@ClaudeDen opererer i en "omgivende" modus, og følger kontinuerlig med på samtaler, lærer seg konteksten i kanalen og kan ta initiativ til å flagge oppdateringer eller oppgaver . Tilgangene er begrenset til kanalen den befinner seg i, ikke til den enkelte brukeren. Administratorer kan dermed konfigurere ulike verktøy, datatilganger og kostnadsrammer for hver kanal
.
I kulissene kjører hver Claude Tag-økt på Opus 4.8-modellen i en Linux-mikroVM administrert av Anthropic. Påkoblingsinformasjonen oppbevares utenfor VM-en, nettverkstilgangen går via en proxy, og verktøyene er skrivebeskyttet for isolasjon . Kanalbruk faktureres organisasjonen til API-priser, ikke per sete – noe som snur opp ned på tradisjonell prising av programvare
.
Tego AIs funn står ikke alene. Det forsterkes av to andre store hendelser i midten av 2026 som til sammen avslører en krise for sikkerheten til KI-agenter i næringslivet.
Den 30. juni 2026 reverserte den uavhengige forskeren "Thereallo" Claude Code og oppdaget obfuskert JavaScript som i stillhet fingeravtrykket brukernes geografiske plassering (via tidssonesjekker) og endret systemprompter med like-enda-unicode-tegn – en krøllparentes i stedet for en rett, en skråstrek i stedet for en bindestrek – for å skape et sporingsmerke som Anthropics backend kunne oppdage . Kinas nasjonale sårbarhetsdatabase (NVDB) utstedte en formell "bakdør"-sikkerhetsvarsel 8. juli for Claude Code-versjonene 2.1.91 til 2.1.196
. Alibaba forbød Claude Code internt kort tid etter
. Anthropic kalte det et "anti-misbruks-eksperiment" og fjernet sporingen 1. juli
.
Model Context Protocol (MCP)-infrastrukturen som ligger til grunn for Claude Tag og mange andre KI-agenter, har vist seg å inneholde systemiske designfeil. Sentrale funn fra 2026:
exec() eller shell-injeksjon, og 13 % involverer sti-gjennomgang Bedrifter som tar i bruk Claude Tag og lignende KI-agentverktøy, står overfor en trippel trussel: injeksjonsangrepsflater i utløsermekanismen (Tego AIs funn), uoversiktlig sporing på leverandørsiden (Claude Code-sporingen) og fundamentalt usikre infrastrukturinnstillinger i MCP-økosystemet som forbinder agener med verktøy og data.
Identitets- og tilgangskontrollproblemer forplanter seg raskt når en permanent agent som Claude Tag har omfattende verktøytilgang og kan utløses av forfalskede omtaler . Tradisjonell API-styring er utilstrekkelig for agentiske arbeidsflyter fordi agener ikke følger per-bruker-tillatelsesmodeller eller forespørsel-svar-mønstre
. Forsyningskjederisikoen er enorm: en sårbarhet i MCP-referanseimplementeringen forplanter seg til alle nedstrømsinstallasjoner
. Åpenhet og revisjonsmulighet er fortsatt kritiske problemer – Claude Code-sporingen var obfuskert i minimert JavaScript og ble bare oppdaget gjennom ekstern reversering. Det betyr at bedrifters sikkerhetsteam ikke kan stole på at leverandører selv opplyser om slike forhold
.
Regulatorisk opptrapping er allerede i gang, med Kinas NVDB som utsteder varsler på statlig nivå og bedrifter som Alibaba innfører totalforbud . Helhetsbildet er at sikkerheten til KI-agenter i bedrifter i 2026 krever en helt ny tilnærming – en som behandler permanente agener som kritisk infrastruktur med strenge identitets-, tilgangs- og forsyningskjederutiner.
@Claude selv fra automatiserte kilder, noe som muliggjør injeksjonsangrep