Claude Codeに隠しトラッカー|何が起きたか整理

by Synth
Claude Codeに隠しトラッカー|何が起きたか整理

Claude Codeに、中国関連ユーザーを密かに判別する「隠しコード」が仕込まれていたと研究者が指摘。プロンプトステガノグラフィという手口、Anthropicの「不正対策の実験だった」という釈明、そして削除までの経緯を、監視反対を掲げる同社の立場と照らして整理します。あなたは追跡対象だったのか?

普段使っている開発ツールが、あなたに気づかれない形で「どこの誰か」を判別していたとしたら——気持ちのいい話ではないですよね。2026年7月、まさにそれがClaude Codeで起きていたと研究者が指摘し、議論を呼びました。

しかも指摘された相手は、日頃から「AIによる監視に反対」を公に掲げてきたAnthropicです。今日は、何が見つかり、なぜ仕込まれ、どう決着したのかを、冷静に整理します。過度に怖がらせるためではなく、開発ツールを信頼する前提を点検するためです。

まず結論

  • 研究者がClaude Codeに、中国関連ユーザーを密かに判別する隠しコードを発見。「プロンプトステガノグラフィ」という手口だった(Slashdot
  • 判別はタイムゾーン(Asia/Shanghai等)と、ANTHROPIC_BASE_URLに設定された147の中国系エンティティ(Baidu・Alibaba・ByteDance等)の照合で動作(MLQ News
  • Anthropicのエンジニアは「不正リセラーと蒸留を防ぐための実験だった」と釈明
  • 追加は2026年3月、削除は7月1日リリースで反映
  • コード自体は悪意ある動作ではなかったが、「利用者に開示せず密かに」実行していた点が信頼問題として批判された

情報時点は2026年7月7日。技術的詳細は研究者の解析と各報道に基づきます。


何が見つかったのか?

結論から言うと、特定条件のユーザーだけを密かに判別し、その結果をこっそり符号化する仕組みでした。

ある開発者がClaude Codeのプライバシー挙動を調べていて、隠された検出ロジックに気づきました。仕組みはこうです。まずANTHROPIC_BASE_URLという環境変数(AIへのリクエスト送信先を変えるためのもの)にプロキシが設定されているかを見る。次にシステムのタイムゾーンを「Asia/Shanghai」「Asia/Urumqi」と照合する。さらにプロキシのホスト名を、Baidu・Alibaba・ByteDance・Ant Groupなど147の中国系エンティティのリストと突き合わせる——という多段チェックです(MLQ News)。

これらの文字列リストは、XOR暗号(鍵91)とbase64で難読化され、ソースコードを開いても一見して分からないようになっていました。「平文で堂々と、しかし読めない形で」隠されていた、というわけです。

プロンプトステガノグラフィって、何が怖いの?

ステガノグラフィとは「情報を、情報と気づかれない形に隠す」技術です。今回それがAIへの指示文(システムプロンプト)に対して使われました。

条件に合致すると、Claude Codeはシステムプロンプトの「Today’s date is…(今日の日付は…)」という一文を、こっそり書き換えていたと報告されています。具体的には、日付の区切りを「2026-06-30」から「2026/06/30」に変えるアポストロフィを見た目そっくりの別のUnicode文字に置き換える——といった、人間の目ではまず気づけない改変です。この微妙な違いによって「どの判別フラグが立ったか」をAI側に伝えていた、とされています。

なぜこれが問題かというと、送信されている事実にも、送信されている内容にも、ユーザーが気づけないからです。悪意あるコードではなかったとしても、「知らないうちに自分の環境の特徴が符号化されて送られる」という状態は、透明性の観点で健全とは言えません。

⚠️ ここは気をつけて ポイントは「情報が盗まれた」かどうかより、「開示なく密かに動いていた」ことです。ツールが何を送っているかを利用者が確認できない状態は、たとえ目的が正当でも信頼を損ないます。

なぜAnthropicはこんなことをしたのか?

背景には、Anthropicが深刻に受け止めている「蒸留(distillation)」問題があります。

蒸留とは、他社の高性能モデルの出力を大量に集め、それを使って自社の安価なモデルを訓練する手口です。Anthropicは、Alibaba系のエンティティが2026年6月に約2万5,000の不正アカウントを使い、約2,900万回のやり取りを通じて蒸留キャンペーンを行ったと主張しています(MLQ News)。

Claude Codeチームのエンジニア、Thariq Shihipar氏はX上で、この判別コードについて「不正リセラーによるアカウント悪用を防ぎ、蒸留から保護するために、3月に立ち上げた実験だった」と説明しました。つまり動機は競合スパイではなく、不正利用の検知にあったという釈明です。

とはいえ、動機が正当でも手段が密かであれば批判は免れません。Anthropicは監視技術への反対を公に掲げてきた企業です。その企業が、開示なく利用者を判別する仕組みを自社ツールに埋めていた——この矛盾こそが、今回最も注目された点でした。同社は該当コードを削除しましたが、他に未開示の機能がないかの広範な監査や、利用規約の更新については明言していません。

あなたは追跡されていた?

多くの日本の読者にとって、答えは「おそらく対象外」です。判別条件は中国系タイムゾーンや中国系プロキシに紐づいていました。日本のタイムゾーンでプロキシを使わず普通に使っていれば、フラグは立たなかったとみられます。

ですが、話はそれで終わりません。今回の一件は、**「信頼している開発ツールにも、開示されない挙動があり得る」**という現実を突きつけました。AIコーディングツールは、あなたのコード、環境変数、プロジェクト構造など、多くの情報に触れます。だからこそ「何を、どこに、どんな条件で送っているか」を利用者が確認できることが、信頼の前提になります。

実際、この問題の前後で、Alibabaはセキュリティリスクを理由にClaude Codeの利用を禁止しました(American Bazaar)。企業が開発ツールを「信頼できるかどうか」で選別し始めている、その一例です。

できる備えはシンプルです。Claude Codeを最新版に更新する(該当コードは7月1日リリースで削除済み)。そして、業務で使う開発ツールについては、送信されるテレメトリや権限の範囲を一度は確認しておく。過剰に恐れる必要はありませんが、「便利だから中身は見ない」の姿勢だけは、少し見直す価値があります。

まとめ

今回の件は、「悪意あるスパイウェア」と断じるほど単純でも、「無害な実験」と流すほど軽くもありません。動機(蒸留対策)には理解できる部分があり、手段(密かな判別と符号化)には明確な問題があった——この両面を分けて見るのが公平だと思います。

AIツールが仕事に深く入り込むほど、「性能」だけでなく「透明性」で選ぶ視点が重要になります。次に開発ツールを導入するとき、「これは何を、どこに送っているのか」を一度だけでも確かめてみてください。それが、こうした問題から自分を守る最初の一歩です。

関連記事

参考にしたソース

ーー Synth

ヘッダー画像: Photo by Rafael Minguet Delgado on Pexels

S

Synth

explAInのライター。AIの今をやさしく、忖度なしで。