2026年6月30日、Therealloというハンドルネームの開発者が、プログラマなら誰もが一度はやることを実行した——自分のPC上でソフトウェアが実際に何をしているのか不安になり、そのソースコードを紐解いたのだ。
そのソフトウェアの名はClaude Code——AI企業Anthropicが提供するプログラミング支援ツールである。自律的にコードを書き、コマンドを実行し、ファイルを編集するAIの同僚として、日々開発者のPCの中に常駐している。その権限は恐ろしいほど広範だ:あなたのフォルダを読み取り、ターミナルコマンドを実行し、ブラウザ操作すら行える。
Therealloが解析したのはClaude Codeのバージョン2.1.196のソースコードだった。スクロールしていた彼の手が止まった。
プログラムにはある機能が埋め込まれていた:AIにリクエストを送信するたび、人間の目では見えないマーカーをテキスト内に密かに埋め込んでいる。平たく言えば「見えないインク」——システムプロンプトの一文に隠され、正式な開示チャネルは一切通っていない。
彼はこの発見をブログ記事にまとめた。6時間後、その投稿はHacker Newsで1284ポイント、362コメントを獲得し、Lobstersでも31票を集めた。技術コミュニティ全体が沸騰した。
見えないインクの仕組み
この件がなぜ人々の警戒心を呼んだのかを理解するには、ここで言う「見えないインク」がどのように機能しているかを押さえる必要がある。
Claude Codeは毎回の作業時に、まずAIの頭脳に背景情報を送信する——例えば「今日の日付は2026-06-30です」といった具合だ。これはごく正常な動作である——AIは今日が何日かを知らなければ、時間に関連する質問に答えられない。
しかしTherealloが発見したのは、この一文を送信する前に、プログラムが一連の「セキュリティチェック」を実行していることだった。まずPCのタイムゾーンが「上海」または「ウルムチ」でないか確認する。そうでない場合、次にネットワークリクエストが特定のURLに向けられていないかをチェックする。
チェック結果に応じて、プログラムは日付文字列の二つの要素を密かに変更する:
第一に、日付のハイフン「-」をスラッシュ「/」に置き換える。 「2026-06-30」は「2026/06/30」になる。
第二に、英文中のシングルクォートを、4種類の異なるUnicodeバリアントに置き換える。 画面上ではこれらのシングルクォートは完全に同一に見える——肉眼では判別不可能だ。しかしコンピュータにとっては、4つの異なる文字、4つの異なる印章である。
タイムゾーンチェック、URLチェック、キーワードマッチの結果を組み合わせることで、合計4種類の「不可視署名」が生成される。Anthropicのサーバーはリクエストを受信すると、これらの不可視文字を識別することで、そのリクエストがどのような経路から来たものかを判定できる。
さらに疑念を深めるのは、この機能のターゲットリストが暗号化されて隠蔽されていることだ。ドメインリストとキーワードリストはコード上に平文で書かれておらず、XOR暗号化(基本的な暗号化方式)とBase64エンコードの組み合わせで秘匿されている。Therealloが復号したところ、リストには以下が含まれていた:
AIラボのキーワード:deepseek、moonshot、minimax、zhipu(智譜)、bigmodel、baichuan(百川)、stepfun(階躍星辰)、01ai(零一万物)、dashscope(阿里百錬)、volces(火山引擎)。
ドメインリストはさらに広範囲で、AI企業に加えて、百度(バイドゥ)、アリババ、アントグループ、バイトダンス、快手(クアイショウ)、小紅書(RED)、京東(JD)、ビリビリ(Bilibili)、科大訊飛(iFLYTEK)など多数の中国企業のドメイン、およびAPI転売を専門とするプロキシサイト群が含まれていた。
言い換えれば、この不可視透かしシステムは主に中国発のリクエストを監視対象としているのだ。
Anthropicはなぜこれを行うのか?
ここで、Anthropicに「こそこそしている」というレッテルを性急に貼るのは待とう。彼らの動機は実は極めて明快である。
AnthropicのAIモデル「Claude」は中国本土向けにサービスを提供していない。しかし現実には、多数の中国人ユーザーが代理店、跳ね板サーバー、共有アカウントなどを通じて間接的にClaudeを利用している。これにより巨大なグレーマーケットが形成されており——ある報道によれば、中国市場で転売されるClaude APIの価格は公式の10分の1にまで下がることがあるという。
Anthropicをさらに緊張させているのが「モデル蒸留」である。専門的には聞こえるが、意味は単純だ:Claudeの膨大なQ&Aログを使って別のAIモデルを訓練すること——すなわち、巨匠の作品を教材にして弟子を教えることに等しい。2026年6月末、Anthropicはアリババを公然と非難した——25,000の偽アカウント、2,880万回の会話を通じて、Claudeモデルを組織的に蒸留したというのである。
Anthropicの立場に立てば:私のモデルは競合他社に訓練教材として持ち去られ、私の有料サービスは仲介業者によって安値で転売されている——これらの行為を検出する手段を講じてはいけないのか?
これが、この不可視マーカーシステムの設計意図である——非公式チャネル経由のリクエストに「識別コード」を刻印し、バックエンドで正常なリクエストと不審なリクエストを区別できるようにする。
「隠さなければ意味がない」——それは理由になるのか?
問題はまさにここにある。
Anthropicの論理チェーンはこうだ:不正利用を検出する必要がある → しかし「検出している」と公表すれば、不正者は迂回手段を考える → だから密かに行うしかない。
筋は通っているように聞こえる。しかしHacker Newsで最高評価を得たコメントの一つ——ユーザーcivet_javaによるもの——は、この論理の急所を正確に突いた:
「サービス提供者が業務上の必要からこれを行うことは、透明性のある開示をしなくてよい理由にはならない。正直に開示すると対策が無効になるというなら、それはあなたの対策そのものに問題があるのであって——ユーザーのせいではない。」
このコメントは大量の賛同を集めた。根本的な矛盾を突いている:欺瞞に頼らなければ有効でない不正対策は、その有効性がユーザーの不知の上に成り立っていることを意味する。これは、スーパーが万引きを捕まえるために試着室に隠しカメラを設置するようなものだ——万引きを取り締まることは正当だが、隠しカメラそのものが信頼を侵食する。
より鋭い批判は、ユーザーkipropingによる滑り坂警告である。彼のコメントは300件以上の議論の中で際立ち、もう一つの高評価金言となった:
「最初は『中国脅威』を理由に。次は『脱獄ユーザー』『反Dario(Anthropic CEO)派』——坂はもう滑り始めている。」
直後に連鎖が始まった:
- 「『子供を守るため』を忘れてるよ。」
- 「中国のネットの子供たちは誰が守るんだ!」(皮肉)
この連鎖コメントは一見ジョークのようだが、多くの人が口にしなかった不安を正確に射抜いている:ひとたび「目的が正当ならブラックボックス化も許容される」という論理が企業に受け入れられれば、その適用範囲は拡大し続けるだけで、自動的に収束することはない。今日は「中国の競合他社が我々のモデルを蒸留しているから」という理由で監視コードを隠し、明日は「脱獄プロンプトで安全制限を回避する者がいるから」という理由でさらに多くの監視コードを隠す。明後日は?
どちらが正しいのか?
公平を期すなら、Anthropicが直面しているのは想像上の敵ではない。
筆者が公開情報を精査した限り:Anthropicは確かに大規模で組織的な不正利用を受けている。中国市場におけるAPI転売のサプライチェーンは実在し、モデル蒸留は理論から実戦段階に入っている——商業競争の手段として使われているのだ。あなたが店を開いていて、誰かが毎日裏口から商品を持ち出して隣に支店を開いているのを発見したら、商品に印を付けたいと思う——その衝動そのものは理解可能である。
しかしLobsters上でbitshiftというユーザーが、より冷静な視点を提供している:
「元記事が言うほど信頼を破壊するものとは思えない。クローズドソースで、あなたのPC上でコマンドを実行するプログラムを既に受け入れているのなら……何を言えばいいのか分からない。Anthropicは評判を守るためにやり過ぎはしないだろうが、Claudeを選んだ時点でその取引を受け入れたことになる。」
この見解には一理ある——家の鍵をクローズドソースのソフトウェアに渡すとき、「透明性」への要求そのものが既にある程度割り引かれている。Anthropicは確かにこの件で悪意のある行為をしたわけではない——「不正対策マーキング」をしただけで、あなたのコードを盗んだり、ファイルをアップロードしたり、行動を監視したりはしていない。
しかし反論も同様に強力である:信頼とは「どうせもう信頼してるんだから」という無限透支カードではない。まさにユーザーがこのツールに大きな権限を委ねているからこそ——ファイルの読み取り、コマンドの実行、コードの改変、ネット接続——、なおさらユーザーに対して透明であるべきなのだ。信頼は最も退屈な場所で積み上がり、最も退屈な場所で失われる。
より大きな問題:誰がルールを決めるのか?
この論争の核心は、AI時代のガバナンス真空地帯に触れている:
AI企業が自らの商業的利益を守る必要があるとき、どの程度までユーザーに対して不透明でいることが許されるのか?その境界線は誰が決めるのか?
現在の答えは:AI企業自身である。Anthropicは自ら「中国の流通チャネルを検出すること」を十分に重要な目標と判断し、自ら「不可視マーカーがユーザーに害を及ぼすことはない」と判断し、自ら「更新履歴にこの件を記載する必要はない」と判断した。このプロセス全体に、外部監視はなく、業界標準はなく、ユーザーの同意もない。
しかし、ユーザーこそが自分のPC上でこのプログラムを実行している当人である。
筆者はここで「Anthropicは悪だ」とか「ユーザーが過剰反応している」という結論を出すつもりはない。この論争がHacker Newsで1284ポイントを獲得したのは、まさに双方に筋の通った理屈があるからだ——Anthropicには防ぐべき現実の商業的損失があり、ユーザーには透明性を要求する現実の理由がある。
本当に考えるべきはこれだ:「正直に開示すると対策が無効になる」がブラックボックス化の理由としてまかり通るなら、未来のあらゆるAI企業は同じ論理で、ユーザーの知らぬ間に「必要」と判断したあらゆることを実行できる。 これは杞憂ではない——前世紀、テクノロジー企業は「ユーザー体験の改善のため」をプライバシーデータ収集の万能の言い訳に変えた。この構文は、我々があまりにも聞き慣れてきたものだ。
見えないインクそのものは問題ではない。インクの存在を人に知らせないこと——それこそが問題なのだ。
図:Therealloのブログ記事OGカバー画像。Claude Codeがシステムプロンプト内でUnicode文字置換を通じて不可視マーカーを埋め込む技術原理を示している。出典:thereallo.dev
参考リンク:
- https://thereallo.dev/blog/claude-code-prompt-steganography
- https://news.ycombinator.com/item?id=48734373
- https://lobste.rs/s/qs2sxd/claude_code_is_steganographically
- https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks
- https://www.tomshardware.com/tech-industry/artificial-intelligence/anthropic-claims-that-chinas-alibaba-illicitly-distilled-its-models-from-april-to-june-2026-says-effort-involved-25-000-fake-accounts-and-28-8-million-exchanges-on-claude