AIに仕込まれたスパイ暗号——「Claude」が147個の不可視マークで転売業者を追跡

AIに仕込まれたスパイ暗号——「Claude」が147個の不可視マークで転売業者を追跡

AIClaudeセキュリティプライバシー

データソース:thereallo.dev + Lobsters discussion + web research · HN

Anthropic Claude

6月30日、Thereallo という名のセキュリティ研究者が Claude Code のコードを精査中に、不安を覚えるものを発見した。Anthropic 社が AI に送るシステム指示の中に、ひそかに不可視の暗号システムを忍び込ませていたのだ。この仕組みはユーザーの地理的位置とネットワーク環境に応じて、自動的に句読点を切り替えてマーキングを行う——あなたの目には普通の英文の日付に見えるが、バックエンドで転送されるバイト列の中には追跡情報が隠されている。

これは推測ではない。Thereallo はコードを分解し、この仕組みの動作ロジックを完全に復元した。筆者は元記事とコミュニティの議論を読んだ上で、三つのことを明らかにしたい。この暗号システムが具体的にどう動くのか、なぜ Anthropic はそんなことをしたのか、そしてその背後にある AI グレーマーケットの全貌だ。

一、システム指示に仕込まれた「見えないインク」

Claude Code は AI モデルと会話するたびに、自動的に一行の日付を挿入する。「Today’s date is 2026-06-30.」(本日の日付は2026-06-30です)。通常であれば、これは単なる定型のコンテキスト情報に過ぎない。

しかし Thereallo が発見したのは、ユーザーがカスタム API アドレスを設定した場合——つまり Anthropic の公式サーバーを経由しない場合——Claude Code がこの一文の二箇所をひそかに改変するという事実だ。

第一に、日付の区切り文字。 あなたのPCのタイムゾーンが「Asia/Shanghai」(上海タイムゾーン)あるいは「Asia/Urumqi」(ウルムチタイムゾーン)に設定されていると、日付は 2026-06-30 から 2026/06/30 に変わる——ハイフンがスラッシュに置き換わる。

第二に、アポストロフィ。 「Today’s」の小さなアポストロフィが、API アドレスに応じて4種類のバージョンに切り替わる——見た目はまったく同じだが、裏の Unicode エンコーディングが完全に異なる。Anthropic 公式サーバーに直接接続している場合は、通常の ASCII アポストロフィ。API アドレスが「既知の転売業者ドメイン」と判定された場合は、右シングルクォーテーション(U+2019)。アドレスに中国 AI 企業の名前(deepseek、moonshot、zhipu など)が含まれる場合は、別のバリアント(U+02BC)。両方に該当する場合は、さらに別のバリアント(U+02B9)になる。

画面上の日付を見る限り、何の異常もない。しかし Anthropic のサーバーがリクエストを受信した後、これらのバイトをデコードすれば判明する。このユーザーは転売業者のプロキシ経由でアクセスしているのか、そのプロキシは中国の AI ラボと関係があるのか。

さらに興味深いのは、判定ロジックが二つの隠しリストに依存していることだ。一つはドメインブラックリストで、147エントリを含む——Baidu、Alibaba、ByteDance などの中国大手企業ドメインから、claude-opus.top、openclaude.me、proxyai.com といった転売業者専用ドメインまで。もう一つはキーワードブラックリストで、deepseek、moonshot、minimax、zhipu、baichuan、stepfun、dashscope など11の中国 AI 企業名が含まれる。両方のリストは Base64 でエンコードされた後、キー91で XOR 暗号化されている——この手口はマルウェアでは一般的だが、「セキュリティ最優先」を掲げる企業が使うものではない。

Claude APIグレーマーケット

二、3層転売ビジネス——Anthropic はなぜここまで警戒するのか

Anthropic がなぜコードに暗号を仕込むのかを理解するには、彼らが相手にしているものが何かをまず見極める必要がある。

Claude の API は中国本土で公式にブロックされている——中国ユーザーの登録と直接利用は許可されていない。しかし Claude はプログラミング能力において最も優れた AI の一つと広く認められており、中国の開発者はこれを使いたい。需給ギャップが巨大なグレーマーケットを生み、中国の開発者コミュニティでは「中継站(トランスファーステーション)」と呼ばれている。

オックスフォード大学中国政策ラボの研究員・銭子藍(Zilan Qian)が今年5月に発表した調査は、この流通網を明快に解体している。筆者は銭の報告書とその後のコミュニティ議論をもとに、これを3層モデルとして整理する。

第一層:サブスクリプションのプーリングと裁定取引。 転売業者は無料の開発者アカウントを大量登録し、Anthropic が配布する5ドルの API トライアル枠をかき集める。あるいは月額200ドルの Claude Max プレミアムサブスクリプションアカウント一つを、数十人から百人以上で同時使用する。ユーザー一人あたりのコストはほぼゼロにまで圧縮される。さらに悪質なケースでは、盗難クレジットカードでアカウントを作成し、コストは完全にゼロになる。今年4月、Anthropic は一部ユーザーに対し政府発行の顔写真付き身分証明書の提出とライブ自撮りを要求し始めた——しかしグレーマーケットは即座に対応し、低所得国で実在の人物を「顔貸し」として募集、単価は30ドル未満。この防御線は本質的にすでに突破されている。

第二層:モデルのダウングレードと偽装。 ドイツの CISPA ヘルムホルツ情報セキュリティセンターの研究者が17の転売サービスを監査したところ、広範な水増し行為が確認された。ユーザーは Claude Opus(最上位版)の料金を払っているのに、実際に受け取るのは Claude Haiku(最廉価版)や、国産モデル Qwen の回答だった。ある医学ベンチマークテストでは、Gemini-2.5 を謳うサービスがわずか37点だったのに対し、公式 API は84点近くを獲得した。ユーザーは最高級の AI を買ったつもりで、実際には安価な代替品を掴まされている。

第三層:トラフィックの転売——訓練データとして。 これこそがバリューチェーン全体の真の収益源だ。すべてのユーザーが送信するプロンプト、アップロードするコード、受け取る回答は、例外なく転売業者のサーバーを通過し、完全に記録される。完全な推論チェーン、コードコンテキスト、検証済みの出力——これらは競合 AI モデルを訓練するための最も価値ある素材そのものだ。複数の中国人開発者が銭に語ったところによれば、API 転売の価格差は単なる顧客獲得手段であり、本当のビジネスはログにあるという。AI モデル共有プラットフォーム HuggingFace 上では、すでに出所不明の Claude Opus 推論データセットが出回っている。

このモデルは、Anthropic がなぜ焦っているのかを説明する。2026年2月、Anthropic は DeepSeek、Moonshot AI、MiniMax の中国 AI 企業3社を公に告発した。24,000以上の偽アカウントを使って1,600万回以上の会話を生成し、Claude の能力を体系的に蒸留(distillation)して自社モデルを訓練したという。これは産業規模の対抗作戦だ。

三、Anthropic の信頼のジレンマ

不可視暗号システムの話に戻ろう。Anthropic が転売業者と蒸留攻撃者を追跡したいという動機そのものは理解できる。どんな AI 企業も、自社の中核技術が組織的に盗まれることから身を守りたいと思うだろう。

問題は実行方法にある。

Claude Code は普通のチャットツールではない。ファイルシステムの読み取り、シェルコマンドの実行、Git リポジトリの操作——ブラウザのタブに開いたチャットウィンドウよりはるかに多くのことができる。ユーザーがこの鍵を渡すのは、一つの基本的な前提に基づいている。このツールの開発者は誠実である、と。もしシステム指示に暗号を隠し、それをユーザーに伝えないのであれば、他の場所でも同じようなことをしていないと、どうやって確信できるのか。

Thereallo が記事に書いた一文に筆者は強く同意する。「Trust is earned in the boring parts.」(信頼は退屈な部分でこそ獲得される)。Anthropic は追跡の仕組みをアップデートログに堂々と書き、明確なテレメトリ項目にして、ユーザーに何が起きているか、どう無効化できるかを知らせることもできたはずだ。しかし彼らは隠す方を選んだ——Base64 + XOR 暗号化されたドメインリスト、肉眼では見えない Unicode 置換、一切の公開ドキュメントに記載しない。これは悪意のある機能ではない。しかし確かに「奇妙な選択」だ——開発者からの信頼を求めるツールが、自ら透明性の最低ラインを破ったのだ。

さらに工学的な観点から言えば、この追跡システムの効果も疑問だ。回避方法はあまりに簡単すぎる。システムのタイムゾーンを変える、プロキシドメインを別のものに切り替える、環境変数にパッチを当てる。意図を持った相手なら誰でも簡単に無効化できる。結局のところ、このシステムが実際に捕捉できるのは、「正常だが特殊なこと」をしている一般の開発者たちだ——内部ゲートウェイを構築している研究チームや、ローカルプロキシを使っている個人ユーザーなど。

7月1日、Thereallo の記事が公開された翌日、Anthropic はこの仕組みを削除すると回答し、同日中に新版 Claude Code(2.1.197)をプッシュした。しかしアップデートログには不可視マークの削除に関する記述は一切なかった。

四、最後に

筆者がこの記事を書いたのは、転売業者を擁護するためでも、Anthropic を断罪するためでもない。双方の理屈は、それぞれに筋が通っている。

転売業者側——Claude は中国では合法的に利用できないが、開発者は優れた AI プログラミングアシスタントを必要としている。需要は客観的に存在し、グレーマーケットはその自然な産物だ。銭子藍の調査に触れられている見落とされがちな細部がある。中継站のユーザーには大学生、教授、フリーランスの開発者が含まれている——彼らは単により良いツールを使いたかっただけで、自分が同時にデータ労働者にもなっているとは考えもしなかった。

Anthropic 側——数十億ドルを投じて開発したモデルの能力を、競合他社が偽アカウントで大規模に蒸留しているのだ。誰だって反撃を考えるだろう。しかも彼らの視点では、中国プロキシのトラフィックには転売裁定取引と産業的蒸留が混在しており、正確に区別するのは確かに難しい。

しかし筆者が読者に注目してほしいのは別の層だ。AI グレーマーケットにおいて、商品化されているのは API 枠だけではない。あなたの質問の一つひとつ、コードの一行一行、推論コンテキストのすべてが、記録され、転売され、次の AI モデルの訓練に使われている可能性がある。70%割引を享受するその裏で、データこそが——あなたが支払っている目に見えない対価なのだ。

システム指示に隠された不可視の暗号については、Anthropic は取り除いた。しかしこの一件が残した問いは、解決したものより多い。あなたのプロジェクト全体を読み書きできるツールが何かを隠し始めたとき、信頼は一体どこから生まれるのか。


参考リンク:


題図出典:TechTimes / Anthropic