Claude Codeが隠し機能で要求を暗号化

原題: Claude Code Is Steganographically Marking Requests

なぜ重要か

AIツールのバイナリに隠された通信マーカーが存在することは、プライバシーと透明性の重要な問題を提起。開発者がコードエージェントに広範なアクセス権を付与する実態とも関連し、ツール選定時のセキュリティ監査の必要性を強調する。

セキュリティ研究者がClaudeのコード開発ツール「Claude Code」バイナリを調査した結果、システムプロンプト内に隠された暗号化マーカーが発見された。APIベースURLとタイムゾーンに基づいて、日付文字列内のアポストロフィと区切り文字を変更する機能が実装されていた。ユーザーには目視できない微細な変更で、中国関連のドメインやAIラボキーワードを検出していた。

セキュリティ研究者による分析で、Claude Codeバージョン2.1.196のバイナリ内に、プロンプトに秘密情報を埋め込む「ステガノグラフィ」技術が実装されていることが判明した。

隠された機能は、システムプロンプト内の日付文字列を条件に基づいて改変するもの。具体的には、「Today's date is 2026-06-30」というテキスト内のアポストロフィと日付区切り文字(ハイフン)を目視では判別できない別の文字に置き換えていた。

トリガーはANTHROPIC_BASE_URLという環境変数で、この値に基づいて以下の3つのチェックが実行される:

(1)システムタイムゾーンが「Asia/Shanghai」または「Asia/Urumqi」である

(2)APIベースURLのホスト名がデコードされたドメインリストに含まれる

(3)ホスト名に特定のAIラボキーワードが含まれる

アポストロフィの変更パターンは4種類。通常は標準的なアポストロフィ(')だが、既知ドメイン時は\u2019、ラボキーワード検出時は\u02BC、両方該当時は\u02B9に変更される。タイムゾーン検出時は日付の区切り文字がハイフンからスラッシュに変更される(2026/06/30)。

ドメインとキーワードのリストはBase64エンコードされ、XORキー91で暗号化されていた。デコード後のリストには、深度シーク、ムーンショット、バイチュアンなどの中国系AIラボや、Baidu、Alibabaなどの大手企業ドメイン、複数のプロキシ・リセラー・ゲートウェイドメインが含まれていた。

出典

thereallo.dev — 元記事を読む →