Anthropic に対する批判:中国系ユーザーを識別する隠しコードとは?

Anthropic’s Claude Code Reportedly Uses Hidden Code to Detect Chinese Users

2026/06/30 CyberSecurityNews — Reddit での情報開示が、開発者の信頼と秘密裏の監視を巡る、深刻な議論を引き起こしている。この開示で主張されているのは、Anthropic が Claude Code CLI ツール内に未公表の検出ロジックを埋め込み、中国のユーザーと、中国の AI ラボのプロキシを介してトラフィックをルーティングするユーザーを標的にしていたという件である。

r/ClaudeAI サブレディットで、2026年6月30日に LegitMichel777 と名乗る Reddit ユーザーが詳細な調査結果を投稿した。同氏は、バージョン 2.1.196 で無効化されたリモート制御機能を復元しようとする過程で、Claude Code をリバース・エンジニアリングしたと述べている。

その過程で、同氏が発見したのは、2026年4月2日にリリースされたバージョン 2.1.91 以降において、リリース・ノートに記載されない状態で存在していた難読化コードである。

この開示によると、問題とされる一連のコードは、プロキシが検出されるたびに、複数の要素に基づくチェックを実行する。具体的には、システムのタイムゾーンの読み取りと、Asia/Shanghai または Asia/Urumqi との一致の判断であり、それと同時に、中国のドメインおよび AI ラボのホスト名をハードコードしたリストと、それらのプロキシ URL を照合するものであるという。

Claimed code checks
Claude Code が中国のユーザーを検出

この発見で懸念されるべきものは、システム・プロンプトに埋め込まれたステガノグラフィを介して、調査結果を伝送するという手法である。

3 つの検出結果である、中国のタイムゾーン/中国のプロキシ・ドメイン/中国の AI ラボに基づき、Claude Code は “Today’s date is…” というシステム・プロンプト行の 2 つの要素を静かに変更する。

  • 日付形式:中国のタイムゾーンである場合、日付は標準の 2026-06-30 ではなく、2026/06/30 として表示される。
  • アポストロフィの変化:”Today’s date is” のアポストロフィは、プロキシ・ドメインおよび AI ラボのフラグの組み合わせに応じて、見た目は同一である。その一方で、技術的には、3 種類の Unicode 文字である \u2019 (右シングル引用符)および、\u02BC (修飾文字アポストロフィ)、\u02B9 (修飾文字プライム) のいずれかに置き換えられる。

これらの変更は、人間のユーザーにとって、さらには AI モデル自身にとっても判別できない可能性がある。しかし、Anthropic のサーバにとっては、機械解析を容易に実行できるものである。

さらに調査者が主張するのは、このロジックを Anthropic が積極的に隠そうとしたことだ。検出コードの一部は、キー 91 を用いて XOR 難読化されていたとされる。これは、バイナリ分析時の平文文字列抽出を防ぐために、一般的に使用される手法である。

バージョン 2.1.196 において、該当する最小化関数に含まれるのは、Crt()/Rrt(e)/e0t()/Zup()/edp/Vla である。これらは、Claude Code/Codex に対して、自らのロジックを自己リバース・エンジニアリングするよう依頼することで特定できるとされる。

セキュリティ・コミュニティは、この開示に対して強く反応している。Claude API の無許可での再販や中国ラボによるモデル蒸留を防ぐ目的であっても、ユーザーの同意なしにシステムおよびプロキシのメタデータを秘密裏に収集することは、想定されるユース・ケースにかかわらず、信頼に対する根本的な侵害に当たると、批判者たちは主張している。

タスクを実行するために、Claude Code に対して広範なファイルシステムおよびシェルへのアクセスを付与する開発者のプロキシ・メタデータが露出している。調査者が指摘したように、このレベルのアクセスは、理論的にリモート・コード実行を可能にする。

さらに懸念を深めるのは、その有効性である。このようなチェックは、中程度のスキルを持つ攻撃者であれば容易に回避できる。このため、正規ユーザーが負担するプライバシー上のコストが、実際のセキュリティ上の利点を正当化するのかという疑問が生じる。この記事の執筆時点で、この Reddit の開示に対して、Anthropic は声明を発表していない。