O rastreador oculto de Claude Code foi uma «experiência», afirma a Anthropic

| 7 de julho de 2026
Logótipo Claude

Como programador, queres utilizar ferramentas em que possas confiar e com as quais possas contar. Um investigador levou essa ideia a sério ao ponto de analisar minuciosamente a sua instalação local do Claude Code (2.1.196). Para os programadores que utilizam assistentes de IA com acesso ao seu código, ficheiros e terminal, compreender o que essas ferramentas estão a fazer nos bastidores está a tornar-se tão importante quanto avaliar as suas capacidades de programação.

Quando se concede a um assistente de programação baseado em IA acesso ao shell, ao sistema de ficheiros e ao repositório, já se está a assumir um risco calculado. É de esperar que haja erros, talvez até alguma telemetria, mas não um canal oculto que, discretamente, codifica para onde vai o tráfego e quem poderá estar a observar do outro lado.

Foi exatamente isso que o programador independente «Thereallo» descobriu ao fazer engenharia reversa do cliente Claude Code da Anthropic. Escondida no pacote de JavaScript minificado estava uma função que recebia a linha, de si só inofensiva, «Today’s date is 2026‑06‑30.» e transformou-o num marcador oculto para o back-end da Anthropic, dependendo do ponto de extremidade da API do utilizador e do fuso horário do sistema.

Para os utilizadores e para a maioria dos programadores que analisavam os registos, o texto continuava a parecer inglês normal. Apenas alguém que analisasse o código Unicode em bruto ou o próprio back-end da Anthropic veria o sinal codificado a ser acionado se o fuso horário local estivesse definido para Asia/Shanghai ou Asia/Urumqi.

Assim que a notícia se espalhou pelas redes sociais e pelos meios de comunicação social, a Anthropic reconheceu a existência do código e agiu rapidamente para o remover, mas ainda não publicou uma análise pós-incidente detalhada dedicada a esta funcionalidade.

Segundo consta, um engenheiro da Anthropic confirmou no X o marcador era «uma experiência que lançámos em março», destinada a impedir o uso indevido de contas por revendedores não autorizados e a proteger contra a «destilação». Esta medida poderá ter sido desencadeada pela decisão do governo dos EUA, a 12 de junho, de suspender o acesso aos modelos por parte de cidadãos estrangeiros, invocando preocupações de segurança nacional. Estes controlos à exportação foram levantados a 30 de junho.

Outra razão possível poderá ser a de obter mais informações sobre os ataques de «destilação» chineses que têm sido relatados, os quais representam uma séria ameaça à segurança nacional dos EUA e comprometem as normas de segurança da IA.

Quem é que precisa de se preocupar?

A Anthropic tem estado envolvida numa disputa muito mediática sobre os «ataques de destilação». Trata-se de campanhas nas quais os adversários alegadamente reproduzem ou utilizam por procuração os resultados dos modelos para treinar sistemas concorrentes, muitas vezes a partir de jurisdições com proteções de propriedade intelectual mais fracas. Laboratórios de IA e intermediários ligados à China têm assumido um papel de destaque nessas acusações, e as notícias referem que revendedores não autorizados estão a revender o acesso ao Claude com descontos consideráveis.

A Alibaba já baniu a Claude Code devido a esta questão. A Alibaba não é apenas uma das maiores retalhistas e empresas de comércio eletrónico do mundo, como também foi classificada como a quinta maior empresa de inteligência artificial do mundo em 2020.

Os programadores que temam vir a ser alvo de ataques podem:

  • Registe os hash e as versões dos clientes de IA utilizados em ambientes sensíveis e evite as atualizações automáticas sem, pelo menos, uma análise superficial.
  • Utilize a inspeção de rede para capturar todas as solicitações enviadas às APIs de IA em ambientes de teste e, em seguida, analise-as à procura de indicadores ocultos ou inesperados, incluindo anomalias Unicode nos avisos do sistema.

Como este caso demonstra, a decisão de um único fornecedor pode tornar uma ferramenta, anteriormente considerada fiável, inaceitável para algumas organizações. É importante manter a flexibilidade e evitar dependências rígidas de um único assistente de IA.


Navegue como se ninguém estivesse a ver. 

VPN Malwarebytes Privacy VPN a sua ligação e nunca regista o que faz, para que a próxima notícia que ler não pareça dirigida a si.Experimente gratuitamente → 

Sobre o autor

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.