Claude Codeが日付で密かに追跡していた?

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube
  • Claude Codeが、接続経路に応じてシステムプロンプトの「日付の書き方」をこっそり変えていたと指摘されました
  • 目印は目に見えないUnicode文字。ハイフンとスラッシュの違いや、アポストロフィーの種類で見分ける仕組みです
  • 狙いは、無許可の再販業者や中国系AIラボなど「特殊な接続経路」の検出でした
  • 発見したのは個人開発者のThereallo氏。Hacker Newsで605ポイントを集める大きな話題になりました
  • Anthropicは「3月に始めた実験だった」と認め、この仕組みを削除すると表明しました

あなたが毎日使っているAIツールが、あなたの「接続経路」をこっそり記録していたら、どう感じますか?

2026年6月末、そんな話題がエンジニアの間で一気に広がりました。舞台は、AI開発ツール「Claude Code」です。目に見えない文字を使った巧妙な仕組みが見つかり、AIツールの透明性が問われています。この記事では、何が起きたのか、どんな手口だったのかを、やさしく解説します。

何が起きたのか?Claude Codeの「隠し追跡」問題

まず、事件のあらましから見ていきます。

Claude Codeは、AnthropicというAI企業が提供するプログラミング支援ツールです。多くのエンジニアが、コードを書くときの相棒として使っています。

2026年6月30日、個人開発者のThereallo氏が、このツールの中身(プログラムのファイル)を分解して調べました。すると、奇妙な仕掛けが見つかったのです。

Claude Codeは、AIに指示を送るときに「システムプロンプト」という文章を一緒に送っています。これは「今日は何日です」といった前提情報を伝える、いわば下準備の文章です。

問題は、この文章の中の「日付の書き方」でした。ユーザーの接続経路によって、書式がこっそり書き換えられていたのです。

Thereallo氏はこの発見を自身のブログで公開しました。すると、エンジニア向け掲示板「Hacker News」で605ポイント・190件のコメントを集め、あっという間に注目の的になりました。

どうやって追跡していたのか(技術のしくみ)

ここが今回の話のいちばん面白いところです。使われていたのは「ステガノグラフィー(データを別のデータの中に隠す技術)」という手法でした。

ぱっと見ではまったく気づけません。順番に見ていきましょう。

日付の区切り文字を変える

1つ目は、日付の区切り文字です。

ふだんは「2026-06-30」のように、ハイフン(横棒)で区切られています。ところが特定の条件では、これが「2026/06/30」のようにスラッシュ(斜め線)に変わっていました。

たとえば、パソコンのタイムゾーンが「Asia/Shanghai(上海)」や「Asia/Urumqi(ウルムチ)」に設定されていると、書式が切り替わる仕組みだったと指摘されています。

アポストロフィーの種類をすり替える

2つ目は、もっと見破りにくい手口です。

システムプロンプトには「Today’s date is(今日の日付は)」という一文が入っています。この「Today’s」のアポストロフィー(右上の小さな記号)が、見た目はそっくりな別の文字に置き換えられていました。

具体的には、標準の「’」が「’(U+2019)」「ʼ(U+02BC)」「ʹ(U+02B9)」といったUnicode文字に差し替えられていたのです。人間の目にはすべて同じ記号に見えます。

でもコンピューターにとっては、まったくの別物です。この文字の組み合わせで、接続経路の情報を伝えていたというわけです。

対象リストは暗号のように隠されていた

3つ目は、対象となるドメイン(接続先の住所)のリストです。

このリストは、そのまま見えないように「Base64」と「XOR」という方法で難読化(読みにくく加工すること)されていました。

つまり、ただの日付の文章に見える中に、判定結果がひっそり埋め込まれていたのです。手が込んでいますよね。

誰の、どんな接続経路を狙っていたのか

では、この仕組みは誰を見分けようとしていたのでしょうか。

カギになるのは「ANTHROPIC_BASE_URL」という設定です。これは、Claude Codeがどこのサーバーに接続するかを決める環境変数(プログラムの設定値)です。

大事なポイントがあります。この設定が空っぽ、または公式の「api.anthropic.com」を指している場合は、日付の書き換えは起きません。ふつうに使っている人には影響がなかったのです。

書き換えが起きるのは、公式とは違う独自の接続先を通しているときでした。具体的には、次のような経路が対象だったとされています。

  • 社内ゲートウェイ(会社独自の中継サーバー)
  • ローカルプロキシ(手元の中継ソフト)
  • モデルルーター(複数AIを切り替える仕組み)
  • 再販サービス(Claudeを転売する業者)
  • 中国系のAIラボや企業のドメイン

Claude Codeのバージョンは2.1.196で確認されました。

Anthropicの言い分と対応

この件について、Anthropicはどう答えたのでしょうか。

Anthropicは、こうしたコードが実際に存在したことを認めました。そして、この仕組みを取り除く新しいバージョンを出すと表明しています。

Claude Codeチームのエンジニア、Thariq Shihipar氏は、次のように説明しました。「これは3月に始めた実験です。無許可の再販業者によるアカウントの悪用を防ぎ、蒸留(他社が自社AIの答えをコピーして学習すること)から守るためのものでした」。

つまり、目的そのものは「不正利用の防止」だったという主張です。修正版は2026年7月1日ごろに出す予定だと伝えられました。

ただし、Thereallo氏はこう指摘しています。本気で悪用しようとする相手なら、この仕組みは簡単に回避できます。結局いちばん影響を受けるのは、正当な理由で特殊な接続を使っている開発者だ、というのです。

他のAIツールと比べてどうなのか

「どのAIツールも同じことをしているの?」と気になりますよね。ここを整理します。

じつは、AI企業が不正利用を防ごうとすること自体は、めずらしくありません。多くのサービスが、アクセス元を記録したり、利用状況を分析したりしています。

ただ、今回が問題視されたのには理由があります。ポイントは「知らせずに、見えない形で」やっていたことです。

  • 一般的なアクセス記録:利用規約に書かれ、ユーザーも存在を知っている
  • オープンソースのツール:中身が公開され、誰でも仕組みを確認できる
  • 今回のClaude Code:中身が非公開で、目に見えない文字を使い、説明もなかった

Claude Codeは、パソコンのファイルやコマンドに広くアクセスできる強力なツールです。だからこそ「見えない仕掛け」への不信感が強く出た、と言えます。Hacker Newsでも意見は真っ二つに割れました。

日本のユーザー・企業への影響

日本で使っている私たちには、どんな関係があるのでしょうか。

結論から言うと、公式のサーバーにそのまま接続している個人ユーザーは、直接の影響はほぼありません。書き換えは、独自の接続先を使うときだけ起きていたからです。

気をつけたいのは、企業での使い方です。日本の会社でも、セキュリティのために「社内ゲートウェイ」を通してAIツールを使うケースが増えています。

こうした構成だと、今回の仕組みの対象になっていた可能性があります。自社のAI利用が、意図せず外部から見分けられていた、ということも考えられるのです。

今回の一件は、日本企業にとっても大事な教訓になります。AIツールを社内に入れるときは、「何を外部に送っているか」を確認する姿勢がこれまで以上に大切になりそうです。

よくある質問(FAQ)

Q1. ふつうにClaude Codeを使っていた私も追跡されていたの?

公式の「api.anthropic.com」にそのまま接続していたなら、日付の書き換えは起きません。対象は、独自の接続先を通していた場合に限られます。

Q2. ステガノグラフィーって何ですか?

データを、別のデータの中にこっそり隠す技術です。今回は「日付の文章」の中に、目に見えない目印を隠していました。暗号とは違い、「隠していること自体を気づかせない」のが特徴です。

Q3. なぜ日付の書式なんかで見分けられるの?

ハイフンとスラッシュの違いや、そっくりなアポストロフィーの種類など、文字の組み合わせを使えば複数の情報を表せます。人間には同じに見えても、コンピューターは別の文字として読み取れるからです。

Q4. この問題はもう解決したの?

Anthropicは仕組みの存在を認め、削除すると表明しました。修正版は2026年7月1日ごろに出すとされています。ただ、透明性のあり方をめぐる議論は続いています。

Q5. 私は何か対策をすべき?

個人利用なら、まずはClaude Codeを最新版に更新しておけば十分です。企業で独自の接続経路を使っている場合は、AIツールが外部に何を送っているかを一度確認すると安心です。

まとめ

今回の出来事を、要点で振り返ります。

  • Claude Codeが、接続経路に応じて日付の書式をこっそり変え、目印を付けていたと指摘された
  • 手口は「ステガノグラフィー」。目に見えないUnicode文字で情報を隠していた
  • 狙いは無許可の再販業者や中国系AIラボなど、特殊な接続経路の検出だった
  • 公式サーバーにそのまま接続する一般ユーザーには影響がなかった
  • Anthropicは「3月に始めた実験」と認め、仕組みを削除すると表明した

AIツールは便利ですが、その裏側で何が動いているかは意外と見えません。まずは、あなたが使っているAIツールを最新版に保ち、「何を外部に送っているか」に少し関心を向けることから始めてみましょう。

参考文献

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です