El mecanismo realizaba tres pasos completamente del lado del cliente, sin notificación alguna al usuario :
Sondeo del entorno. Claude Code verificaba la variable de entorno ANTHROPIC_BASE_URL. Si apuntaba a un endpoint no oficial —por ejemplo, un relé API de terceros o un proxy de «estación de transferencia china»—, el código comparaba el endpoint con una lista codificada y ofuscada de 147 dominios de empresas tecnológicas chinas: Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI (Kimi), MiniMax, StepFun y otras . La lista de dominios estaba disfrazada mediante codificación Base64 y ofuscación XOR con clave 91, lo que dificultaba su localización con herramientas de búsqueda de cadenas comunes
.
Codificación en el prompt del sistema. Una vez identificado un proxy vinculado a China, el código alteraba silenciosamente el prompt del sistema enviado a los servidores de Anthropic en cada solicitud posterior. Cambiaba una línea común —«Today's date is 2026-06-30.»— mediante sutiles sustituciones de caracteres y cambios en el formato de la fecha para codificar la zona horaria del usuario, la ruta del proxy y la probable afiliación al laboratorio de IA . Se trata de un método esteganográfico: oculta datos a simple vista para que el modelo (y los servidores de Anthropic) puedan leerlos, pero el usuario no.
Invisible para el usuario. Todo el proceso ocurría sin ninguna indicación en la interfaz de usuario, sin registro visible para el usuario final y sin divulgación en notas de la versión o documentación . Múltiples analistas independientes confirmaron que el mecanismo era real, describiéndolo como un «canal encubierto» dentro del prompt del sistema
. El indicador más amplio
ANTI_DISTILLATION_CC visible en la filtración del código fuente anterior indicaba a la API de Anthropic que inyectara silenciosamente marcas de agua antidestilación en las respuestas, lo que sugiere que esto formaba parte de un marco antiuso indebido más amplio .
Tras el estallido de la controversia, Anthropic reconoció la función y comenzó a retirarla . La empresa la calificó de «experimento antiabuso» destinado a combatir los extendidos proxies API del mercado gris —conocidos en la comunidad de desarrolladores china como «Zhongzuanzhan» o «estaciones de transferencia de China»— que permiten a los desarrolladores chinos acceder a Claude por aproximadamente el 10% del precio oficial a través de relés no autorizados
. Anthropic declaró que el objetivo era detectar y bloquear la destilación y el acceso no autorizado, no espiar a los usuarios. Sin embargo, los críticos lo calificaron de «código espía» y plantearon serias dudas sobre la privacidad, la transparencia y la ética de la huella digital encubierta de los usuarios
.
Apenas una semana antes de que se hiciera pública la filtración de Claude Code, Anthropic envió una carta al Congreso de EE.UU. alegando que Alibaba y su laboratorio de IA Qwen llevaron a cabo el mayor ataque de «destilación» conocido contra Claude. Según la carta, revisada por múltiples medios de comunicación, operadores afiliados a Alibaba utilizaron unas 25.000 cuentas fraudulentas para realizar aproximadamente 28,8 millones de interacciones con Claude desde el 22 de abril hasta el 5 de junio de 2026, extrayendo sistemáticamente las capacidades del modelo para entrenar sus propios modelos rivales . Anthropic calificó esta campaña de «descarada» e «ilegal»
. Esta acusación explica directamente por qué Anthropic creó la huella digital esteganográfica: era una medida defensiva contra el tipo exacto de extracción masiva que simultáneamente acusaba a Alibaba de llevar a cabo.
No era la primera acusación de Anthropic sobre destilación china. En febrero de 2026, Anthropic había acusado a DeepSeek, Moonshot AI y MiniMax de crear más de 24.000 cuentas falsas y generar más de 16 millones de intercambios con Claude . La acusación contra Alibaba fue la mayor hasta la fecha.
El 12 de junio de 2026, el Departamento de Comercio de EE.UU., en virtud de las Regulaciones de Administración de Exportaciones (EAR), ordenó a Anthropic desactivar inmediatamente sus dos modelos más avanzados —Claude Fable 5 y Claude Mythos 5— lanzados apenas tres días antes. El gobierno citó problemas de seguridad nacional por un presunto jailbreak . Anthropic cumplió, suspendiendo ambos modelos a nivel mundial porque no podía distinguir de forma fiable a los ciudadanos extranjeros de los usuarios nacionales en tiempo real
.
Luego, el 30 de junio de 2026 —el mismo día que estalló la controversia de Claude Code—, la administración Trump levantó los controles de exportación y Anthropic comenzó a restaurar Fable 5 y Mythos 5 .
Estos eventos forman un patrón coherente en una sola semana extraordinaria:
El CEO de Anthropic, Dario Amodei, ha señalado repetidamente el acceso chino a los modelos de IA de frontera estadounidenses como una amenaza existencial para la seguridad nacional de EE.UU. , y la controversia del código oculto sugiere que la empresa ha estado dispuesta a llegar a extremos extraordinarios —de forma encubierta y sin el consentimiento del usuario— para defenderse de ello.