環境プローブ。Claude CodeはANTHROPIC_BASE_URL環境変数をチェックしました。これが非公式のエンドポイント——例えばサードパーティのAPIリレーや「中国転送ステーション」プロキシ——を指している場合、コードはそのエンドポイントをハードコードされ難読化された147の中国テック企業ドメイン(百度、阿里巴巴、アント・グループ、字节跳动(バイトダンス)、月之暗面(Moonshot AI、Kimi)、MiniMax、StepFunなど)のリストと比較しました。ドメインリストはBase64エンコードとXOR鍵91による難読化で偽装され、通常の文字列検索ツールでは発見が困難でした
。
システムプロンプトへのエンコード。中国リンクのプロキシが特定されると、コードはその後のすべてのリクエストでAnthropicのサーバーに送信されるシステムプロンプトをひそかに改変しました。それは「今日の日付は2026-06-30です」という1行を、微妙な文字置換と日付形式の変更を通じて変更し、ユーザーのタイムゾーン、プロキシ経路、およびAIラボの所属をエンコードするものでした。これはステガノグラフィ方式で、モデル(およびAnthropicのサーバー)は読み取れるがユーザーには気づかれないよう、データを目に見える形で隠します。
ユーザーから不可視。プロセス全体はUI表示ゼロ、エンドユーザーに見えるロギングなし、リリースノートやドキュメントでの開示なしで行われました。複数の独立分析者がこのメカニズムを確認し、システムプロンプト内の「隠れチャネル」と表現しました
。以前のソースリークで見られたより広範な
ANTI_DISTILLATION_CCフラグは、AnthropicのAPIが応答に蒸留防止の透かしを静かに注入するよう指示しており、これがより広範な不正利用対策フレームワークの一部であったことを示唆しています。
論争噴出後、Anthropicはこの機能を認め、ロールバックを開始しました。同社はこれを、中国の開発者コミュニティで「中转站」(Zhongzuanzhan)として知られるグレーマーケットのAPIプロキシ——中国の開発者が不正リレーを通じて公式価格の約10%でClaudeにアクセスできるようにするもの——と戦うための「不正利用対策実験」と位置づけました
。Anthropicは目的はスパイではなく、蒸留と不正アクセスの検出とブロックだったと述べています。しかし批評家はこれを「スパイウェアのようなコード」と呼び、プライバシー、透明性、そして隠密なユーザーフィンガープリンティングの倫理について重大な懸念を表明しました
。
Claude Codeリークが公になるわずか1週間前、Anthropicは米国議会に書簡を送り、阿里巴巴とそのQwen AIラボがClaudeに対する最大の「蒸留」攻撃を実行したと非難しました。複数のニュースメディアが確認したこの書簡によると、阿里巴巴に関連する事業者が約25,000の不正アカウントを使用して、2026年4月22日から6月5日までに約2880万回のインタラクションをClaudeと行い、システム的にモデル機能を抽出して自社の競合モデルを訓練したとされています。Anthropicはこれを「厚かましい」「違法な」キャンペーンと表現しました
。この非難は、Anthropicがステガノグラフィックなフィンガープリンティングを構築した理由を直接説明しています——それは、同時に実行していると非難していたまさにその種の大規模抽出に対する防御策だったのです。
これはAnthropicによる中国の蒸留に対する最初の非難ではありません。2026年2月、AnthropicはDeepSeek、Moonshot AI、MiniMaxが24,000以上の偽アカウントを設定し、1,600万以上のやり取りを生成したと非難していました。阿里巴巴非難はこれまでで最大のものです。
2026年6月12日、米国商務省は輸出管理規則(EAR)に基づき、Anthropicに対し、わずか3日前に発売された2つの最先端モデル——Claude Fable 5とClaude Mythos 5——を直ちに無効にするよう命令しました。政府は主張された脱獄(ジェイルブレイク)に関して国家安全保障上の懸念を理由に挙げました。Anthropicはこれに従い、国内外のユーザーをリアルタイムで確実に区別できなかったため、両モデルを全世界で停止しました
。
これらの出来事は、異例の1週間にわたって一貫したパターンを形成しています: