Các nhà nghiên cứu bảo mật đã phát hiện ra rằng Claude Code đã và đang sử dụng các điểm đánh dấu giấu tin (steganographic markers) được nhúng trong các lời nhắc hệ thống (system prompts) để âm thầm theo dõi và nhận dạng dấu vân tay (fingerprint) người dùng:
Thao túng chuỗi ngày tháng: Claude Code âm thầm thay đổi dòng ngày tháng trong lời nhắc hệ thống — chẳng hạn như chuyển đổi giữa dấu nháy đơn cong và dấu nháy đơn thẳng trong từ "Today's," và hoán đổi dấu phân cách ngày tháng từ dấu gạch ngang thành dấu gạch chéo — tùy thuộc vào URL cơ sở API mà người dùng đã cấu hình . Những biến thể Unicode gần như vô hình này hoạt động như các điểm đánh dấu theo dõi.
Định vị proxy và vị trí địa lý: Khi biến môi trường ANTHROPIC_BASE_URL được đặt thành một điểm cuối không phải của Anthropic, công cụ này đã mã hóa tên máy chủ proxy dựa trên một danh sách các đối thủ cạnh tranh đã được làm nhiễu bằng toán tử XOR . Các điểm đánh dấu ẩn này kiểm tra xem lưu lượng truy cập có được định tuyến qua các phòng thí nghiệm AI của Trung Quốc, các nhà bán lại proxy, hay có liên quan đến Trung Quốc hay không
.
Phát hiện người dùng Trung Quốc (phiên bản 2.1.91): Phiên bản Claude Code 2.1.91, phát hành ngày 2 tháng 4 năm 2026, đã bí mật nhúng logic phát hiện người dùng Trung Quốc thông qua kỹ thuật giấu tin trong lời nhắc hệ thống, được phát hiện bởi người dùng Reddit LegitMichel777 . Kỹ thuật này liên quan đến việc hoán đổi dấu nháy đơn và định dạng ngày tháng để mã hóa dữ liệu vị trí mà người dùng không thể nhìn thấy
.
Phạm vi và thời gian tồn tại: Mã nhận dạng dấu vân tay này đã có mặt trong hơn 90 phiên bản của Claude Code mà không được tiết lộ , kéo dài ít nhất ba tháng trước khi bị công khai vào ngày 30 tháng 6 năm 2026
.
Tờ Washington Post đưa tin rằng mục đích rõ ràng của Anthropic là 'vạch mặt các đối thủ Trung Quốc mà công ty nghi ngờ đã chiếm đoạt công nghệ của mình để làm cho các công cụ AI của họ thông minh hơn' — tức là phát hiện hành vi chưng cất mô hình (model distillation) hoặc sử dụng API trái phép bởi các công ty Trung Quốc .
Phản ứng của Anthropic diễn ra theo hai giai đoạn:
1. Về kỹ thuật giấu tin (đầu tháng 7 năm 2026): Sau khi phát hiện này được công khai vào ngày 30 tháng 6, Anthropic xác nhận họ đang loại bỏ mã giấu tin ẩn và thu hồi tính năng theo dõi . Công ty mô tả đây là một 'thí nghiệm chống lạm dụng' nhằm phát hiện việc sử dụng API trái phép và hành vi chưng cất mô hình từ các đối thủ cạnh tranh Trung Quốc
. Anthropic cho biết việc theo dõi này không nhằm mục đích giám sát người dùng mà là để bảo vệ khỏi hành vi đánh cắp tài sản trí tuệ.
2. Về cảnh báo 'cửa hậu' của NVDB (ngày 8-9 tháng 7 năm 2026): Đáp lại cảnh báo bảo mật chính thức của Trung Quốc, Anthropic đã phản pháo bằng cách tuyên bố rằng người dùng tại Trung Quốc chưa bao giờ được ủy quyền sử dụng Claude Code và họ đã truy cập công cụ này một cách vi phạm các điều khoản dịch vụ . Về cơ bản, công ty lập luận rằng 'cửa hậu' bị cáo buộc thực chất là một biện pháp đối phó với những người dùng trái phép, những người vốn dĩ không nên có quyền truy cập vào phần mềm
.
Bối cảnh quan trọng: Sự việc này đã gây ra một phản ứng dây chuyền ở cấp độ doanh nghiệp. Alibaba đã ban hành lệnh cấm sử dụng Claude Code trên toàn bộ lực lượng lao động của mình vào ngày 10 tháng 7 năm 2026, với lý do mã theo dõi ẩn . Vụ việc được coi là một mặt trận mới trong căng thẳng AI Mỹ-Trung liên quan đến sở hữu trí tuệ, bảo mật mô hình và niềm tin vào chuỗi cung ứng
.