在一名安全研究人员发现 AI 编码助手使用未公开的标记来识别某些用户的位置、代理使用以及与中国 AI 实验室的可能链接后,Anthropic 已从 Claude Code 中删除了隐藏的跟踪系统。
该功能于 6 月由开发者“Thereallo”发现,该功能在 Claude Code 的系统提示中嵌入信号,可以标记 Anthropic 认为正在绕过限制或试图提取模型功能的用户。
“Anthropic 可能想要检测 API 经销商、未经授权的 Claude Code 网关以及‘蒸馏攻击’管道模型,”Thereallo 写道。 “指向已知经销商域的自定义 ANTHROPIC_BASE_URL 是一个有用的信号。包含 deepseek 或 zhipu 的主机名也是一个有用的信号。”
Thereallo 表示,Anthropic 尝试检测经销商、未经授权的 Claude Code 网关和潜在的蒸馏攻击是有道理的,但批评了其做法,指出 Claude Code 使用 Unicode 标记和编码域列表在系统提示中隐藏了跟踪信号,而不是通过文档或发行说明披露系统。
“这不是恶意功能,但对于需要信任的开发人员工具来说,这是一个奇怪的选择,”Thereallo 写道。
追踪器在网上曝光后,Anthropic 工程师 Thariq Shihipar 在 X 上表示,它于 3 月份推出,作为一项“实验”,旨在阻止未经授权的经销商滥用帐户并保护 Claude 免受蒸馏攻击。
“从那时起,团队已经采取了更强有力的缓解措施,实际上我们已经打算将其删除一段时间了,”Shihipar 上周写道。 “我们合并了 [拉取请求],这应该会在明天的版本中完全回滚。”
此消息发布之际,Anthropic 加大了对人工智能模型蒸馏的警告力度,即一个系统的输出用于训练另一个模型。虽然这种做法在人工智能研究中很常见,但当涉及到地缘政治时,蒸馏就成为一个国家安全问题。本月早些时候,阿里巴巴禁止员工使用 Claude Code,出于安全考虑,称该工具为“高风险”软件。
2 月份,Anthropic 指控中国人工智能开发商 DeepSeek、Moonshot AI 和 MiniMax 使用欺诈账户提取数百万个 Claude 响应来训练竞争模型。这些说法遭到了批评者的反对,他们质疑这种做法与整个人工智能行业使用的方法有何不同。
4 月份,Elon Musk 作证表示 xAI 在训练 Grok 时“部分”使用了 OpenAI 模型,并称蒸馏是一种更广泛的行业实践。 6 月,Anthropic 首席执行官 Dario Amodei 敦促国会加强对外国人工智能提取的保护,此前指控阿里巴巴关联运营商使用近 25,000 个欺诈账户生成了 2880 万个 Claude 交易。
Anthropic 没有立即回复 Decrypt 的置评请求。
