Anthropic enfrenta reação negativa por monitoramento clandestino no Claude Code
A Anthropic está revertendo um recurso oculto de monitoramento em sua ferramenta de programação Claude Code depois que o mecanismo foi exposto publicamente e recebeu críticas sobre transparência e confiança do usuário. Segundo o texto-fonte fornecido pelo The Decoder, o recurso verificava discretamente se alguns usuários com proxies ativos pareciam estar localizados na China, se passavam por URLs chinesas ou se estavam conectados a laboratórios de IA chineses.
A controvérsia é notável não apenas pelo que o código supostamente fazia, mas por como ele teria feito isso. O texto-fonte diz que o sistema transmitia sinais por meio de mudanças quase imperceptíveis no prompt do sistema da ferramenta, uma forma de esteganografia que usuários comuns não conseguiam detectar facilmente. Essa escolha de design transformou o que poderia ter sido um mecanismo direto de aplicação de políticas em um debate maior sobre telemetria oculta dentro de uma ferramenta de desenvolvimento de IA com amplo acesso local.
O que o recurso oculto supostamente verificava
O texto-fonte do The Decoder diz que o recurso estava presente desde a versão 2.1.91 do Claude Code, lançada em 2 de abril de 2026. Ele supostamente procurava vários indicadores associados a padrões de acesso ligados à China. Entre eles estavam se o fuso horário do sistema correspondia a Asia/Shanghai ou Asia/Urumqi, se uma URL de proxy apontava para domínios chineses e se a conexão parecia ligada a um laboratório de IA chinês.
Em vez de mostrar essas verificações diretamente em registros ou prompts visíveis, o software supostamente codificava os resultados em mudanças sutis de formatação. O texto fornecido diz que o Claude Code alterava a formatação da data e até trocava o caractere de apóstrofo usado na frase “Today’s date is.” Para os usuários, o prompt parecia inalterado. Internamente, porém, essas variações podiam carregar um sinal oculto legível pela Anthropic.
O relatório também diz que o código relevante foi ofuscado com criptografia XOR usando a chave 91, o que dificultava percebê-lo em uma inspeção casual. Segundo o texto-fonte, as notas de lançamento da versão 2.1.91 não mencionavam a verificação.
Por que a divulgação gerou fortes reações
A crítica mais dura se concentrou em consentimento e confiança. O Claude Code não é um aplicativo passivo de consumo. É uma ferramenta de desenvolvimento que, segundo o texto fornecido, tem acesso total ao sistema de arquivos e ao shell. Nesse contexto, qualquer mecanismo não divulgado que examine propriedades do sistema ou configuração de proxy parece especialmente sensível.
O usuário do Reddit citado no texto-fonte caracterizou a transmissão clandestina de dados do sistema e do proxy sem conhecimento do usuário como uma violação fundamental de confiança. O argumento não era apenas que o recurso existia, mas que ele usava sinalização oculta no nível do prompt em vez de um fluxo de aplicação claramente documentado. Para desenvolvedores e equipes corporativas que avaliam ferramentas de IA, essa distinção importa. A transparência sobre o que está sendo inspecionado, o que está sendo transmitido e por quê costuma ser tão importante quanto o próprio objetivo de segurança.
O texto-fonte também observa uma objeção prática: o mecanismo pode ter sido fácil de contornar por atacantes habilidosos, levantando dúvidas sobre se os custos de confiança superavam o benefício técnico. Se uma verificação clandestina pode ser burlada sem muita dificuldade, o efeito restante pode recair mais fortemente sobre usuários comuns do que sobre abusadores sofisticados.
A explicação da Anthropic
Segundo o texto fornecido, Thariq Shihipar, funcionário da Anthropic que trabalha na equipe do Claude Code, descreveu o recurso no X como um experimento destinado a impedir abuso de contas por revendedores não autorizados e a proteger contra distilação. Ele também disse que a equipe havia implementado mitigações mais fortes e já planejava remover o mecanismo anterior.
A resposta relatada é importante porque enquadra a questão como controles de segurança temporários, e não como política de produto de longo prazo. A Anthropic, segundo o texto-fonte, já havia mesclado um pull request para remover o recurso, com a reversão prevista para a versão do dia seguinte. Nessa versão, os sinais ocultos no prompt não eram defendidos como uma norma permanente ou aceitável, mas tratados como uma medida experimental que já havia passado do ponto de utilidade.
Mesmo assim, a explicação não elimina o problema de governança revelado pelo episódio. Equipes de segurança frequentemente justificam controles temporários durante períodos de risco elevado. Mas, quando esses controles operam de forma invisível dentro de ferramentas usadas por desenvolvedores, o nível exigido para revisão interna, divulgação e auditoria se torna muito maior.
O pano de fundo geopolítico mais amplo
O texto-fonte do The Decoder situa a questão do monitoramento dentro de um contexto político e competitivo mais amplo. A Anthropic não oferece seus modelos na China por motivos de segurança nacional, segundo o texto fornecido. Ao mesmo tempo, muitos desenvolvedores chineses são descritos como acessando o Claude por meio de números de telefone e cartões de crédito estrangeiros.
O relatório também diz que a Anthropic já acusou várias empresas chinesas de IA, incluindo DeepSeek, Moonshot AI, MiniMax e Alibaba, de usar saídas dos modelos Claude sem permissão para treinar seus próprios modelos. Se essa preocupação faz parte do modelo de ameaça da empresa, isso ajuda a explicar por que padrões de acesso ligados a proxy e localização atraíram escrutínio.
Esse contexto é importante, mas não suficiente para encerrar a questão do produto. Empresas de IA operam cada vez mais na interseção entre software comercial, controles de exportação, prevenção de abuso de plataforma e estratégia de proteção de modelos. Medidas criadas para um objetivo podem gerar novas responsabilidades em outros lugares, especialmente quando a ferramenta em questão roda próxima aos sistemas do usuário e aos fluxos de trabalho de desenvolvimento.
Por que isso importa além de um único recurso
O episódio ilustra uma tensão mais profunda na infraestrutura de IA. Fornecedores de modelos querem impedir fraude, revenda não autorizada e extração de dados de treinamento. Os usuários querem ferramentas capazes, previsíveis e que divulguem com clareza seu comportamento de monitoramento. À medida que assistentes de código com IA ganham privilégios locais mais poderosos, essa tensão tende a se intensificar.
O que aconteceu com o Claude Code é, portanto, mais do que um constrangimento passageiro de produto. É um alerta inicial sobre os padrões que se espera que ferramentas avançadas de IA cumpram. Controles ocultos que talvez passassem despercebidos em um serviço web são mais difíceis de justificar em software que pode inspecionar ambientes locais e executar comandos.
Para o mercado mais amplo, a lição é direta: recursos de segurança em ferramentas de IA voltadas a desenvolvedores precisam ser visíveis, auditáveis e proporcionais à ameaça que pretendem enfrentar. O recuo relatado pela Anthropic pode encerrar este capítulo específico, mas não acabará com o debate maior sobre quanto de aplicação invisível os usuários aceitarão de sistemas cada vez mais incorporados ao seu trabalho.
Este artigo é baseado na cobertura do The Decoder. Leia o artigo original.
Originally published on the-decoder.com

