7月4日、The Next Webが「Alibaba bans Claude Code over hidden Chinese user tracking」と題した記事を公開した。この記事では、Anthropicの開発ツール「Claude Code」に中国ユーザーを検出する隠しコードが発見され、Alibabaが社員の使用を禁止した件について詳しく紹介されている。
Claude Codeとは
Claude Codeは、Anthropicが提供するターミナルベースのAIコーディングエージェントだ。ローカルファイルシステムへの直接アクセスやコマンド実行を通じて、コードの生成・レビュー・リファクタリングを自律的に行える点が特徴で、特に生産性向上を求めるエンジニアの間で広く使われている。その強力な権限ゆえに、ツール自体の信頼性はセキュリティ上の重要事項でもある。
ステガノグラフィーで隠された追跡コード
事の発端は6月30日、Redditユーザー「LegitMichel777」がClaude Codeをリバースエンジニアリングし、難読化されたコードを発見したことだ。そのコードは4月2日リリースのバージョン2.1.91から密かに存在していたが、リリースノートには一切記載がなかった。
コードの挙動は具体的かつ巧妙だ。ユーザーのシステムタイムゾーンがAsia/ShanghaiまたはAsia/Urumqiに設定されているかを確認し、プロキシURLを中国ドメインやAIラボのアドレスのハードコードリストと照合する。
検出結果のログは通常の方法では記録されない。代わりにステガノグラフィーと呼ばれる技術を使い、Anthropicサーバーへのリクエストにおけるシステムプロンプトの文字列中に、不可視のシグナルを埋め込む仕組みになっていた。ステガノグラフィーとは、秘密の情報をほかの情報の中に知覚できないかたちで隠す技術の総称だが、今回は追跡フラグをシステムプロンプトのテキストそのものに忍び込ませる手法が取られた。具体的には:
- タイムゾーンが中国の場合、日付フォーマットがダッシュ区切りからスラッシュ区切りに変わる
- 「Today's date is」のアポストロフィが、視覚的には同一だが技術的に異なる3種類のUnicode文字のいずれかに置換される(どのフラグが立ったかで変わる)
この変化は人間の目には見えず、AIモデル自身も気づかない可能性がある。一方でAnthropicのサーバーは機械的に解析できる。さらに検出コードの一部はXOR鍵「91」で難読化されており、静的解析による平文抽出を防ぐ処理まで施されていた。
Anthropicの釈明と削除
Claude Codeチームのエンジニア、Thariq ShihiparはX(旧Twitter)上で「3月に開始した実験だった。不正リセラーによるアカウント濫用防止とディスティレーション対策が目的だった」と説明した。コードは「しばらく前から削除しようとしていた」とも述べ、削除のプルリクエストは7月1日にマージされた。
ただし、Anthropicのプライバシーポリシーは当該データの収集を明記しているため、法的には問題がないとも言える。批判はそこではなく、ステガノグラフィーという「見えないように設計された」手法を用いた点、すなわちトランスペアレンシーの欠如に集中している。
発端となった「ディスティレーション攻撃」
この追跡コードは突然生まれたものではない。背景にAnthropicとAlibabaの対立がある。
Anthropicは6月10日、米上院銀行委員会への書簡で、AlibabaのQwen AIラボ関連のオペレーターが、Claudeに対して史上最大規模のディスティレーション攻撃を行ったと告発した。約2万5,000件の不正アカウントを使い、4月〜6月の間に2,880万件のやり取りを生成したとされる。
ディスティレーション(distillation)とは、強力なモデルの出力を大量に収集し、それを教師データとして小規模モデルを訓練する手法だ。AI開発においてはグレーゾーンに位置しており、Anthropicはこれを自社ビジネスへの実存的脅威と位置づけている。2月にはDeepSeek、Moonshot AI、MiniMaxも同様の行為の実行者として名指しした。
Alibabaはこの告発を否定している。
開発者へのリスク
この問題がエンジニアにとって特に深刻なのは、Claude Codeがローカルファイルシステムへのフルアクセスを必要とするという点だ。つまり、ツール内の隠し機能はマシン上のすべてのファイルやプロセスに触れる位置にある。中国のセキュリティ企業「火絨安全(Huorong Security)」は、今回の追跡はトランスペアレンシーの問題であるだけでなく、国境をまたぐデータコンプライアンス上の懸念を生じさせると指摘した。特に、企業のセキュリティポリシーや各国のデータローカライゼーション規制のもとで業務を行うエンジニアにとっては、ツールの挙動が文書化されていないこと自体がリスク要因になる。
Redditでは厳しい声が上がっている。
「今日はタイムゾーンのチェックかもしれないが、明日にはシステム破壊やデータ窃取になりかねない」
こうした懸念は感情論にとどまらない。開発ツールがリリースノートに記載のない機能を内包していた事実は、サプライチェーンセキュリティの観点からも看過できない問題を提起している。
Alibabaの禁止措置と中国市場への影響
Alibabaは社員のClaude Code使用を禁止する内部通知を発出し、「バックドアリスクが発見された」と説明した。代替として自社のQoderを推奨している。なお、元記事では禁止の発効日を「7月10日付」と記載しているが、元記事の公開日(7月4日)時点では未来の日付であり、本紹介記事公開時点(7月5日)においても同様だ。禁止措置の正確な施行日については元記事および続報を確認されたい。
Asia Society Policy InstituteのLizzi Lee氏は、「米国のAIコーディングツールが中国からの利用やプロキシアクセスを検出できるなら、大手中国テック企業が社内使用を禁止するのは当然の対応だ」と述べた。
Anthropicのモデルは中国では公式に利用不可だが、迂回手段を使って利用する開発者は少なくない。今回の件がさらなる国産ツールへの移行を加速させるか、それともすでに多くの人が抱いていたリスク認識を追認するだけに終わるか、その影響はAlibabaにとどまらない問題だ。
詳細はAlibaba bans Claude Code over hidden Chinese user trackingを参照していただきたい。