Anthropic은 2026년 4월 출시된 클로드 코드 v2.1.91부터 중국 연결 프록시를 사용하는 개발자의 시간대, 프록시 경로, AI 연구소 연관성 등을 시스템 프롬프트에 은밀히 인코딩하는 스테가노그래피 방식을 도입했다. 해당 코드는 환경 변수를 확인해 중국 기술 기업의 147개 도메인 목록과 대조한 후, 시스템 프롬프트의 날짜 정보를 미세하게 변경해 정보를 전송하는 방식으로 사용자에게 전혀 노출되지 않았다.

Create a landscape editorial hero image for this Studio Global article: Search & fact-check with cited sources for What hidden code did Anthropic add to Claude Code starting in version 2.1.86 to fingerprint China. Article summary: ## The Hidden Code in Claude Code. Topic tags: general, general web, user generated, news. Style: premium digital editorial illustration, source-backed research mood, clean composition, high detail, modern web publication hero. Use reference image context only for broad subject, composition, and topical grounding; do not copy the exact image. Avoid: logos, brand marks, copyrighted characters, real person likenesses, fake screenshots, UI text, readable text, watermarks, charts with fake numbers, clickbait thumbnails, icons, and tiny thumbnail layouts. Make it useful as an illustrative visual, not as factual evidence.
2026년 6월 30일, 개발자이자 연구원인 AdnaneKhan이 검증된 분석 보고서를 발표하면서 Anthropic이 클로드 코드(Claude Code)에 중국과 연결된 사용자를 은밀히 식별하는 숨겨진 스테가노그래피 코드를 심어두었다는 사실이 드러났습니다 . 이 발견은 거대한 논란을 불러일으켰고, X(구 트위터) 계정 @IntCyberDigest의 초기 게시물은 24시간 만에 150만 회 이상 조회되었습니다
. 결국 Anthropic은 이를 '남용 방지 실험'이라称하며 해당 기능을 인정하고 되돌리기 시작했습니다. 그러나 이 숨겨진 코드 스캔들은 2026년 6월 한 주 동안 터져 나온 Anthropic과 중국 간의 세 가지 충돌 중 한 조각에 불과합니다. 나머지는 알리바바에 대한 대규모 모델 증류(model distillation) 공격 의혹, 그리고 미국 정부의 Anthropic 최첨단 AI 모델에 대한 수출 통제와 그 해제입니다.
이 기사에서는 무슨 일이 일어났는지, 숨겨진 코드가 어떻게 작동했는지, 그리고 이 세 가지 사건이 어떻게 연결되어 있는지 설명합니다.
은밀한 메커니즘은 v2.1.91(2026년 4월 2일 출시)부터 도입되었습니다. 그보다 앞서 2026년 3월 31일, v2.1.88 버전의 실수로 포함된 .map 디버그 파일(약 512,000줄의 타입스크립트 코드)이 유출되면서 ANTI_DISTILLATION_CC와 같은 컴파일 플래그가 포착되어 이러한 시스템의 존재가 처음 암시되었습니다 . 6월 30일, 분석 보고서가 발표되고 독립적으로 검증되면서 대중적 논란이 촉발되었습니다
.
해당 메커니즘은 클라이언트 측에서만, 사용자에게 어떠한 알림도 없이 세 단계로 작동했습니다 :
환경 탐색(Environment probing). 클로드 코드는 ANTHROPIC_BASE_URL 환경 변수를 확인했습니다. 만약 이것이 공식 엔드포인트가 아닌 곳(예: 타사 API 릴레이 또는 '중국 전송 스테이션' 프록시)을 가리키고 있다면, 코드는 해당 엔드포인트를 하드코딩된 147개 중국 기술 기업 도메인 목록(Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI(Kimi), MiniMax, StepFun 등)과 비교했습니다 . 이 도메인 목록은 Base64 인코딩과 키(key) 값 91의 XOR 연산으로 난독화되어 일반적인 문자열 검색 도구로 찾기 어렵게 만들었습니다
.
시스템 프롬프트에 인코딩(Encoding into the system prompt). 중국과 연결된 프록시가 식별되면, 코드는 이후 모든 요청에서 Anthropic 서버로 전송되는 시스템 프롬프트를 조용히 변경했습니다. 'Today's date is 2026-06-30.'이라는 단순한 한 줄을 미세한 문자 치환 및 날짜 형식 변경을 통해 사용자의 시간대, 프록시 경로, 추정 AI 연구소 정보를 인코딩했습니다 . 이는 스테가노그래피(steganographic) 방식으로, 모델(그리고 Anthropic 서버)은 읽을 수 있지만 사용자는 인지할 수 없도록 데이터를 겉으로 보기엔 평범한 텍스트에 숨깁니다.
사용자에게 보이지 않음(Invisible to the user). 전체 과정은 UI 표시, 사용자에게 보이는 로깅, 릴리즈 노트 또는 문서화가 전혀 없이 이루어졌습니다 . 여러 독립 분석가들이 이 메커니즘의 존재를 확인하며 이를 시스템 프롬프트 내의 '은밀한 채널(covert channel)'이라고 묘사했습니다
. 이전 소스코드 유출에서 보였던 더 광범위한
ANTI_DISTILLATION_CC 플래그는 Anthropic의 API가 응답에 모델 증류 방지 워터마크를 은밀히 주입하도록 지시했음을 시사하며, 이는 더 큰 남용 방지 프레임워크의 일부였음을 보여줍니다 .
논란이 불거진 후, Anthropic은 해당 기능을 인정하고 되돌리기 시작했습니다 . 회사는 이것이 중국 개발자 커뮤니티에서 '중전잔(Zhongzuanzhan)' 또는 '차이나 트랜스퍼 스테이션(China Transfer Stations)'으로 알려진 불법 API 프록시 시장에 대응하기 위한 '남용 방지 실험'이었다고 밝혔습니다. 이러한 프록시는 중국 개발자들이 공식 가격의 약 10%만으로 승인되지 않은 릴레이를 통해 Claude에 접근할 수 있게 해줍니다
. Anthropic은 목표가 사용자를 감시하는 것이 아니라 모델 증류(distillation) 및 무단 접근을 탐지하고 차단하는 것이었다고 주장했습니다. 그러나 비평가들은 이를 '스파이웨어 같은 코드(spyware-like code)'라고 부르며 프라이버시, 투명성, 은밀한 사용자 지문인식의 윤리성에 대한 심각한 우려를 제기했습니다
.
클로드 코드 유출이 공개되기 불과 일주일 전, Anthropic은 알리바바(Alibaba)와 그 Qwen AI 연구소가 자사의 Claude AI 모델을 대상으로 '사상 최대 규모의 모델 증류 공격'을 실행했다고 미국 의회에 보내는 서한을 발송했습니다. 여러 언론이 검토한 이 서한에 따르면, 알리바바와 연계된 운영자는 약 25,000개의 사기 계정을 사용하여 2026년 4월 22일부터 6월 5일까지 약 2,880만 번의 상호작용을 통해 Claude의 기능을 체계적으로 추출하여 자체 경쟁 모델을 훈련시켰습니다 . Anthropic은 이를 '뻔뻔스럽고(brazen)' '불법적인(unlawful)' 캠페인이라고 규정했습니다
. 이번 의혹은 Anthropic이 왜 스테가노그래피 지문인식 시스템을 구축했는지를 직접적으로 설명해줍니다. 이는 자신들이 동시에 알리바바를 고발하고 있는 바로 그 대규모 모델 추출 행위에 대한 방어 수단이었기 때문입니다.
이번이 Anthropic이 중국의 모델 증류를 비난한 첫 번째 사례는 아닙니다. 2026년 2월, Anthropic은 중국 AI 기업 딥시크(DeepSeek), 문샷 AI(Moonshot AI), 미니맥스(MiniMax)가 24,000개 이상의 가짜 계정을 만들어 1,600만 건 이상의 상호작용을 통해 자사 모델을 추출했다고 비난한 바 있습니다 . 알리바바에 대한 이번 비난은 그중에서도 가장 규모가 큰 것입니다.
2026년 6월 12일, 미국 상무부는 수출관리규정(EAR)에 따라 Anthropic에 새로 출시된 지 사흘 만인 최첨단 모델 클로드 Fable 5와 클로드 Mythos 5를 즉시 사용 중단하라고 명령했습니다. 정부는 국가 안보상의 이유로 이 모델들이 '해킹 위험(jailbreak)'에 노출될 가능성이 있다고 주장했습니다 . Anthropic은 이에 따라 두 모델을 전 세계적으로 사용 중단했습니다. 당시 회사는 실시간으로 외국인과 국내 사용자를 확실히 구분할 수 없었기 때문입니다
.
그러던 2026년 6월 30일, 클로드 코드 논란이 터진 바로 그날, 트럼프 행정부는 이 수출 통제를 해제했고, Anthropic은 Fable 5와 Mythos 5 서비스를 복원하기 시작했습니다 .
이 모든 사건들은 한여름의 단 일주일 동안 벌어진 일관된 패턴을 형성합니다:
Anthropic의 CEO 다리오 아모데이(Dario Amodei)는 중국의 미국 최첨단 AI 모델 접근을 미국 국가 안보에 대한 실존적 위협으로 반복해서 지적해 왔습니다 . 이번 숨겨진 코드 논란은 회사가 이를 막기 위해 사용자 동의 없이 은밀하게 비상식적인 방법까지 동원할 의사가 있음을 보여줍니다.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Anthropic은 2026년 4월 출시된 클로드 코드 v2.1.91부터 중국 연결 프록시를 사용하는 개발자의 시간대, 프록시 경로, AI 연구소 연관성 등을 시스템 프롬프트에 은밀히 인코딩하는 스테가노그래피 방식을 도입했다.
Anthropic은 2026년 4월 출시된 클로드 코드 v2.1.91부터 중국 연결 프록시를 사용하는 개발자의 시간대, 프록시 경로, AI 연구소 연관성 등을 시스템 프롬프트에 은밀히 인코딩하는 스테가노그래피 방식을 도입했다. 해당 코드는 환경 변수를 확인해 중국 기술 기업의 147개 도메인 목록과 대조한 후, 시스템 프롬프트의 날짜 정보를 미세하게 변경해 정보를 전송하는 방식으로 사용자에게 전혀 노출되지 않았다.
이 숨겨진 코드 발견(6월 30일)은 알리바바의 대규모 모델 증류 공격 의혹 제기(6월 24 25일) 및 미국의 클로드 Fable 5/Mythos 5 수출 통제 해제(6월 30일)와 같은 날 터져 나와 미중 AI 갈등의 세 가지 전선이 동시에 폭발했다.