検索
ニュース

「Claude Code」がスパイウェアに? AIの“パクリ”を防ぐ隠蔽コードの是非Alibabaの反論と対立する主張

開発を効率化するAIエージェントには、強力なシステム権限を持つことによる潜在的なリスクも伴う。Anthropicは自社のAIを守るため、「Claude Code」に検出システムを仕込んでいたという。何が起きていたのか。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 現代のAI開発において、最先端のAIモデルを構築するには膨大なコンピューティングリソースと資金が必要となる。このため、先行ベンダーのAIモデルが出力した高品質なデータを収集し、自社の安価なAIモデルに学習させる「モデル蒸留」と呼ばれる手法が、AI開発競争における深刻な課題となっている。

 こうした中、インターネット掲示板「Reddit」への開発者の投稿やサイバーセキュリティ専門メディア「Cyber Security News」の報道によって、Anthropicが提供する開発者向けCLI(コマンドラインインタフェース)ツール「Claude Code」の内部に、特定の利用条件を検出して同社に報告する隠蔽(いんぺい)されたソースコードが組み込まれていたことが明らかになった。

 自社の知的財産を保護するための防衛策だと推測されるが、この挙動の是非や仕様を巡り、開発者コミュニティーの間で議論が交わされている。通常の対話に見える裏側で、Claude Codeはどのように接続元を特定していたのか。その手口と、開発者の間で巻き起こった議論、Anthropicが下した決断を説明する。

プロキシ利用が判定のトリガーに

 Redditでの投稿と、それを検証したセキュリティ専門家の報告によると、Claude Codeの内部に仕込まれていた検出ロジックは、全てのエンドユーザーに対して無条件に実行されていたわけではない。このロジックが作動するのは、エンドユーザーがプロキシを使用しているか、環境変数「ANTHROPIC_BASE_URL」を用いてAPIの接続先をAnthropic公式サーバから別の中継サーバに書き換えている場合に限られていた。この条件が満たされた際に初めて、システムのタイムゾーンが「Asia/Shanghai」または「Asia/Urumqi」に設定されているかどうかの検証と、プロキシのURLが中国のドメインや既知のAIラボのリストに合致するかどうかを精査する仕組みだった。

 特筆すべき点は、検出した解析結果をAnthropicに送信する手段の巧妙さだ。テレメトリー(製品の利用状況やエラー情報を自動で収集・送信する仕組み)用データフィールドや専用回線を用いるのではなく、AIモデルに送信されるシステムプロンプトのテキストをひそかに改変する「ステガノグラフィー」と呼ばれる技術が用いられていた。

 具体的には、タイムゾーンなどの条件が検出対象と合致した場合、プロンプト内に自動挿入される日付の区切り文字を、標準のハイフン(2026-06-30)からスラッシュ(2026/06/30)に書き換える。さらに、接続元の属性に応じて、文中に含まれる「'(アポストロフィ)」を、肉眼では判別がほぼ不可能な、複数の異なるUnicode文字(「\u2019」「\u02BC」「\u02B9」など)に置き替える。人間の開発者には文字化けや不自然な改変として映らないまま、プロンプトを受信したAnthropicのサーバだけが機械的に接続元の属性を識別できるシステムを構築していたのだ。該当ロジックのソースコードはXOR処理(データを特定の規則で変換して隠す手法)によって難読化されており、プレーンテキストの文字列ダンプ(人間が読める文字列のみを抽出する解析)から容易に発見されないよう、意図的に隠蔽された痕跡も確認されている。

2880万回の蒸留疑惑とAlibabaの反論

 この防衛策が導入された背景には、米国主導のAIモデル開発に対する知的財産侵害への危機感がある。Bloombergなどの報道機関によると、Anthropicは米国上院銀行委員会に宛てた書簡の中で、Alibabaや同社のAI研究部門と結び付きのある攻撃グループが、約2万5000件の不正アカウントを組織的に運用し、合計2880万回以上に及ぶClaudeとのやりとりを実行したと指摘した。これを通じて、高度なソフトウェア生成能力やサイバーセキュリティ、推論能力といったAnthropicの核心的な技術価値をモデル蒸留によって不当に抽出し、自社のライバルモデルの開発に利用したと告発している。

 ただし、この巨額の被害を示す数値はあくまでAnthropicの一方的な主張である点に留意が必要だ。これに対し、名指しされたAlibabaは疑惑を公式に否定している。デジタル技術の専門メディア「Digital Applied」の報道によると、Alibabaは「独自のAIモデルを訓練するために、他社の商用AIモデルの出力データは使用していない」と反論し、自社のAIモデル開発は知的財産法に準拠していると主張した。本件に関する監督官庁や裁判所による公的な判断は、2026年6月末時点では下されておらず、双方の主張が対立しているため、独立した第三者機関による事実確認を含めて要調査のステータスにある。

スパイウェアか、正当な防衛か 二分する開発者の声

 この隠蔽コードの存在が露見した際、開発者コミュニティーで巻き起こった議論の様相は多面的だった。一部の開発者からは、事前の情報開示やリリースノートへの記載がないまま、Unicode文字の差異に情報を埋め込んで送信する手法に対し、透明性の欠如や信頼関係の毀損(きそん)を理由に、「スパイウェア」に該当する振る舞いであるとの厳しい非難が上がった。Claude CodeのようなAIコーディングツールは、ファイルシステムの編集やシェルコマンドの実行といった、広範かつ強力なシステムアクセス権限を要求するため、エンドユーザーの事前の同意がないまま情報を収集することは許されるべきではないという倫理的な反発が根底にある。

 しかし、Redditにおけるコミュニティーの議論を精査すると、このような批判的な意見は一部であり、Anthropicの措置を擁護・支持する声が幾つも挙がった。「本件は知的財産を守るための標準的なテレメトリーの範囲内であり、Webブラウザや一般的な商用ソフトウェアが日常的に実施している知的財産保護の仕組みと同じだ」という指摘があった。中国のAI研究機関による産業規模でのモデル蒸留や不正転売、APIの違法なミラーリングといった実態を処理するための手段として、隠密ではあるものの十分に理解できる合理的な防衛策だとの見方が大半を占めており、「結果としてAnthropicに対する信頼や支持がむしろ向上した」と表明するコメントも確認されている。

 ITニュースサイト「The Register」が報じたところでは、議論の過熱を受けて、Anthropicのエンジニアはコミュニティーに対し、当該のロジックは不正転売やモデル蒸留からの保護を目的として2026年3月に導入された「実験」だったと説明した。その後、強固な不正利用緩和策をシステムに導入したことを理由に、追跡コードを削除する修正が反映され、実際に修正版のリリースによってこの処理は除去されている。

 AI開発競争がグローバル規模で激化する中、最先端のAIモデルを提供する企業は、膨大な投資によって築いた自社の財産を守るための防衛策と、エンドユーザーが求める透明性やプライバシー確保との間で、緻密なかじ取りを求められている。開発者の作業を飛躍的に効率化するAIエージェントの利用が一般化するにつれて、AIエージェントがローカルシステムからどのような情報を取得し、どう処理するのかという合意形成の在り方は、今後の普及における最重要課題だ。AIベンダー各社は、セキュリティの確保と利用者の信頼維持という相反する要請を両立させる、新たな運用の確立を迫られている。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

ページトップに戻る