- Claude Codeが、接続経路に応じてシステムプロンプトの「日付の書き方」をこっそり変えていたと指摘されました
- 目印は目に見えないUnicode文字。ハイフンとスラッシュの違いや、アポストロフィーの種類で見分ける仕組みです
- 狙いは、無許可の再販業者や中国系AIラボなど「特殊な接続経路」の検出でした
- 発見したのは個人開発者のThereallo氏。Hacker Newsで605ポイントを集める大きな話題になりました
- Anthropicは「3月に始めた実験だった」と認め、この仕組みを削除すると表明しました
あなたが毎日使っているAIツールが、あなたの「接続経路」をこっそり記録していたら、どう感じますか?
2026年6月末、そんな話題がエンジニアの間で一気に広がりました。舞台は、AI開発ツール「Claude Code」です。目に見えない文字を使った巧妙な仕組みが見つかり、AIツールの透明性が問われています。この記事では、何が起きたのか、どんな手口だったのかを、やさしく解説します。
何が起きたのか?Claude Codeの「隠し追跡」問題
まず、事件のあらましから見ていきます。
Claude Codeは、AnthropicというAI企業が提供するプログラミング支援ツールです。多くのエンジニアが、コードを書くときの相棒として使っています。
2026年6月30日、個人開発者のThereallo氏が、このツールの中身(プログラムのファイル)を分解して調べました。すると、奇妙な仕掛けが見つかったのです。
Claude Codeは、AIに指示を送るときに「システムプロンプト」という文章を一緒に送っています。これは「今日は何日です」といった前提情報を伝える、いわば下準備の文章です。
問題は、この文章の中の「日付の書き方」でした。ユーザーの接続経路によって、書式がこっそり書き換えられていたのです。
Thereallo氏はこの発見を自身のブログで公開しました。すると、エンジニア向け掲示板「Hacker News」で605ポイント・190件のコメントを集め、あっという間に注目の的になりました。
どうやって追跡していたのか(技術のしくみ)
ここが今回の話のいちばん面白いところです。使われていたのは「ステガノグラフィー(データを別のデータの中に隠す技術)」という手法でした。
ぱっと見ではまったく気づけません。順番に見ていきましょう。
日付の区切り文字を変える
1つ目は、日付の区切り文字です。
ふだんは「2026-06-30」のように、ハイフン(横棒)で区切られています。ところが特定の条件では、これが「2026/06/30」のようにスラッシュ(斜め線)に変わっていました。
たとえば、パソコンのタイムゾーンが「Asia/Shanghai(上海)」や「Asia/Urumqi(ウルムチ)」に設定されていると、書式が切り替わる仕組みだったと指摘されています。
アポストロフィーの種類をすり替える
2つ目は、もっと見破りにくい手口です。
システムプロンプトには「Today’s date is(今日の日付は)」という一文が入っています。この「Today’s」のアポストロフィー(右上の小さな記号)が、見た目はそっくりな別の文字に置き換えられていました。
具体的には、標準の「’」が「’(U+2019)」「ʼ(U+02BC)」「ʹ(U+02B9)」といったUnicode文字に差し替えられていたのです。人間の目にはすべて同じ記号に見えます。
でもコンピューターにとっては、まったくの別物です。この文字の組み合わせで、接続経路の情報を伝えていたというわけです。
対象リストは暗号のように隠されていた
3つ目は、対象となるドメイン(接続先の住所)のリストです。
このリストは、そのまま見えないように「Base64」と「XOR」という方法で難読化(読みにくく加工すること)されていました。
つまり、ただの日付の文章に見える中に、判定結果がひっそり埋め込まれていたのです。手が込んでいますよね。
誰の、どんな接続経路を狙っていたのか
では、この仕組みは誰を見分けようとしていたのでしょうか。
カギになるのは「ANTHROPIC_BASE_URL」という設定です。これは、Claude Codeがどこのサーバーに接続するかを決める環境変数(プログラムの設定値)です。
大事なポイントがあります。この設定が空っぽ、または公式の「api.anthropic.com」を指している場合は、日付の書き換えは起きません。ふつうに使っている人には影響がなかったのです。
書き換えが起きるのは、公式とは違う独自の接続先を通しているときでした。具体的には、次のような経路が対象だったとされています。
- 社内ゲートウェイ(会社独自の中継サーバー)
- ローカルプロキシ(手元の中継ソフト)
- モデルルーター(複数AIを切り替える仕組み)
- 再販サービス(Claudeを転売する業者)
- 中国系のAIラボや企業のドメイン
Claude Codeのバージョンは2.1.196で確認されました。
Anthropicの言い分と対応
この件について、Anthropicはどう答えたのでしょうか。
Anthropicは、こうしたコードが実際に存在したことを認めました。そして、この仕組みを取り除く新しいバージョンを出すと表明しています。
Claude Codeチームのエンジニア、Thariq Shihipar氏は、次のように説明しました。「これは3月に始めた実験です。無許可の再販業者によるアカウントの悪用を防ぎ、蒸留(他社が自社AIの答えをコピーして学習すること)から守るためのものでした」。
つまり、目的そのものは「不正利用の防止」だったという主張です。修正版は2026年7月1日ごろに出す予定だと伝えられました。
ただし、Thereallo氏はこう指摘しています。本気で悪用しようとする相手なら、この仕組みは簡単に回避できます。結局いちばん影響を受けるのは、正当な理由で特殊な接続を使っている開発者だ、というのです。
他のAIツールと比べてどうなのか
「どのAIツールも同じことをしているの?」と気になりますよね。ここを整理します。
じつは、AI企業が不正利用を防ごうとすること自体は、めずらしくありません。多くのサービスが、アクセス元を記録したり、利用状況を分析したりしています。
ただ、今回が問題視されたのには理由があります。ポイントは「知らせずに、見えない形で」やっていたことです。
- 一般的なアクセス記録:利用規約に書かれ、ユーザーも存在を知っている
- オープンソースのツール:中身が公開され、誰でも仕組みを確認できる
- 今回のClaude Code:中身が非公開で、目に見えない文字を使い、説明もなかった
Claude Codeは、パソコンのファイルやコマンドに広くアクセスできる強力なツールです。だからこそ「見えない仕掛け」への不信感が強く出た、と言えます。Hacker Newsでも意見は真っ二つに割れました。
日本のユーザー・企業への影響
日本で使っている私たちには、どんな関係があるのでしょうか。
結論から言うと、公式のサーバーにそのまま接続している個人ユーザーは、直接の影響はほぼありません。書き換えは、独自の接続先を使うときだけ起きていたからです。
気をつけたいのは、企業での使い方です。日本の会社でも、セキュリティのために「社内ゲートウェイ」を通してAIツールを使うケースが増えています。
こうした構成だと、今回の仕組みの対象になっていた可能性があります。自社のAI利用が、意図せず外部から見分けられていた、ということも考えられるのです。
今回の一件は、日本企業にとっても大事な教訓になります。AIツールを社内に入れるときは、「何を外部に送っているか」を確認する姿勢がこれまで以上に大切になりそうです。
よくある質問(FAQ)
Q1. ふつうにClaude Codeを使っていた私も追跡されていたの?
公式の「api.anthropic.com」にそのまま接続していたなら、日付の書き換えは起きません。対象は、独自の接続先を通していた場合に限られます。
Q2. ステガノグラフィーって何ですか?
データを、別のデータの中にこっそり隠す技術です。今回は「日付の文章」の中に、目に見えない目印を隠していました。暗号とは違い、「隠していること自体を気づかせない」のが特徴です。
Q3. なぜ日付の書式なんかで見分けられるの?
ハイフンとスラッシュの違いや、そっくりなアポストロフィーの種類など、文字の組み合わせを使えば複数の情報を表せます。人間には同じに見えても、コンピューターは別の文字として読み取れるからです。
Q4. この問題はもう解決したの?
Anthropicは仕組みの存在を認め、削除すると表明しました。修正版は2026年7月1日ごろに出すとされています。ただ、透明性のあり方をめぐる議論は続いています。
Q5. 私は何か対策をすべき?
個人利用なら、まずはClaude Codeを最新版に更新しておけば十分です。企業で独自の接続経路を使っている場合は、AIツールが外部に何を送っているかを一度確認すると安心です。
まとめ
今回の出来事を、要点で振り返ります。
- Claude Codeが、接続経路に応じて日付の書式をこっそり変え、目印を付けていたと指摘された
- 手口は「ステガノグラフィー」。目に見えないUnicode文字で情報を隠していた
- 狙いは無許可の再販業者や中国系AIラボなど、特殊な接続経路の検出だった
- 公式サーバーにそのまま接続する一般ユーザーには影響がなかった
- Anthropicは「3月に始めた実験」と認め、仕組みを削除すると表明した
AIツールは便利ですが、その裏側で何が動いているかは意外と見えません。まずは、あなたが使っているAIツールを最新版に保ち、「何を外部に送っているか」に少し関心を向けることから始めてみましょう。
参考文献
- GIGAZINE「Claude Codeがユーザーの接続経路を『日付の書式を変更する』という手法で記録していたとの指摘」(2026年7月1日)
- Thereallo「Claude Code Is Steganographically Marking Requests」(原典ブログ)
- The Register「Anthropic is removing its covert code for catching Chinese competitors」(2026年7月1日)
- TechTimes「Claude Code Hid Proxy Fingerprints in System Prompts: Anthropic Promises Fix」(2026年7月1日)
- Hacker News ディスカッション「Claude Code is steganographically marking requests」

