「隠しコード」を仕込んでいたのは米国企業!?中国AlibabaがClaude Codeの使用を禁止
「中国製のAIモデルには、何が仕込まれているかわからない」。日本企業がAI導入を検討する際、必ずと言っていいほど出てくる懸念だ。ところが今回明るみに出たのは、その逆の構図だった。隠しコードを仕込んでいたのは米AI大手Anthropic社。標的は中国のユーザーだった。この問題を受け、中国EC大手Alibaba社は7月10日から全従業員に対し、Anthropic社のAIコーディングエージェント「Claude Code」の業務利用を禁止する。疑いの向きは、私たちの思い込みとは逆だったわけだ。
アポストロフィ一文字の「密告者」
事の発端は6月30日。米ネット掲示板Redditのユーザーが、Claude Codeをリバースエンジニアリングした結果を公開した。4月2日リリースのバージョン2.1.91以降、リリースノートに一切記載のない難読化されたコードが密かに組み込まれていたというのだ。
その仕組みはこうだ。Claude Codeはユーザーのシステムのタイムゾーンが「Asia/Shanghai(上海)」または「Asia/Urumqi(ウルムチ)」に設定されているかを照合する。さらに、通信経路のプロキシURLを、あらかじめ組み込まれた中国のドメインやAIラボのリストと突き合わせる。このリストにはBaidu、Alibaba、ByteDance、Ant Groupなど中国企業147件が含まれていたとの報道もある。
また、検出結果は通常のログとして記録されるのではなく、AIに送られるシステムプロンプト内の「Today’s date is(今日の日付は)」という一文に埋め込まれる。中国のタイムゾーンなら日付の区切りがハイフンからスラッシュに変わり、アポストロフィが見た目上そっくりの別のUnicode文字に差し替えられる。人間の目には全く区別がつかないが、Anthropic社のサーバーは機械的に読み取れる。いわゆるステガノグラフィ(電子透かし)の手法である。しかもコード自体もXOR暗号で難読化され、単純なテキスト検索では発見できないようになっていたという。
一点、言葉の正確性を補っておきたい。Alibaba社はこれを「バックドア」と呼んだが、外部からの遠隔操作やシステム破壊を可能にする侵入口ではない。正確には、ユーザーが中国に関係するかどうかを識別する「見えない目印」である。ただ、ユーザーに気づかれないよう設計されていた点で、通常のデータ収集とは一線を画す。
Anthropic社の言い分は「蒸留対策の実験」
Anthropic社はこの仕組みの存在を認めている。Claude Codeチームのエンジニア、Thariq Shihipar氏はX上で「3月に開始した実験で、無許可の転売業者によるアカウント不正利用の防止と、蒸留(distillation)からの保護が目的だった。チームはその後より強力な対策を導入しており、以前から削除するつもりだった」と説明した。問題のコードは7月1日のアップデートで削除済みだという。
背景に「2880万回のやり取り」をめぐる対立
なぜAnthropic社はそこまでしたのか。背景には、両社の深刻な対立がある。
Anthropic社は6月10日、米上院銀行委員会の幹部に書簡を送り、Alibaba社のAI研究部門Qwenラボの関係者を名指しで非難した。Reutersによれば、約2万5000の不正アカウントを使い、4月22日から6月5日の間にClaudeと2880万回のやり取りを行い、その能力を「蒸留」しようとしたというのだ。蒸留とは、高性能なAIモデルの出力を使って自社モデルを訓練する手法である。Alibaba社は不正を否定している。
Anthropic社は海外子会社経由を含め、中国資本の企業へのサービス提供を制限する、業界で最も厳しい方針を掲げている。だが、米国内にサーバーを立てて通信を米国発に見せかける個人ユーザーまでは防ぎきれない。規約で禁じても執行できない。だからプログラムに検出の仕掛けを埋め込んだ——というのが今回の構図だ。
Alibaba社は「高リスクソフト」に指定
Alibaba社の対応は素早かった。7月3日付の社内通知で「Claude Codeには最近バックドアリスクがあることが判明したため、包括的な評価の結果、セキュリティ脆弱性のある高リスクソフトウェアのリストに追加した」と宣言。7月10日から全従業員のClaude Code使用を禁止した。指示はClaude Codeにとどまらず、Sonnet、Opus、Fableといったモデル群を含む全Anthropic製品のアンインストールにまで及ぶとの報道もある。約12万4000人の従業員には、自社製コーディングエージェント「Qoder」への移行が指示された。
日本企業への教訓——疑いの向きを「国籍」で決めていないか
「中国だけの話」と片付けるのは早計だ。日本企業にとって見逃せないポイントが二つある。
第一に、この検出の仕掛けは中国ユーザーだけを対象にしていたとは言い切れないことだ。技術者の分析によれば、検出リストには中国企業のドメインに加え、プロキシやゲートウェイ系のドメインが多数含まれており、社内ゲートウェイ経由でClaude Codeを使う正規ユーザーも識別対象になり得た。セキュリティ目的で社内プロキシやLLMゲートウェイを経由させている企業は日本にも多い。カスタムの接続経路を使うすべての企業に関わる話なのだ。
第二に、より本質的な教訓として、AIツールのリスク評価を「モデルの国籍」で判断することの危うさがある。中国製モデルを疑うのであれば、同じ基準で米国製ツールの中身も監査対象にすべきだろう。今回の一件は、透明性と安全性をブランドの中核に掲げてきたAnthropic社ですら、開示なしにユーザー識別の仕掛けを埋め込んでいたことを示した。開発者はコーディングエージェントに自社のファイルシステムへの広範なアクセス権を与えている。Redditにはこんな声が上がった。「今日はタイムゾーンのチェックだが、明日はシステム妨害やデータ流出かもしれない」。
Alibaba社が即座に自社製ツールへ移行できたのは、自前の代替手段を持っていたからだ。では、疑いの目を米国製ツールにも向けざるを得なくなったとき、日本企業に同じ選択肢はあるだろうか。