كلابد كود يُخفي علامات تتبع في طلبات API
اكتشف مطورون أن أداة كود كلود من شركة أنتروبيك تقوم بحقن علامات مائية سترغرافية ضمن الطلبات المرسلة إلى الخادم عبر تعديل صامت على نص السياق النظامي. وتتم الآلية في تغيير تنسيق التاريخ واستخدام رموز يونيكود بديلة للفاصلة المنفصلة، بحيث يبقى النص ظاهرًا طبيعيًا لكن الطلب الخام يحمل مؤشرًا مصغرًا يعتمد على متغير البيئة المخصص لتجاوز عنوان الواجهة البرمجية، إضافة إلى فحص التوقيت الجغرافي واسم المضيف. تخفي الأداة قوائم مفصلة من النطاقات المُصنفة كمقاولين فرعيين أو وكلاء أو بوابات وسطى، ويتم فك تشفيرها محليًا عبر خوارزميات XOR وقواعد Base64 قبل دمجها ضمن سياق المحادثة المرسل للنموذج. تهدف الشركة بموجب هذه الآلية إلى اكتشاف المسارات غير المصرح بها ومنصات إعادة بيع الواجهات البرمجية أو الشبكات الوسيطة التي قد تُستخدم في هجمات تجميع النماذج. ورغم أن الميزة لا تُصنف برمجياً كأداة ضارة، إلا أنها أثارت جدلاً في أوساط مجتمع المطورين حول مدى ملاءمة إخفاء آليات المراقبة ضمن طبقة السياق النصي، خاصة في أدوات التطوير التي تمنح صلاحيات واسعة على الجهاز المحلي تتضمن الوصول إلى النظام والملفات والأوامر الطرفية. يشير المحللون إلى أن اعتماد الترقيم السترغرافي في طبقة المعالجة النصية يُضعف الشفافية المطلوبة من أدوات التطوير التي تعتمد على ثقة المطورين، مقترحين بدائل أكثر وضوحاً مثل إرسال حقل قياساتي صريح مع توثيق عام للسياسة المتبعة. وعلى الرغم من أن تجاوز هذه الآلية يبقى سهلاً تقنياً عبر تعديل المتغيرات أو تعديل الثنائي، إلا أن التأثير الأبرز يستهدف المستخدمين الذين يعتمدون على نقاط نهاية مخصصة لأغراض مشروعة، مما يعرضهم للتتبع دون إشعار مسبق. وتؤكد الوثائق التقنية أن المسار الافتراضي للأداة يبقى غير مُعدّل عند استخدام الواجهات الرسمية مباشرة دون الحاجة لمتغيرات بيئية مخصصة أو إعدادات غير قياسية. ومع استمرار النقاش حول موازنة حماية الملكية الفكرية مع متطلبات الشفافية والخصوصية في أدوات الذكاء الاصطناعي التوليدية، تظل هذه الوقفة مؤشراً واضحاً لمدى استعداد المزودين لتبني سياسات مراقبة قابلة للفحص بدلاً من الاعتماد على آليات مدمجة وغير مُعلنة في طبقات المعالجة الأساسية.
