Het mechanisme voerde drie stappen volledig aan de clientzijde uit, zonder enige melding aan de gebruiker :
Omgevingsonderzoek. Claude Code controleerde de omgevingsvariabele ANTHROPIC_BASE_URL. Als deze naar een niet-officieel endpoint wees – bijvoorbeeld een API-relay van derden of een proxy van een zogenaamd 'China Transfer Station' – vergeleek de code het endpoint met een vaste, verborgen lijst van 147 Chinese techbedrijfsdomeinen: Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI (Kimi), MiniMax, StepFun en anderen . De domeinlijst was verborgen met Base64-codering en XOR-obfuscatie met sleutel 91, waardoor het moeilijk te vinden was met gewone zoekopdrachten naar tekstreeksen
.
Codering in de systeemprompt. Zodra een China-gelinkte proxy was geïdentificeerd, wijzigde de code stilletjes de systeemprompt die bij elk volgend verzoek naar de servers van Anthropic werd gestuurd. Het veranderde een enkele, onopvallende regel – 'Today's date is 2026-06-30.' – door subtiele tekenwijzigingen en aanpassingen in de datumnotatie. Zo werd de tijdzone van de gebruiker, de proxyroute en de vermoedelijke AI-lab-affiliatie gecodeerd . Dit is een steganografische methode: ze verbergt gegevens in het zicht, zodat het model (en de servers van Anthropic) het kunnen lezen, maar de gebruiker niet.
Onzichtbaar voor de gebruiker. Het hele proces vond plaats zonder enige zichtbare indicatie in de gebruikersinterface, zonder logboekregistratie die de eindgebruiker kon zien, en zonder vermelding in release notes of documentatie . Meerdere onafhankelijke analisten bevestigden dat het mechanisme echt was en omschreven het als een 'covert channel' in de systeemprompt
. De bredere
ANTI_DISTILLATION_CC-vlag die zichtbaar was in het eerdere bronlek, gaf de API van Anthropic de opdracht om ongemerkt anti-distillatie-watermerken in reacties te injecteren. Dit suggereert dat het deel uitmaakte van een breder anti-misbruik-kader .
Nadat de controverse losbarstte, erkende Anthropic de functie en begon het bedrijf deze terug te draaien . Het bedrijf omschreef het als een 'anti-misbruik-experiment' dat bedoeld was om de wijdverbreide grijze-markt-API-proxies – in de Chinese ontwikkelaarsgemeenschap bekend als 'Zhongzuanzhan' of 'China Transfer Stations' – te bestrijden. Via deze proxies hebben Chinese ontwikkelaars toegang tot Claude voor ongeveer 10% van de officiële prijs, via niet-geautoriseerde relays
. Anthropic verklaarde dat het doel was om distillatie en ongeautoriseerde toegang te detecteren en te blokkeren, niet om gebruikers te bespioneren. Critici noemden het echter 'spyware-achtige code' en uitten grote zorgen over privacy, transparantie en de ethiek van stiekeme gebruikerstracking
.
Slechts een week voordat het Claude Code-lek openbaar werd, stuurde Anthropic een brief aan het Amerikaanse Congres waarin het Alibaba en zijn Qwen AI-lab beschuldigde van de grootste bekende 'distillatie'-aanval op Claude. Volgens de brief, die door meerdere nieuwsmedia werd ingezien, gebruikten operators die aan Alibaba zijn gelieerd ongeveer 25.000 frauduleuze accounts om ongeveer 28,8 miljoen interacties met Claude uit te voeren, van 22 april tot 5 juni 2026. Hierbij werden systematisch de mogelijkheden van het model onttrokken om hun eigen concurrerende modellen te trainen . Anthropic omschreef deze campagne als 'brutaal' en 'onrechtmatig'
. Deze beschuldiging verklaart direct waarom Anthropic de steganografische vingerafdrukken bouwde: het was een verdedigingsmaatregel tegen precies het soort massale extractie waarvan het tegelijkertijd Alibaba beschuldigde.
Dit was niet de eerste keer dat Anthropic Chinese bedrijven beschuldigde van distillatie. In februari 2026 had Anthropic DeepSeek, Moonshot AI en MiniMax beschuldigd van het opzetten van meer dan 24.000 nepprofielen en het genereren van meer dan 16 miljoen uitwisselingen met Claude . De beschuldiging aan het adres van Alibaba was de grootste tot nu toe.
Op 12 juni 2026 gaf het Amerikaanse Ministerie van Handel, onder de Export Administration Regulations (EAR), Anthropic de opdracht om onmiddellijk de toegang tot zijn twee meest geavanceerde modellen – Claude Fable 5 en Claude Mythos 5 – uit te schakelen. Deze waren slechts drie dagen eerder gelanceerd. De overheid noemde nationale veiligheidsrisico's vanwege een vermeende 'jailbreak' . Anthropic voldeed aan het bevel en schortte beide modellen wereldwijd op, omdat het bedrijf niet betrouwbaar onderscheid kon maken tussen buitenlandse en binnenlandse gebruikers in realtime
.
Vervolgens werd op 30 juni 2026 – dezelfde dag dat de Claude Code-controverse losbarstte – de exportbeperking door de regering-Trump opgeheven en begon Anthropic met het herstellen van de toegang tot Fable 5 en Mythos 5 .
Deze gebeurtenissen vormen een coherent patroon in één buitengewone week:
Anthropic-CEO Dario Amodei heeft herhaaldelijk gewaarschuwd dat Chinese toegang tot Amerikaanse 'frontier AI'-modellen een existentiële bedreiging vormt voor de Amerikaanse nationale veiligheid . De controverse rond de verborgen code suggereert dat het bedrijf bereid is buitengewone stappen te nemen – stiekem en zonder toestemming van de gebruiker – om zich hiertegen te verdedigen.