Po nagłośnieniu sprawy firma usunęła mechanizm, jednak decyzja wywołała krytykę części użytkowników i komentatorów – a spór dodatkowo eskalował, gdy Alibaba zakazała swoim pracownikom korzystania z Claude Code.
Ukryty kod wykryty przez badacza
Jak podaje m.in. ArsTechnica, sprawę ujawnił deweloper znany jako Thereallo, który analizował działanie Claude Code pod kątem prywatności. Podczas inżynierii wstecznej odkrył ukryty mechanizm wykorzystujący technikę określaną jako steganografia w promptach systemowych. Nie był to złośliwy kod, ale umożliwiał przekazywanie do serwerów Anthropic dodatkowych informacji w sposób niewidoczny dla większości użytkowników.
Kod obecny był w Claude Code od wersji 2.1.91, wydanej 2 kwietnia 2026 roku, bez żadnej wzmianki w release notes – ujawniono go dopiero 30 czerwca. Mechanizm sprawdzał zmienną środowiskową ANTHROPIC_BASE_URL: jeśli wskazywała ona na niestandardowy serwer proxy, kod weryfikował strefę czasową systemu (pod kątem Asia/Shanghai lub Asia/Urumqi) oraz porównywał adres proxy z zaszytą na stałe listą chińskich domen i laboratoriów AI, m.in. Baidu, Alibaba, ByteDance i DeepSeek.
W przypadku wykrycia dopasowania Claude Code po cichu modyfikował fragment własnego promptu systemowego zawierający datę („Today’s date is…”): zmieniał format zapisu daty (np. z 2026-06-30 na 2026/06/30) oraz podmieniał standardowy apostrof na jeden z trzech wizualnie identycznych, ale technicznie odrębnych znaków Unicode. Kombinacja tych dwóch elementów kodowała informację o wykrytym proxy i powiązaniu z chińskim laboratorium w sposób niewidoczny dla użytkownika, ale odczytywalny maszynowo po stronie serwerów Anthropic. Same listy domen były dodatkowo zaszyfrowane, co utrudniało ich wykrycie podczas standardowej analizy binarnej.
Anthropic: to był eksperyment
Inżynier Anthropic, Thariq Shihipar, potwierdził w serwisie X, że mechanizm został dodany do Claude Code w marcu jako eksperyment. Jak wyjaśnił, jego celem było ograniczenie nadużyć związanych z nieautoryzowaną odsprzedażą dostępu do Claude oraz ochrona przed tzw. destylacją modeli, czyli wykorzystywaniem odpowiedzi dużego modelu do trenowania konkurencyjnych systemów AI. Dodał również, że firma od pewnego czasu planowała usunięcie tego rozwiązania, ponieważ wdrożyła skuteczniejsze zabezpieczenia. Ostatecznie rzeczony kod usunięto dzień po ujawnieniu sprawy.
Według doniesień medialnych, w tym The Washington Post, w Chinach funkcjonują nieautoryzowani sprzedawcy oferujący dostęp do usług Anthropic, mimo że firma formalnie nie udostępnia swoich modeli w Chinach kontynentalnych – to właśnie w ten proceder miał uderzać opisywany mechanizm.
Sprawa wpisuje się w szerszą kampanię Anthropic przeciwko temu, co firma nazywa systematyczną kradzieżą możliwości swoich modeli. W liście do senackiej komisji bankowości USA z 10 czerwca 2026 roku Anthropic oskarżyło podmioty powiązane z laboratorium Qwen (należącym do Alibaby) o przeprowadzenie – jak dotąd największego znanego – ataku typu destylacja na Claude, przy użyciu około 25 tysięcy fałszywych kont, które wygenerowały 28,8 miliona wymian między kwietniem a czerwcem. Alibaba zaprzeczyła tym zarzutom. Wcześniej, w lutym, Anthropic wskazywało również DeepSeek, Moonshot AI i MiniMax jako podmioty prowadzące podobne działania.
Spór o prywatność i zaufanie
Wyjaśnienia Anthropic nie uspokoiły części społeczności deweloperskiej. Krytycy wskazują, że problemem nie był sam cel działania mechanizmu, lecz jego ukryty charakter oraz brak informacji w dokumentacji do kolejnych wersji programu. Zdaniem Thereallo, gdyby Anthropic chciało wykrywać korzystanie z niestandardowych bram API lub serwerów proxy, mogło zrobić to w sposób jawny i odpowiednio udokumentowany.
Pojawił się jednak i głos przeciwny: część komentatorów zwróciła uwagę, że polityka prywatności Anthropic już wcześniej informowała o zbieraniu tego typu danych (strefa czasowa, ustawienia proxy), co ich zdaniem osłabia zarzut całkowitego „utajnienia” – spór toczy się więc głównie o metodę przekazywania sygnału (steganografię), a nie o sam fakt zbierania danych.
Wspomniany badacz zwrócił również uwagę, że narzędzia takie jak Claude Code mają szeroki dostęp do środowiska programisty (system plików, powłoka, edycja kodu), dlatego przejrzystość w zakresie telemetrii i zbieranych danych ma szczególne znaczenie dla zaufania użytkowników.
Alibaba zrywa współpracę z Claude Code
Sprawa doczekała się już konkretnej konsekwencji biznesowej. Alibaba, powołując się na „ryzyko backdoora”, dodała Claude Code do wewnętrznej listy oprogramowania wysokiego ryzyka i zakazała pracownikom korzystania z niego – zakaz wchodzi w życie 10 lipca 2026 roku. Firma zaleciła swoim pracownikom przejście na Qoder, własną platformę do programowania z AI. Według doniesień chińskich mediów, powołujących się na osoby zbliżone do firmy, zalecenie może obejmować szerzej całą ofertę Anthropic, w tym modele z rodziny Sonnet, Opus i Fable.
Wojna o modele AI trwa
Cała sprawa wpisuje się w szerszy konflikt między amerykańskimi i chińskimi firmami rozwijającymi sztuczną inteligencję. Anthropic od miesięcy twierdzi, że chińskie przedsiębiorstwa wykorzystują technikę destylacji do budowy konkurencyjnych modeli na podstawie odpowiedzi Claude. Firma apeluje do władz USA o uznanie takich działań za formę naruszenia własności intelektualnej oraz zaostrzenie środków ochrony najbardziej zaawansowanych modeli AI.
Samo zjawisko destylacji nie jest jednak nielegalne i od lat jest wykorzystywane również przez zachodnie firmy. W przypadku Anthropic problemem ma być prowadzenie takich działań bez zgody właściciela modelu i z naruszeniem regulaminu korzystania z usługi.











0 komentarzy