Anthropic、Claude Codeの秘匿監視をめぐり批判に直面
Anthropicは、コーディングツールClaude Codeに搭載されていた隠れた監視機能を撤回している。この仕組みは公開されると、透明性とユーザーの信頼をめぐって批判を招いた。The Decoderが提供した元記事によると、この機能は、アクティブなプロキシを使う一部のユーザーが中国にいるように見えるか、中国のURLを経由しているか、中国のAI研究所に接続しているかを、ひそかに確認していたという。
この騒動が注目されるのは、コードが何をしたとされるかだけではなく、どのようにそれを行ったと報じられているかにもある。元記事によれば、システムはツールのシステムプロンプトにほとんど判別できない変更を加えることでシグナルを送っていた。これは通常のユーザーが簡単には検出できないステガノグラフィーの一種だ。この設計により、本来なら単純なポリシー適用の仕組みで済んだはずのものが、ローカルアクセス権の広いAI開発ツール内部での秘匿テレメトリをめぐる、より大きな議論へと発展した。
隠し機能が何を確認していたのか
The Decoderの元記事によると、この機能は2026年4月2日に公開されたClaude Code 2.1.91から存在していた。報告によれば、中国関連のアクセスパターンに結びつくいくつかの指標を探していたという。具体的には、システムのタイムゾーンがAsia/ShanghaiまたはAsia/Urumqiに一致するか、プロキシURLが中国のドメインを指しているか、接続が中国のAI研究所に結びついているように見えるか、といった点だ。
これらの確認結果は、目に見えるログやプロンプトに直接出すのではなく、微妙な書式変更にエンコードされていたとされる。提供された本文では、Claude Codeが日付の書式を変えたり、“Today’s date is.” というフレーズで使うアポストロフィの文字まで切り替えたりしていたという。ユーザーにはプロンプトが変わっていないように見えるが、内部的にはそれらの差分がAnthropicに読める隠しシグナルになっていた可能性がある。
また、関連コードはキー91を使ったXOR暗号で難読化されており、軽く見ただけでは見つけにくかったとも報じられている。元記事によれば、2.1.91のリリースノートにはこの確認処理の記載はなかった。
なぜ公開が強い反発を招いたのか
最も厳しい批判は、同意と信頼に集中した。Claude Codeは受動的な一般消費者向けアプリではない。提供された本文によれば、ファイルシステムとシェルへのフルアクセスを持つ開発ツールだ。そうした文脈では、システムのプロパティやプロキシ設定を調べる非公開の仕組みは、とりわけセンシティブに見える。
元記事で引用されたRedditユーザーは、ユーザーの知らないところでシステムデータやプロキシデータを秘匿送信することを、信頼に対する根本的な違反だと表現した。問題は機能が存在することだけではなく、明確に文書化された適用フローではなく、プロンプトレベルの隠しシグナルを使っていた点にあった。AIツールを評価する開発者や企業チームにとって、この違いは重要だ。何を検査し、何を送信し、なぜそうするのかについての透明性は、セキュリティ上の目的そのものと同じくらい重要であることが多い。
元記事は実務上の異議も指摘している。つまり、この仕組みは熟練した攻撃者なら比較的簡単に回避できた可能性があり、信頼コストが技術的利益を上回るのではないかという疑問が生じる。秘匿チェックがそれほど苦労せずに回避できるなら、その影響は高度な悪用者よりも一般ユーザーに強く及ぶかもしれない。
Anthropicの説明
提供された本文によると、Claude Codeチームで働くAnthropic社員のThariq Shihiparは、X上でこの機能を、認可されていない再販業者によるアカウント悪用を防ぎ、蒸留を防御するための実験だと説明した。また、チームはより強力な対策をすでに実装しており、以前の仕組みを削除する予定だったとも述べている。
この説明が重要なのは、この問題を長期的な製品方針ではなく、暫定的なセキュリティ制御として位置づけているからだ。元記事によれば、Anthropicはすでにこの機能を削除するためのプルリクエストをマージしており、翌日のリリースでロールバックされる見込みだった。この見立てでは、隠しプロンプトシグナルは恒久的または許容可能な標準として擁護されていたのではなく、役目を終えた実験的措置として扱われていた。
それでもなお、この説明は今回の出来事が露呈させた統治上の問題を消すものではない。セキュリティチームは、リスクが高い時期には一時的な制御を正当化することが多い。しかし、その制御が開発者向けツールの内部で見えない形で動作するなら、社内レビュー、開示、監査に求められる基準ははるかに高くなる。
より広い地政学的背景
The Decoderの元記事は、この監視問題を、より広い政策上・競争上の文脈に位置づけている。提供された本文によると、Anthropicは国家安全保障上の理由から、中国では自社モデルを提供していない。一方で、多くの中国人開発者が海外の電話番号やクレジットカードを使ってClaudeにアクセスしているともされている。
さらに、Anthropicは以前、DeepSeek、Moonshot AI、MiniMax、Alibabaを含む複数の中国AI企業が、自社モデルの訓練にClaudeの出力を無断で利用したと非難したと報じられている。こうした懸念が同社の脅威モデルの一部であるなら、プロキシや所在地に結びつくアクセスパターンが注視された理由の説明にもつながる。
この背景は重要だが、製品としての是非を決めるには十分ではない。AI企業は今や、商用ソフトウェア、輸出管理、プラットフォーム悪用防止、モデル保護戦略の交差点で事業を行っている。ある目的のために設計された措置が、別の場所で新たな責任を生むことは珍しくない。とくに、そのツールがユーザーのシステムや開発ワークフローのすぐそばで動作する場合はなおさらだ。
なぜ一つの機能を超えて重要なのか
この出来事は、AIインフラにおけるより深い緊張関係を示している。モデル提供者は、不正、無断再販、学習データの抽出を止めたい。一方でユーザーは、予測可能に動作し、監視の挙動を明確に開示する高性能なツールを求めている。AIコーディングアシスタントがより強力なローカル権限を得るにつれ、この緊張はさらに強まるだろう。
したがって、Claude Codeで起きたことは、単なる短期的な製品上の失態以上の意味を持つ。高度なAIツールが満たすべき基準についての初期警告なのだ。Webサービスでは見逃されていたかもしれない隠し制御も、ローカル環境を調べてコマンドを実行できるソフトウェアでは正当化しにくい。
市場全体にとっての教訓は明快だ。開発者向けAIツールのセキュリティ機能は、可視的で、レビュー可能で、対処する脅威に見合ったものでなければならない。Anthropicによるとされるロールバックはこの個別の章を閉じるかもしれないが、仕事にますます組み込まれるシステムから、ユーザーがどこまで見えない強制を受け入れるのかという、より大きな議論を終わらせるものではない。
この記事はThe Decoderの報道に基づいています。元記事を読む。
Originally published on the-decoder.com

