AI開発企業のAnthropicが手がけるコーディングツール「Claude Code」に、中国のユーザーを密かに識別する隠しコードが組み込まれていたことが分かりました。海外の複数メディアの報道によると、ある開発者がコードを解析した結果、タイムゾーンやプロキシ接続の情報から中国関連のユーザーかどうかを判定し、目に見えない形でAnthropic側に伝える仕組みが見つかったとされています。Anthropicは「不正利用対策の実験だった」と説明し、該当コードはすでに削除したとコメントしていますが、平素から監視やトラッキングに慎重な姿勢を強調してきた同社の立場と矛盾するとして、プライバシー擁護派を中心に批判が広がっています。

ポイント

  • Claude Codeに、中国のユーザーを識別するための隠しコードが埋め込まれていたと報じられている
  • コードはシステムのタイムゾーンが「Asia/Shanghai」「Asia/Urumqi」かどうか、接続元のプロキシが中国関連のドメインやAI研究機関に該当するかどうかを確認していたとされる
  • 判定結果に応じて日付表記の一部(アポストロフィの文字)をわずかに変える「プロンプトステガノグラフィー」という手法で、ユーザーには見分けがつかない形で情報を埋め込んでいたと報じられている
  • コードはXOR暗号化(キー91)で難読化されており、単純なテキスト検索では発見しにくい状態だったとされる
  • Anthropicのエンジニアは、3月に開始した「不正利用業者対策・技術蒸留対策のための実験」だったと説明し、該当機能をすでに削除したとコメント
  • Alibabaは、この報道を受けて社内でのClaude Code利用を7月10日付で禁止したと報じられている

背景と詳細

今回の問題は、ある開発者がClaude Codeのプライバシー面を調べる過程で発覚したとされています。報道によれば、6月30日ごろに難読化されたコードが解析され、システムのタイムゾーンやネットワーク接続の情報を基に、ユーザーが中国国内にいるか、あるいは中国のAI関連組織と接続しているかを判定する処理が組み込まれていたことが明らかになりました。判定結果はユーザーの画面上では気づかれない形、具体的には日付表示に使われるアポストロフィの文字種をわずかに変えるという方法でエンコードされ、Anthropic側だけがそれを読み取れる仕組みになっていたとされています。

この機能は、Anthropicのエンジニアであるタリク・シヒパー氏がX(旧Twitter)上で、3月に開始した実験であり、「不正なリセラーによるアカウント悪用の防止」と「モデルの蒸留(distillation)攻撃への対策」を目的としたものだったと説明したと報じられています。Anthropicは、以前から該当コードを削除する予定だったとし、より強力な対策を別途導入済みであるとコメント、問題発覚後に該当コードを削除するプルリクエストをマージしたとされています。

この一件は、Anthropicと中国のAI企業を巡る摩擦の中で表面化しました。Anthropicは6月10日付で米上院銀行委員会に宛てた書簡の中で、Alibaba傘下のAI研究機関「Qwen」に関連する運営者らが、約2万5000件の不正アカウントを用いて4月から6月にかけて2880万件のやり取りを行う、Claudeに対する過去最大級の蒸留攻撃を実施したと主張したと報じられています(Alibaba側はこの主張を否定しています)。今回の隠しコード発覚を受け、Alibabaは社内評価の結果Claude Codeを「セキュリティ上のリスクがある高リスクソフトウェア」のリストに追加し、7月10日付で従業員の利用を禁止、代替として自社の開発ツール「Qoder」の利用を推奨したと報じられています。

なぜ重要か

Claude Codeは日本国内の開発者やエンジニアリング組織にも広く利用されているコーディング支援ツールです。AI企業が「ユーザーのプライバシーを守る」と掲げながら、実際には利用者に気づかれない形で属性情報を収集していた可能性がある今回のケースは、AIツールを業務に導入する際にネットワーク通信や動作の透明性をどこまで信頼できるかという問題を改めて突きつけます。特に社内システムに機密情報を扱わせる企業にとっては、ベンダーの公表内容と実際の挙動に乖離がないかを確認する必要性が増していると言えます。また、今回の騒動は米中間のAI技術を巡る緊張の一端でもあり、国際的なAIサービス利用における地政学的リスクも意識させる材料となっています。

今後の見通し

Anthropicは該当コードをすでに削除し、代替の不正利用対策を導入済みとしていますが、他にも同様の隠し機能が残っていないかを検証すべきだとの声が上がっており、外部の研究者による調査が続く可能性があります。米中のAI企業間の相互不信が深まる中、他のAIベンダーの類似機能についても関心が向かう可能性があり、今後の情報開示や規制当局の対応が注目されます。