30 czerwca badacz działający jako LegitMichel777 rozłożył Claude Code na części i odkrył coś niepokojącego. W narzędziu Anthropic, już od wersji 2.1.91 wydanej 2 kwietnia, ukrywał się zaciemniony kod, który po cichu sprawdzał, czy użytkownik działa z terytorium Chin.
Mechanizm był subtelny. Kod porównywał strefy czasowe systemu z Asia/Shanghai i Asia/Urumqi oraz analizował adresy proxy pod kątem chińskich domen i laboratoriów AI. W razie trafienia format daty w systemowym prompcie zmieniał się z myślników na ukośniki, a apostrof w wyrażeniu Today's date is był zastępowany wizualnie identycznym znakiem Unicode — niezauważalnym dla człowieka, ale możliwym do odczytania przez serwery Anthropic.
Anthropic przyznała się. Inżynier Thariq Shihipar opisał to jako eksperyment uruchomiony w marcu, by zapobiegać nadużyciom kont i destylacji modeli, i dodał, że zespół od dawna zamierzał go usunąć. Usunięto go 1 lipca — dzień po ujawnieniu sprawy.
Alibaba zareagowała błyskawicznie. Od 10 lipca firma zabrania pracownikom korzystać z Claude Code, nazywając go oprogramowaniem wysokiego ryzyka z lukami bezpieczeństwa, i rekomenduje własny asystent kodowania Qoder.
Tło konfliktu jest złożone. Pod koniec czerwca Anthropic oskarżyła laboratorium Qwen Alibaby o przeprowadzenie największego ataku destylacji na Claude: około 25 000 fałszywych kont miało wygenerować 28,8 miliona rozmów między kwietniem a czerwcem, by trenować konkurencyjne modele. Alibaba temu zaprzecza. Krytycy stawiają trafne pytanie: jeśli firma ukrywa inwigilację w kodzie produkcyjnym i usuwa ją dopiero po ujawnieniu, jak wiarygodne jest tłumaczenie o ochronie przed nadużyciami?



