開発者としては、信頼でき、頼りになるツールを使いたいものです。ある研究者は、この考えを真剣に受け止め、自身のローカル環境にインストールされたClaude Code(2.1.196)を徹底的に検証しました。コードやファイル、ターミナルへのアクセス権を持つAIアシスタントを利用する開発者にとって、それらのツールが裏で何を行っているかを理解することは、そのコーディング能力を評価することと同じくらい重要になりつつあります。
AIコーディングアシスタントにシェル、ファイルシステム、リポジトリへのアクセス権を付与する時点で、すでに計算されたリスクを負っていることになります。バグや、場合によってはテレメトリの送信は予想の範囲内ですが、トラフィックの行き先や、その先で誰が監視しているかを密かに記録する隠しチャネルが存在することまでは想定外でしょう。
まさにそのことを、独立系開発者の「Thereallo」が、Anthropic社のClaude Codeクライアントをリバースエンジニアリングした際に発見しました。ミニファイされたJavaScriptバンドルの奥深くに、一見何気ない一行「Today’s date is 2026‑06‑30.」とし、ユーザーのAPIエンドポイントとシステムのタイムゾーンに応じて、Anthropicのバックエンド向けのステルスマーカーとして機能するようにしました。
ログを確認するユーザーや大半の開発者にとって、そのテキストは依然として普通の英語のように見えました。ローカルのタイムゾーンが「Asia/Shanghai」または「Asia/Urumqi」に設定されている場合にのみ、生のUnicodeやAnthropic独自のバックエンドを詳細に調べた人だけが、エンコードされたシグナルがトリガーされたことに気づくでしょう。
この事実がソーシャルメディアや報道機関を通じて広まると、Anthropic社は当該コードの存在を認め、速やかに削除措置を講じたが、この機能に関する詳細な事後分析を公表するには至っていない。
報道によると、Anthropic社のエンジニアX マーカーX 「3月に開始した実験」であり、無許可の再販業者によるアカウントの悪用を防止し、ディスティレーションから保護することを目的としたX 確認した。これは、米国政府が6月12日、国家安全保障上の懸念を理由に、外国人によるモデルへのアクセスを一時停止する決定を下したことがきっかけとなった可能性がある。これらの輸出規制は6月30日に解除された。
もう一つの考えられる理由は、米国の国家安全保障に深刻な脅威をもたらし、AIの安全基準を損なう、報告されている中国の蒸留攻撃について、より詳しく把握することにあるかもしれない。
誰が心配する必要があるのか
Anthropicは、「蒸留攻撃」をめぐって、世間の注目を集める論争に巻き込まれている。これは、攻撃者がモデルの出力を再生したり、代理で出力したりして競合システムを学習させるという手口であり、多くの場合、知的財産権の保護が不十分な法域から行われているとされる。こうした非難の的となっているのは、中国と関連のあるAI研究所や仲介業者であり、報道によると、無許可の小売業者が「Claude」へのアクセス権を大幅な割引価格で転売しているという。
アリババは、この件をめぐってすでに「Claude Code」の利用を禁止している。アリババは世界最大級の小売企業およびEC企業であるだけでなく、2020年には世界第5位の人工知能企業にもランクインした。
標的になるのではないかと懸念している開発者は、以下の措置を講じることができます:
- 機密性の高い環境で使用されるAIクライアントのハッシュ値とバージョンを記録し、少なくとも大まかな確認を行わない限り、自動更新は避けること。
- テスト環境において、ネットワーク検査機能を使用してAI APIへのリクエスト全体をキャプチャし、システムプロンプト内のUnicodeの異常など、隠れた、あるいは予期せぬ兆候がないか分析します。
この事例が示すように、ベンダーのたった一つの決定によって、それまで信頼されていたツールが、一部の組織にとっては受け入れがたいものになってしまう可能性があります。選択肢の幅を保ち、特定のAIアシスタントへの過度な依存を避けるようにしましょう。
誰にも見られていないかのように、自由に閲覧してください。
Malwarebytes Privacy VPN 接続をVPN 、ユーザーの行動を一切記録しません。だから、次に読む記事が自分事のように感じられることはありません。無料でお試しください →




