
A Anthropic removeu um sistema de rastreamento oculto do Claude Code depois que um pesquisador de segurança descobriu que o assistente de codificação de IA estava usando marcadores não divulgados para identificar a localização de alguns usuários, o uso de proxy e possíveis ligações a laboratórios chineses de IA.
O recurso, descoberto em junho pelo desenvolvedor “Thereallo,” incorporou sinais nos prompts de sistema do Claude Code que poderiam sinalizar usuários que a Anthropic acreditava estarem contornando restrições ou tentando extrair capacidades do modelo.
“A Anthropic provavelmente quer detectar revendedores de API, gateways não autorizados do Claude Code e pipelines de 'ataque de destilação' de modelos,” escreveu Thereallo. “Uma ANTHROPIC_BASE_URL personalizada apontando para um domínio de revendedor conhecido é um sinal útil. Um nome de host contendo deepseek ou zhipu também é um sinal útil.”
Thereallo disse que a tentativa da Anthropic de detectar revendedores, gateways não autorizados do Claude Code e potenciais ataques de destilação fazia sentido, mas criticou a forma como foi feito, observando que o Claude Code escondeu sinais de rastreamento dentro dos prompts de sistema usando marcadores Unicode e listas de domínio codificadas, em vez de divulgar o sistema através de documentação ou notas de lançamento.
“Este não é um recurso malicioso, mas é uma escolha estranha para uma ferramenta de desenvolvedor que pede confiança,” escreveu Thereallo.
Depois que o rastreador foi revelado online, o engenheiro da Anthropic Thariq Shihipar disse no X que ele foi introduzido em março como um “experimento” para impedir o abuso de contas por revendedores não autorizados e proteger o Claude de ataques de destilação.
“A equipe implementou mitigações mais fortes desde então e, na verdade, tínhamos a intenção de remover isso há algum tempo,” escreveu Shihipar na semana passada. “Fundimos o [pull request] e isso deve ser totalmente revertido no lançamento de amanhã.”
A notícia surge enquanto a Anthropic tem intensificado os avisos sobre a destilação de modelos de IA, onde as saídas de um sistema são usadas para treinar outro modelo. Embora a prática seja comum na pesquisa de IA, quando se trata de geopolítica, a destilação se torna uma preocupação de segurança nacional. No início deste mês, a Alibaba proibiu seus funcionários de usar o Claude Code, chamando a ferramenta de software de “alto risco” devido a preocupações de segurança.
Em fevereiro, a Anthropic acusou os desenvolvedores chineses de IA DeepSeek, Moonshot AI e MiniMax de usar contas fraudulentas para extrair milhões de respostas do Claude para treinar modelos concorrentes. As alegações provocaram críticas de céticos que questionaram como a prática difere dos métodos usados em toda a indústria de IA.
Em abril, Elon Musk testemunhou que a xAI havia usado “parcialmente” modelos da OpenAI durante o treinamento do Grok, chamando a destilação de uma prática mais ampla da indústria. Em junho, o CEO da Anthropic, Dario Amodei, instou o Congresso a fortalecer as proteções contra a extração estrangeira de IA, após alegar que operadores ligados à Alibaba geraram 28,8 milhões de interações do Claude usando quase 25.000 contas fraudulentas.
A Anthropic não respondeu imediatamente a um pedido de comentário da Decrypt.