2026年6月30日にRedditへ投稿された一件の解析記事が、AI開発ツールを巡る米中間の緊張を新たな段階へ押し上げました。投稿者は、Anthropicが提供するコーディングエージェントのClaude Codeを解析し、ユーザーのシステムタイムゾーンやプロキシ設定から中国拠点かどうかを判定し、その結果を通信内容にひそかに埋め込んで送り返す挙動があると報告しています。
これを受けて中国の大手テック企業アリババグループは、2026年7月3日付の社内通知でClaude Codeをバックドアリスクを抱える高リスクソフトウェアに分類し、7月10日付で全従業員に利用禁止を通達したと複数の海外メディアが報じました。当サイトでは先日、Anthropicがアリババ傘下のAIラボQwen関連のオペレーターによる大規模な蒸留攻撃疑惑を米議会へ告発した件を取り上げましたが、今回の一件はその直後に発覚しており、両社の対立をさらに深める展開となっています。
サマリー
- 2026年6月30日、RedditのコミュニティであるClaudeAI上でユーザーがClaude Codeを解析し、2026年4月2日リリースのバージョン2.1.91以降に、システムタイムゾーンとプロキシ設定から中国拠点ユーザーやAIラボを検知する未公開のロジックが混入していたと報告した
- 検知結果は明示的な通信としてではなく、Anthropicサーバへ送り返すシステムプロンプト内の日付表記や句読点をわずかに変える、ステガノグラフィーに近い手法で埋め込まれていたとされる
- Anthropicのエンジニアはこの機能について、無断リセラーによるアカウント濫用や蒸留攻撃を防ぐために2026年3月に導入した実験的な仕組みだったとX(旧Twitter)上で説明し、2026年7月1日付で削除するプルリクエストをマージ済みと述べた
- アリババは2026年7月3日付の社内通知でClaude Codeを高リスクソフトウェアに分類し、7月10日付で全従業員に利用禁止を通達したと南華早報(サウスチャイナ・モーニング・ポスト)が報道。自社製ツールQoderへの移行を推奨し、一部報道ではAnthropic製品全般の削除も指示されたとされる
- アリババ自身はメディアの取材に公式回答しておらず、報道は内部通知や関係者証言をもとにしたものにとどまる
- 発覚の時期は、Anthropicが2026年6月10日に米上院銀行委員会へ送付したアリババQwen関連の蒸留攻撃疑惑の告発と重なっている
- 本稿執筆時点で、第三者のセキュリティ機関による技術的な検証・監査は公表されていない
| 項目 | 内容 |
|---|---|
| 発覚の端緒 | 2026年6月30日、Reddit(r/ClaudeAI)へのユーザー投稿 |
| 対象製品・バージョン | Anthropic Claude Code、バージョン2.1.91(2026年4月2日リリース)以降 |
| 疑惑の内容 | システムタイムゾーンとプロキシ設定から中国拠点ユーザー・AIラボを検知し、システムプロンプトの表記を微調整して検知結果をAnthropicサーバへ送信 |
| Anthropicの説明 | 無断リセラーによるアカウント濫用や蒸留攻撃を防ぐため2026年3月に導入した実験的機能。2026年7月1日付で削除済み |
| アリババの対応 | 2026年7月3日付の社内通知で高リスクソフトウェアに分類、7月10日付で全社利用禁止、自社ツールQoderへの移行を推奨 |
| 公式確認の状況 | アリババはメディアの取材に公式回答せず、報道は内部通知・関係者証言が根拠 |
| 独立検証の有無 | 本稿執筆時点で第三者セキュリティ機関による技術監査は未公表 |
| 背景 | Anthropicが2026年6月10日に米議会へ提出したアリババQwen関連の蒸留攻撃疑惑の告発文書 |
発覚の経緯と現在の状況
発端は、Redditのr/ClaudeAIコミュニティにLegitMichel777と名乗るユーザーが投稿した解析記事でした。
投稿者によると、Claude Codeの無効化されたリモート制御機能を復元しようとする過程で難読化されたコードに行き当たり、これを解析したところ、2026年4月2日リリースのバージョン2.1.91から release note に記載のないまま組み込まれていた検知ロジックが見つかったとしています。
このロジックは、利用者のシステムタイムゾーンが上海やウルムチに設定されているか、またプロキシの接続先URLがアリババ・百度・Ant Group・字節跳動(バイトダンス)・Moonshot AIといった中国の企業やAIラボに紐づくドメインのハードコードされたリストと一致するかを確認するものだったと説明されています。
この報告を受けて2026年7月3日、アリババは社内通知の中でClaude Codeについて、包括的な評価の結果バックドアリスクを抱えることが判明したため高リスクソフトウェアのリストに追加したという趣旨の説明を行い、代替として自社製のコーディングエージェントQoderの利用を推奨したと南華早報が報じています。
禁止措置は2026年7月10日付で発効するとされ、一部の中国メディアが関係者の話として伝えたところでは、Claude Codeにとどまらずソネット・オーパス・フェイブルといったAnthropicの各モデルファミリーについても、業務端末からの削除が指示されたとのことです。ロイターも独自の情報源をもとにこの禁止方針を裏付けていますが、アリババは現時点でメディアからの正式な取材には応じておらず、一連の報道は内部通知の文面や事情に詳しい関係者の証言にとどまっている点には注意が必要です。
検知ロジックの技術的な中身
解析記事によれば、該当のコードは鍵91を用いたXOR処理で難読化されており、静的解析による平文抽出をしにくくする細工が施されていたとされています。ネットワークエンジニアとして通信のふるまいを見てきた経験から言うと、興味深いのはこの検知結果の送信方法です。
判定にヒットした場合、通常のログや明示的なテレメトリ通信としてサーバへ送るのではなく、Anthropicのサーバへ返送するシステムプロンプト内の表記をわずかに書き換える形で信号を埋め込んでいたと報告されています。具体的には、日付の区切り文字がハイフンからスラッシュに変わったり、日付を示す文中のアポストロフィが、見た目には区別がつかないものの符号としては異なる複数のUnicode文字のいずれかに置き換えられたりする、という細工です。
人間の目には気づけないものの、Anthropic側のサーバーでは機械的に読み取れる形になっていたとされています。通常のプライバシーポリシーで開示される類のデータ収集とは異なり、利用者に気づかれないことを前提にした符号化である点が、コミュニティの反発を招いた大きな理由になっています。
コミュニティの反応とAnthropicの釈明
Claude Codeは開発者のローカルファイルシステムへの読み書きやコマンド実行を伴う深い権限を要求するツールです。セキュリティコミュニティでは、意図がどうであれこの水準のアクセス権を持つツールに利用者へ開示のない検知ロジックが仕込まれていたこと自体が信頼の根幹を揺るがす問題だという指摘が相次ぎました。加えて、こうしたタイムゾーンやプロキシ判定はある程度の技術力を持つ相手であれば容易に回避できるという実効性への疑問や、正当な利用者を含めて広く影響が及ぶ設計になっていたのではないかという懸念も示されています。中国のセキュリティ企業である火絨(Huorong Security)も、この件を単なる透明性の問題にとどまらず、越境データのコンプライアンス上の懸念として位置づけるコメントを出しています。
一方でAnthropic側は沈黙を貫いたわけではありません。Claude CodeチームのエンジニアであるThariq Shihipar氏がX上で、この仕組みは2026年3月に始めた実験的な取り組みであり、無断でAPIを転売するリセラーによるアカウント濫用や、モデルの蒸留を防ぐことを目的としていたという趣旨の説明を投稿しています。同氏は以前から撤去を検討していたとした上で、これを取り除くプルリクエストは2026年7月1日付で既にマージされていると述べました。この時期は奇しくも、米商務省の輸出規制指令によって一時全世界停止されていたClaude Fable 5・Claude Mythos 5へのアクセスが同じく7月1日に再開された時期と重なっており、Anthropicにとって対外的な発信が輻輳する時期の出来事だったことがうかがえます。
原因は蒸留攻撃を巡る対立にある
この一件の背景を理解するには、両社の間で数か月にわたり続いてきた対立を踏まえる必要があります。当サイトで既報の通り、Anthropicは2026年6月10日付で米上院銀行委員会に書簡を送り、アリババのAIラボQwenに関連するオペレーターが2026年4月22日から6月5日までの間に約2万5,000件の不正アカウントを使い、Claudeとの間で2,880万件を超えるやり取りを生成したと主張しました。Anthropicはこれを同社が把握する中で過去最大規模の蒸留攻撃だと位置づけていますが、アリババはこの疑惑を否定しており、詳細な反論は行っていません。
関連:Anthropicがアリババをホワイトハウスへ告発 -不正アカウントでClaudeから能力を不正抽出か – セキュリティ対策Lab
Anthropicはフロンティア企業の中でも中国関連事業者へのサービス提供を最も厳格に制限している企業とされており、海外に設立された子会社経由であっても中国資本の事業者へのアクセスを認めない方針を取っています。この方針こそが、そもそも中国の開発者がプロキシ経由でClaude Codeにアクセスせざるを得ない状況を生んでいる要因でもあり、プロキシを起点にした今回の検知ロジックが、中国の開発者から見れば自分たちを狙い撃ちにした仕組みのように映る背景になっています。Asia Society Policy Institute附属のシンクタンクに所属する中国分析の専門家は、米中のAI競争がすでに技術力の競争にとどまらず、アクセス制御や主権をめぐる争いへと移行していることをこの一件が示しているという趣旨のコメントを寄せています。第三者機関による技術的な検証がまだ行われていない以上、今回の検知ロジックが意図的な標的型の仕組みだったのか、あるいは行き過ぎた不正利用対策だったのかは、現時点では両論が併存する状態にあると理解しておくのが妥当です。
情報システム部門への示唆
今回の一件が情報システム部門に投げかける論点は、特定の1社の是非にとどまりません。Claude Codeに限らず、ローカルファイルシステムへの深いアクセス権やシェル実行権限を持つエージェント型のAI開発ツールは、ベンダーの知名度や信頼性にかかわらず、内部でどのような挙動をしているかを利用者側が完全に把握することが難しいという構造的な課題を抱えています。当サイトでは以前、Claude Codeのソースコードが漏洩した件も取り上げましたが、こうした事例が積み重なるほど、エージェント型AIツールの内部動作を利用者側でも継続的に監視する体制の必要性が高まっていると感じています。
自組織でClaude Codeに限らず類似のAIコーディングエージェントを利用している場合は、ツールが発する外部通信の宛先やタイミングを定期的に棚卸しし、ベンダーの利用規約やプライバシーポリシーに記載のない挙動がないかを確認する運用を組み込むことをお勧めします。あわせて、今回の疑惑自体はまだ独立機関による検証を経ていない段階にあるという点も見落とせません。断片的な報道だけで過剰に反応してツールの利用を一律に停止するのではなく、まずは自社が利用しているバージョンや設定を確認し、ベンダーからの公式な説明を注視する姿勢が現実的だと考えます。加えて、米中間のAI開発ツールを巡る分断がさらに進めば、海外拠点を持つ企業やサプライチェーン上に中国関連事業者を含む企業にとっては、利用するAIツールの選定そのものが事業継続計画上のリスク管理項目になっていく可能性がある、という点も念頭に置いておくとよいでしょう。
出典
- Alibaba bans Claude Code after Anthropic is caught tracking Chinese users with hidden code – TheNextWeb
- Alibaba bans Anthropic’s Claude Code after an alleged hidden China-detection backdoor is uncovered – Tom’s Hardware
- Alibaba to ban Claude Code over alleged backdoor risk, source says – TheNextWeb
- A world turned upside down: Alibaba accuses Anthropic of backdoor – Techzine Global
- Alibaba bans use of Anthropic’s Claude Code over alleged security risks – American Bazaar
- Claude Fable 5とMythosの輸出規制解除が確定-Anthropicが7月1日から全世界での提供を再開 – セキュリティ対策Lab
- AnthropicのClaude Code ソースコードが漏洩-概要やセキュリティへの影響 – セキュリティ対策Lab








