwa i naruszenia prywatności
Odkrycie to wzbudziło ogromny niepokój w społeczności programistów. Ponieważ Claude Code działa z pełnym dostępem do systemu plików i powłoki (shell), krytycy argumentują, że każdy ukryty kanał komunikacji mógłby zostać potencjalnie wykorzystany do poważniejszych form nadużyć, w tym do zdalnego sterowania lub nieautoryzowanego wycieku danych.
Poza technicznymi implikacjami dotyczącymi bezpieczeństwa, odkrycie jest postrzegane jako fundamentalne naruszenie zaufania użytkowników. Funkcja została wdrożona bez żadnej wzmianki w oficjalnych notkach wydawniczych, przez co programiści nie wiedzieli, że ich dane proxy i ustawienia systemowe są analizowane w celu obejścia ograniczeń regionalnych.
Obrona Anthropic: Ochrona przed destylacją modeli
W odpowiedzi na falę krytyki, pracownik Anthropic, Thariq Shihipar, wyjaśnił, że funkcja ta była „eksperymentem” uruchomionym w marcu. Głównym celem była zapobieganie nadużyciom kont przez nieautoryzowanych odsprzedawców oraz ochrona przed „destylacją” (distillation) — procesem, w którym konkurenci wykorzystują wyniki działania modelu do trenowania własnych modeli LLM.
Anthropic ma za sobą historię napięć z chińskimi firmami AI, oskarżając wcześniej takie spółki jak DeepSeek, Moonshot AI, MiniMax i Alibaba o wykorzystywanie wyników Claude bez pozwolenia. Ponieważ Anthropic oficjalnie nie oferuje swoich modeli w Chinach ze względów bezpieczeństwa narodowego, identyfikacja użytkowników uzyskujących dostęp do usługi za pomocą zagranicznych kart kredytowych i numerów telefonów była postrzegana jako sposób na zabezpieczenie własnościowej inteligencji. Jednak po fali protestów Anthropic potwierdziło, że zatwierdziło pull request, który całkowicie wycofuje tę funkcję.
Kluczowe wnioski
- Wykrywanie steganograficzne: Claude Code wykorzystywał subtelne zamiany znaków w systemowych promptach oraz szyfrowanie XOR, aby potajemnie identyfikować użytkowników łączących się z Chin.
- Obawy dotyczące bezpieczeństwa: Możliwość przeprowadzania ukrytych kontroli w narzędziu z pełnym dostępem do systemu plików budzi poważne obawy dotyczące wycieku danych i prywatności użytkowników.
- Ochrona modeli a prywatność: Anthropic broniło tego działania jako eksperymentu mającego zapobiec destylacji modeli przez chińskie laboratoria AI, ale od tego czasu zobowiązało się do całkowitego wycofania funkcji.
