結論:問われているのは善悪ではなく「ベンダーの挙動を説明できるか」
AIコーディングツール「Claude Code」が、接続先URLが特定のリストに一致した場合に、システムプロンプト内の日付表記を見た目にほぼ判別できないUnicode文字置換で改変し、リクエストを分類・マーキングしていたことが2026年6月30日(現地時間)に発覚しました(出典:thereallo.dev「Claude Code Is Steganographically Marking Requests」、Hacker News経由で2026年7月3日閲覧)。影響を受けるのは主に非公式ゲートウェイやリセラー経由の利用で、ユーザーのコードや機密データを外部送信する挙動は報告されていません。Anthropic側は不正転売と蒸留(distillation)対策の実験だったと認め、削除を表明したと報じられています。
AIツールを全社導入した、あるいは導入を検討している企業の情シス・CISOにとっての論点は「Anthropicはけしからん」でも「実害はないから無視してよい」でもありません。「導入したAIツールがプロンプトや通信に何を加えているか、自社は把握・説明できるか」という透明性の評価軸を、選定基準とガバナンスに組み込めているかです。本記事はこの一件を題材に、その評価軸と確認手順を整理します。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
何が起きたのか:発見から削除表明までの経過
| 時期 | 出来事 | 情報の性質 |
|---|---|---|
| 2026年3月ごろ | 透かし機構を「実験」として導入(Anthropic関係者の説明として報道)。報道ではv2.1.91(4月2日リリース)からの搭載とされる | 二次報道 |
| 6月30日 | 発見者がクライアントの解析結果をブログ(thereallo.dev)で公開。Hacker Newsで2,400ポイント・730コメント超と、この期間最大級の反響に | 一次(発見者公開情報) |
| 7月1日 | Anthropicの Claude Code 担当者が「不正リセラーと蒸留への対策として3月に開始した実験」であり「翌日のリリースで完全に取り除く」と表明したと報道 | 二次報道(36Kr等) |
| 7月3日時点 | 削除版の番号は報道によって表記が揺れており、公式changelog(v2.1.197〜2.1.199)には導入・削除いずれの記載も見当たらない | 一次(公式changelogを当社確認) |
(出典:36Kr「Anthropic Admits "Claude Code Trojan Incident" Exposure, to Implement Rollback Tomorrow」/Claude Code公式changelog、いずれも2026年7月3日閲覧)
機構の中身は、発見者の解析によればおおむね次のとおりです。Claude Codeは環境変数 ANTHROPIC_BASE_URL(API接続先の差し替えに使う設定)を起動時に確認し、コード内にXOR・Base64で難読化して埋め込まれたドメインリスト——中国系AI企業のドメインや、リセラー・ゲートウェイを示すキーワード群——と照合します。一致すると、システムプロンプトに含まれる日付文("Today's date" の一文)の**アポストロフィ(U+0027か U+2019か)と日付の区切り文字(ハイフンかスラッシュか)**を切り替え、見た目には気づけない形で接続経路の分類を符号化していました。
論点を二つに分ける:動機の妥当性と、進め方の透明性
この件を評価するとき、二つの論点を混ぜないことが重要です。
論点1:蒸留・不正転売対策としての妥当性。 他社モデルの出力を大量に取得して自社モデルの学習に使う「蒸留」や、正規契約を迂回したアカウント転売は、モデル提供各社にとって現実の脅威です。出力に出所を追跡できる印を仕込むこと自体は、透かし(ウォーターマーク)として研究・実装が進む正当な技術領域であり、対象を非公式経路に絞った設計もその文脈では合理的といえます。この動機を「盗聴」「トロイの木馬」と同列に扱うのは正確ではありません。
論点2:進め方の透明性。 一方で、この機構は利用規約・ドキュメント・changelogのいずれにも記載がなく、判定リストは難読化され、発覚後の削除も(7月3日時点で当社が確認した限り)公式changelogに記載がありません。ファイルシステムとシェルへのアクセス権を持つ開発ツールが、非開示のままプロンプトを改変していた——動機が正当でも、この進め方は利用企業がベンダーを監査する前提を崩します。動機の正当性は、開示義務を免除しない。 ここが企業側が持ち帰るべき教訓です。
独自分析:「モデルの信頼」と「クライアントの透明性」は別レイヤーで評価する
今回の一件から導ける実務上の示唆は三つあります。
第一に、企業のAIツール評価は「モデルの性能・料金・データ利用ポリシー」に偏りがちで、手元に配布されるクライアントの挙動はほぼ無審査だという空白が露呈しました。モデルのデータ保持ポリシーをどれだけ精査しても、クライアントが何をプロンプトに加えるかは別の話です。自動更新されるクライアントは、ベンダーの裁量で挙動が変わり得る「もう一つのサプライチェーン」だと捉える必要があります。
第二に、発動条件が非公式経路だったこと自体が、社内のシャドーAI点検の材料になります。判定リストには中国系AIラボのドメインや、リセラー・非公式ゲートウェイを示すキーワードが含まれると報じられており、一部報道は端末のタイムゾーン設定(アジア圏)も発動要素として挙げています。つまり正規契約・公式エンドポイントで使っている限り今回の透かしの対象外だったと報告されている一方、もし社内に「安いから」と非公式経路で使う部署があれば、それは今回のような検知の対象であると同時に、契約・データ保護の裏付けがない利用でもあります。接続先の棚卸しは透かし問題と切り離しても実施する価値があります。
第三に、SaaSにおけるSOC 2のような**「AIクライアントの挙動監査」の共通基準はまだ存在しない**ため、当面は調達側が質問と契約で担保するしかありません。次のチェックリストはそのたたき台です。
AIツール透明性チェックリスト(選定・年次見直し用)
- プロンプト改変の開示:ツールがシステムプロンプトや送信内容に挿入・変更する要素が文書化されているか、ベンダーに書面で確認したか
- 変更履歴の網羅性:挙動に関わる変更がchangelogに記載される運用か。過去に未記載の挙動変更が発覚した履歴はないか
- テレメトリと識別子:何を収集・送信するか、オプトアウト手段、環境変数や接続先の読み取り範囲が明示されているか
- 検証可能性:クライアントはソース公開か、難読化されているか。第三者監査や脆弱性報告窓口はあるか
- インシデント時の説明責任:問題発覚時の公式声明の場所・速度・修正版の明示方法が確認できるか(今回はここが弱点だった)
- 自社側の経路統制:非公式リセラー・ゲートウェイ経由の利用を禁止するルールと、接続先設定の棚卸し手順があるか
このチェックリストで複数項目が「不明」のままツールが全社展開されているなら、ツールの善し悪し以前に、選定プロセス自体の見直しが必要なサインです。生成AIツールの棚卸しと利用ルール整備の進め方はAI導入アセスメントで、開発チームへのAIツール展開時の統制設計はAI開発支援でそれぞれ詳しく扱っています。
なお、同じAnthropic発のニュースでも、新モデルの単価と開発見積もりへの影響はClaude Sonnet 5の料金とエージェント運用コスト、モデル供給の地政学リスクとBCPはClaude Fable 5の輸出規制解除とAI-BCPで扱っており、本記事はツール透明性とガバナンスに絞っています。AIエージェントの権限設計という隣接論点はClaude DesktopのMCP経由C2化PoCと権限設計を参照してください。
よくある質問
Q1. 自社のソースコードや機密情報が抜き取られていたのですか? いいえ。発見者の解析および各報道が示しているのは、システムプロンプト内の日付表記の文字置換であり、追加のデータ送信や収集を行う挙動は報告されていません。問題の中心は「何をされたか」より「開示されていなかったこと」にあります。
Q2. 公式のAPIエンドポイントやサブスクリプションで普通に使っていた場合も対象でしたか?
報道と発見者の解析によれば、発動条件は ANTHROPIC_BASE_URL が特定のドメインリストに一致した場合であり、公式エンドポイントでの通常利用は対象外とされています。ただし判定リスト自体が難読化されていたため、利用者側で完全に検証する手段がなかった点は残ります。
Q3. Claude Codeの利用をやめるべきですか? この件だけを理由に停止する必要はないと考えます。機構は削除が表明されており、ユーザーデータへの実害は報告されていません。実施すべきは、最新版への更新、非公式ゲートウェイ経由の利用禁止、そして本記事のチェックリストをClaude Codeに限らず利用中の全AIツールに当てることです。
Q4. 他のAIツールでも同じことは起こり得ますか? 起こり得ます。自動更新されるクローズドなクライアントを配布する形態のツールに共通する構造的な論点であり、特定ベンダー固有の問題ではありません。だからこそ個社への評価ではなく、調達時の評価軸として整備することが重要です。
AIツールの選定基準とガバナンス整備に不安があるとき
「全社で使っているAIツールを一覧にすら把握できていない」「選定時にベンダーへ何を確認すべきか基準がない」「非公式経路の利用が現場にありそうだが実態が見えない」——今回のような発覚のたびに個別対応で追いかけるのではなく、ツール台帳・選定チェック・利用ルールを一度セットで整えるほうが、結果的に低コストです。GXOのAI導入アセスメントでは、利用中AIツールの棚卸しから選定基準・ガバナンス文書の整備までを支援しています。ツール由来のリスクが自社のセキュリティ体制のどこに位置づくか整理したい場合はセキュリティサービスもあわせてご覧ください。具体的な相談はAIツール選定・ガバナンス整備の相談窓口からどうぞ。
主な出典(2026年7月3日閲覧)
- thereallo.dev「Claude Code Is Steganographically Marking Requests」(一次・発見者ブログ。本記事執筆環境からは直接取得できなかったため、Hacker News掲載スレッドおよび複数の二次報道で内容を照合)
- Hacker News「Claude Code is steganographically marking requests」スレッド(2,400ポイント超・730コメント超)
- 36Kr(英語版)「Anthropic Admits "Claude Code Trojan Incident" Exposure, to Implement Rollback Tomorrow」(二次報道。Anthropic関係者の説明・導入版・削除表明の出所)
- Claude Code 公式changelog(一次。v2.1.197〜2.1.199に本件の記載がないことを当社確認)






