Proxy- och platsfingeravtryck: När miljövariabeln ANTHROPIC_BASE_URL var inställd på en icke-Anthropic-slutpunkt kodade verktyget in proxy-värdnamnet mot en XOR-dold lista över konkurrenter . De dolda markörerna kontrollerade om trafiken dirigerades via kinesiska AI-labb, proxy-återförsäljare eller på annat sätt var Kina-relaterad
.
Identifiering av kinesiska användare (version 2.1.91): Claude Code version 2.1.91, släppt den 2 april 2026, innehöll i hemlighet en logik för att identifiera kinesiska användare via steganografi i sin systemprompt, avslöjad av Reddit-användaren LegitMichel777 . Tekniken innebar att apostrofer och datumformat byttes ut för att koda platsspecifik information som inte var synlig för användarna
.
Omfattning och varaktighet: Fingeravtryckskoden fanns i över 90 versioner av Claude Code utan att ha avslöjats och sträckte sig över minst tre månader innan den offentligt exponerades den 30 juni 2026
.
Washington Post rapporterade att Anthropics uppenbara mål var "att avslöja de kinesiska rivaler som företaget misstänkte för att kapning av dess teknik för att göra sina egna AI-verktyg smartare" – det vill säga att upptäcka modellsdestillering eller obehörig API-användning av kinesiska företag .
Anthropics svar kom i två faser:
1. Om steganografin (början av juli 2026): Efter att upptäckten blev offentlig den 30 juni bekräftade Anthropic att man tog bort den dolda steganografikoden och rullade tillbaka spårningsfunktionen . Företaget beskrev det som ett "experiment mot missbruk" avsett att upptäcka obehörig API-användning och modellsdestillering från kinesiska konkurrenter
. Anthropic sade att spårningen inte var avsedd för användarövervakning utan för att skydda mot immaterialrättsstöld.
2. Om NVDB:s bakdörrsvarning (8–9 juli 2026): Som svar på Kinas formella säkerhetsvarning kontrade Anthropic med att användare i Kina aldrig var auktoriserade att använda Claude Code och att de hade haft tillgång till verktyget i strid med dess användarvillkor . Företaget argumenterade i praktiken för att den påstådda "bakdörren" var en motåtgärd mot obehöriga användare som inte borde ha haft tillgång till programvaran
.
Viktig kontext: Händelsen utlöste en bredare företagsreaktion – Alibaba förbjöd Claude Code för hela sin personalstyrka den 10 juli 2026, med hänvisning till den dolda spårningskoden . Episoden betraktas i stora drag som en ny front i de USA-Kina-relaterade AI-spänningarna kring immaterialrätt, modellsäkerhet och förtroende i leveranskedjan
.