Claude Code-இல் இருந்த ரகசியக் கண்காணிப்பு அம்சத்தை Anthropic திரும்பப் பெறுகிறது
சீனப் பயனர்களைக் கண்டறிவதற்காகத் தனது Claude Code கருவியில் மறைமுகக் கண்காணிப்பு முறையை வைத்திருந்தது கண்டறியப்பட்டதைத் தொடர்ந்து, Anthropic கடும் விமர்சனங்களைச் சந்தித்து வருகிறது. இந்தத் தகவல் வெளிச்சத்திற்கு வந்ததையடுத்து, பயனர் தனியுரிமை, தரவுத் திருட்டு (data exfiltration) அபாயங்கள் மற்றும் மாடல் பாதுகாப்பின் நெறிமுறை எல்லைகள் குறித்த பெரும் விவாதம் எழுந்துள்ளது.
ரகசியக் கண்டறிதலின் நுட்பங்கள்
ஏப்ரல் 2, 2026 அன்று வெளியிடப்பட்ட Claude Code பதிப்பு 2.1.91-இல், சீனாவில் உள்ள பயனர்களைக் கண்டறிய ஆவணப்படுத்தப்படாத குறியீடுகள் (undocumented code) இருந்ததை LegitMichel777 என்ற Reddit பயனர் வெளிப்படுத்தியபோது இந்த சர்ச்சை வெடித்தது. வழக்கமான டெலிமெட்ரி (telemetry) முறையைப் போலல்லாமல், இந்த அம்சம் சிஸ்டம் பிராம்ப்ட்டில் (system prompt) "கண்ணுக்குத் தெரியாத" மாற்றங்கள் மூலம் தரவை அனுப்ப ஒரு மேம்பட்ட ஸ்டெகனோகிராபி (steganography) முறையைப் பயன்படுத்தியது.
இந்த மென்பொருள், சிஸ்டம் டைம்சோனை (timezone) "Asia/Shanghai" அல்லது "Asia/Urumqi" உடன் ஒப்பிட்டுப் பார்ப்பதற்கும், புராக்ஸி (proxy) URL-களில் சீன டொமைன்கள் அல்லது சீன AI ஆய்வகங்களுடனான இணைப்புகளை ஸ்கேன் செய்வதற்கும் வடிவமைக்கப்பட்டிருந்தது. ஒரு பொருத்தம் கண்டறியப்பட்டதும், அந்தத் கருவி தேதியைக் குறிப்பிடும் வடிவத்தை மாற்றுவதன் மூலமோ அல்லது "Today's date is" என்ற தொடரில் உள்ள சாதாரண அப்போஸ்ட்ரோபியை (apostrophe) வேறொரு எழுத்தால் மாற்றுவதன் மூலமோ வெளியீட்டை நுணுக்கமாக மாற்றியமைக்கும். இவை மனிதக் கண்களுக்குத் தெரியாவிட்டாலும், இந்த நுணுக்கமான மாற்றங்கள் மூலம் பயனரின் இருப்பிடத்தை Anthropic உடனடியாகக் கண்டறிய முடிந்தது. இந்தச் செயல்பாட்டை மேலும் மறைப்பதற்காக, குறியீடு 91 என்ற சாவியைப் பயன்படுத்தி XOR என்க்ரிப்ஷன் (encryption) மூலம் மறைக்கப்பட்டிருந்தது (obfuscated), இதனால் சாதாரண உரைத் தரவுகளில் (text dumps) இது தெரியாமல் தடுக்கப்பட்டது.
பாதுகாப்பு அபாயங்கள் மற்றும் தனியுரிமை மீறல்கள்
இந்தக் கண்டுபிடிப்பு டெவலப்பர்கள் மத்தியில் பெரும் அச்சத்தை ஏற்படுத்தியுள்ளது. Claude Code முழுமையான ஃபைல் சிஸ்டம் (filesystem) மற்றும் ஷெல் (shell) அணுகலுடன் செயல்படுவதால், எந்தவொரு ரகசியத் தகவல் தொடர்பு சேனலும் ரிமோட் கண்ட்ரோல் அல்லது அங்கீகரிக்கப்படாத தரவுத் திருட்டு போன்ற கடுமையான முறைகேடுகளுக்குப் பயன்படுத்தப்படலாம் என்று விமர்சகர்கள் வாதிடுகின்றனர்.
தொழில்நுட்பப் பாதுகாப்புத் தாக்கங்களைத் தாண்டி, இந்தத் கண்டுபிடிப்பு பயனர் நம்பிக்கைக்கு எதிரான அடிப்படை மீறலாகக் கருதப்படுகிறது. அதிகாரப்பூர்வ வெளியீட்டு குறிப்புகளில் (release notes) எந்தக் குறிப்பும் இன்றி இந்த அம்சம் செயல்படுத்தப்பட்டிருந்தது, பிராந்தியக் கட்டுப்பாடுகளைத் தவிர்க்கத் தங்கள் புராக்ஸி தரவுகளும் சிஸ்டம் அமைப்புகளும் பகுப்பாய்வு செய்யப்படுகின்றன என்பதை டெவலப்பர்கள் அறியாதவாறு வைத்துவிட்டது.
Anthropic-இன் விளக்கம்: மாடல் டிஸ்டிலேஷனில் (Model Distillation) இருந்து பாதுகாப்பு
இந்தத் தாக்குதல்களுக்குப் பதிலளிக்கும் விதமாக, Anthropic ஊழியர் Thariq Shihipar, இந்த அம்சம் மார்ச் மாதம் தொடங்கப்பட்ட ஒரு "சோதனை" (experiment) என்று விளக்கினார். அங்கீகரிக்கப்படாத மறுவிற்பனையாளர்களால் கணக்குகள் தவறாகப் பயன்படுத்தப்படுவதைத் தடுப்பதும், "டிஸ்டிலேஷன்" (distillation) எனப்படும் போட்டியாளர்கள் மாடல் வெளியீடுகளைப் பயன்படுத்தித் தங்கள் சொந்த LLM-களைப் பயிற்றுவிக்கும் முறையிலிருந்து பாதுகாப்பதும் இதன் முதன்மை நோக்கமாகும்.
Anthropic நிறுவனத்திற்கு சீன AI நிறுவனங்களுடன் ஏற்கனவே மோதல்கள் உள்ளன; முன்னதாக DeepSeek, Moonshot AI, MiniMax மற்றும் Alibaba போன்ற நிறுவனங்கள் Claude-இன் வெளியீடுகளை அனுமதியின்றிப் பயன்படுத்துவதாகக் குற்றம் சாட்டியிருந்தது. தேசியப் பாதுகாப்பு காரணங்களால் Anthropic தனது மாடல்களை அதிகாரப்பூர்வமாக சீனாவில் வழங்காததால், வெளிநாட்டு கிரெடிட் கார்டுகள் மற்றும் தொலைபேசி எண்கள் மூலம் சேவையைப் பயன்படுத்தும் பயனர்களைக் கண்டறிவது, தனது அறிவுசார் சொத்துக்களைப் பாதுகாப்பதற்கான ஒரு வழியாகக் கருதப்பட்டது. இருப்பினும், எழுந்த எதிர்ப்பைத் தொடர்ந்து, இந்த அம்சத்தை முழுமையாகத் திரும்பப் பெறுவதற்காக ஒரு pull request-ஐ இணைத்துள்ளதாக Anthropic உறுதிப்படுத்தியுள்ளது.
முக்கியக் குறிப்புகள்
- ஸ்டெகனோகிராஃபிக் கண்டறிதல்: சீனாவிலிருந்து இணைக்கும் பயனர்களை ரகசியமாகக் கண்டறிய Claude Code, சிஸ்டம் பிராம்ப்ட்டுகளில் நுணுக்கமான எழுத்து மாற்றங்களையும் XOR என்க்ரிப்ஷனையும் பயன்படுத்தியது.
- பாதுகாப்பு கவலைகள்: முழுமையான ஃபைல் சிஸ்டம் அணுகல் கொண்ட ஒரு கருவியில் ரகசியக் சோதனைகளைச் செய்யும் திறன், தரவுத் திருட்டு மற்றும் பயனர் தனியுரிமை குறித்த பெரும் அச்சத்தை ஏற்படுத்துகிறது.
- மாடல் பாதுகாப்பு vs தனியுரிமை: சீன AI ஆய்வகங்களால் மாடல் டிஸ்டிலேஷன் செய்யப்படுவதைத் தடுப்பதற்கான ஒரு சோதனை என்று Anthropic இந்த நடவடிக்கையைத் தற்காத்துக் கொண்டது, ஆனால் தற்போது அதை முழுமையாகத் திரும்பப் பெற ஒப்புக்கொண்டுள்ளது.
