Narzędzia AI coraz głębiej wnikają w codzienną pracę programistów – oferują pomoc w pisaniu kodu, zarządzaniu plikami i automatyzacji zadań. Jednak ostatnie odkrycie użytkownika Reddita o pseudonimie LegitMichel777 rzuca nowe światło na ciemną stronę tych rozwiązań. Claude Code, asystent programistyczny od Anthropic, od wersji 2.1.91 wydanej 2 kwietnia 2026 roku potajemnie sprawdzał, czy użytkownicy nie pochodzą z Chin. I robił to w sposób, który przez długi czas pozostawał niewidoczny dla większości osób.
Jak Claude Code potajemnie identyfikował chińskich użytkowników
Mechanizm wykrywania opierał się na kilku sprawdzeniach uruchamianych w tle. Narzędzie analizowało strefę czasową systemu – porównywało ją z wartościami „Asia/Shanghai” lub „Asia/Urumqi”. Następnie skanowało adres URL używanego proxy pod kątem chińskich domen oraz sprawdzało, czy użytkownik nie łączy się z serwerami chińskich laboratoriów AI. Dopiero po tych testach Claude Code podejmował decyzję o dalszym działaniu.
Steganografia w system prompt – niewidzialna sygnalizacja
Najbardziej zaskakujący był sposób przesyłania zebranych danych. Informacje o lokalizacji użytkownika były kodowane w subtelnych modyfikacjach system promptu – to klasyczna steganografia. Konkretnie, Claude Code zmieniał apostrof w zdaniu „Today’s date is” na inny, bardzo podobny znak typograficzny. Dla ludzkiego oka różnica jest niezauważalna, ale Anthropic mógł ją odczytać natychmiast po otrzymaniu danych. Dodatkowo narzędzie modyfikowało format daty, by przekazać jeszcze więcej informacji.
XOR i zacieranie śladów
Aby ukryć całą funkcję przed prostym przeszukiwaniem plików, Anthropic zastosował szyfrowanie XOR z kluczem 91. Dzięki temu kod odpowiedzialny za sprawdzanie nie pojawiał się w zwykłym zrzucie tekstowym narzędzia. W notatkach wydania (release notes) dla wersji 2.1.91 nie było o nim ani słowa. Odkrywca, LegitMichel777, podkreślił, że takie ukryte przesyłanie danych systemowych i proxy bez wiedzy użytkownika stanowi „fundamentalne naruszenie zaufania”.
„Fundamentalne naruszenie zaufania” – tak odkrywca LegitMichel777 określił ukryte monitorowanie w Claude Code.
Naruszenie zaufania czy uzasadniona ochrona?
Reakcja społeczności programistów była natychmiastowa i gwałtowna. Wielu uznało, że narzędzie z pełnym dostępem do systemu plików i powłoki (shell access) nie powinno w żaden sposób zbierać danych o lokalizacji – zwłaszcza w tak ukryty sposób. Argumentowano, że otwiera to drzwi do potencjalnych nadużyć, od zdalnej kontroli po kradzież danych. Co więcej, według odkrywcy, zabezpieczenie to jest trywialne do obejścia przez doświadczonych atakujących, co podważa jego sensowność.
Z drugiej strony, Anthropic ma uzasadnione obawy przed nieautoryzowanym wykorzystaniem swoich modeli. Firma wcześniej publicznie oskarżyła chińskie przedsiębiorstwa – DeepSeek, Moonshot AI, MiniMax i Alibaba – o używanie wyników Claude’a bez zgody do trenowania własnych modeli językowych. Zjawisko to, nazywane destylacją (knowledge distillation), stanowi poważne zagrożenie dla ochrony własności intelektualnej w branży AI. W tym kontekście próba identyfikacji użytkowników z Chin może być postrzegana jako środek ochronny, a nie inwigilacja.
Anthropic wycofuje funkcję – ale czy to wystarczy?
Thariq Shihipar, członek zespołu Claude Code, skomentował sprawę na platformie X. Opisał funkcję jako „eksperyment uruchomiony w marcu, który miał zapobiegać nadużyciom ze strony nieautoryzowanych odsprzedawców i chronić przed destylacją”. Przyznał, że od tego czasu zespół wdrożył silniejsze zabezpieczenia i od dawna planował usunąć to rozwiązanie. „Połączyliśmy odpowiedni pull request – funkcja powinna być całkowicie wycofana w jutrzejszej aktualizacji” – dodał Shihipar.
Jednak dla wielu użytkowników takie wyjaśnienie nie rozwiewa wątpliwości. Fakt, że ukryty kod działał przez kilka tygodni bez żadnej informacji w dokumentacji, podważa zaufanie do przejrzystości Anthropic. W sytuacji, gdy narzędzia AI coraz częściej mają dostęp do krytycznych zasobów systemowych, kwestia granic monitorowania staje się paląca. Czy firmy takie jak Anthropic mogą uzasadniać ukryte funkcje bezpieczeństwa „eksperymentem”, nie informując o tym użytkowników?
Geopolityka w kodzie – szerszy kontekst
Sprawa Claude Code nie jest odosobniona. W obliczu ograniczeń eksportowych i napięć technologicznych między USA a Chinami, wiele amerykańskich firm AI blokuje dostęp do swoich modeli z chińskich adresów IP. Anthropic nie oferuje swoich usług w Chinach ze względów bezpieczeństwa narodowego. Mimo to chińscy programiści często korzystają z Claude’a przez zagraniczne numery telefonów i karty kredytowe. Ukryty kod był właśnie próbą wykrycia tych nieoficjalnych użytkowników.
Z perspektywy użytkownika, który działa legalnie poza Chinami, taka kontrola jest niepokojąca. Narzędzie programistyczne nie powinno – bez jawnej zgody i informacji – analizować strefy czasowej ani adresów proxy. Incydent ten pokazuje, jak łatwo mechanizmy ochronne mogą przerodzić się w narzędzia masowej inwigilacji, zwłaszcza gdy są ukryte przed społecznością open source i recenzją kodu.
Reakcja Anthropic, choć szybka, nie zmienia faktu, że przez kilka tygodni każdy użytkownik Claude Code był potencjalnie skanowany. Dla branży AI to ważna lekcja: zaufanie buduje się przez transparentność, a nie przez steganografię. W świecie, gdzie narzędzia programistyczne mają dostęp do całego systemu, każda ukryta funkcja staje się zagrożeniem – niezależnie od intencji twórców.

