Identificação por proxy e localização: Quando a variável de ambiente ANTHROPIC_BASE_URL era configurada para um endpoint que não era da Anthropic, a ferramenta codificava o nome do host do proxy em uma lista ofuscada por XOR de concorrentes . Os marcadores ocultos verificavam se o tráfego estava sendo roteado por laboratórios de IA chineses, revendedores de proxy ou, de outra forma, ligado à China
.
Detecção de usuários chineses (versão 2.1.91): A versão 2.1.91 do Claude Code, lançada em 2 de abril de 2026, incorporava secretamente uma lógica de detecção de usuários chineses via esteganografia em seu prompt de sistema, exposta pelo usuário do Reddit LegitMichel777 . A técnica envolvia a troca de apóstrofos e formatos de data para codificar dados de localização não visíveis aos usuários
.
Escopo e duração: O código de identificação estava presente em mais de 90 versões do Claude Code sem divulgação pública , abrangendo pelo menos três meses antes da exposição pública em 30 de junho de 2026
.
O Washington Post noticiou que o objetivo aparente da Anthropic era "desmascarar os rivais chineses que a empresa suspeitava de sequestrar sua tecnologia para tornar suas próprias ferramentas de IA mais inteligentes" — ou seja, detectar a destilação de modelos ou o uso não autorizado da API por empresas chinesas .
A resposta da Anthropic teve duas fases:
1. Sobre a esteganografia (início de julho de 2026): Após a descoberta se tornar pública em 30 de junho, a Anthropic confirmou que estava removendo o código de esteganografia oculto e revertendo a funcionalidade de rastreamento . A empresa descreveu a prática como um "experimento antidistilação" destinado a detectar o uso não autorizado da API e a destilação de modelos por concorrentes chineses
. A Anthropic disse que o rastreamento não era destinado à vigilância do usuário, mas para proteger contra roubo de propriedade intelectual.
2. Sobre o alerta de backdoor da NVDB (8-9 de julho de 2026): Em resposta ao alerta formal de segurança da China, a Anthropic rebateu afirmando que usuários na China nunca foram autorizados a usar o Claude Code e estavam acessando a ferramenta em violação aos seus termos de serviço . A empresa argumentou, efetivamente, que o suposto "backdoor" era uma contramedida contra usuários não autorizados que não deveriam ter tido acesso ao software
.
Contexto importante: O incidente desencadeou uma resposta corporativa mais ampla — a Alibaba proibiu o Claude Code em toda a sua força de trabalho em 10 de julho de 2026, citando o código de rastreamento oculto . O episódio é amplamente visto como uma nova frente nas tensões de IA entre EUA e China, envolvendo propriedade intelectual, segurança de modelos e confiança na cadeia de suprimentos
.