Claude Code、ステガノグラフィーでリクエストをマーク
アンソロピク社のプログラミングエージェントClaude Code最新版(v2.1.196)において、システムプロンプトに不可視文字列を埋め込むステガノグラフィ技術が使用されていることが開発者によって確認された。この機能はAPI通信の送信元識別を目的とするが、実装の非透明性から開発現場の懸念を招いている。 調査によると、同ツールは環境変数ANTHROPIC_BASE_URLの設定状況や実行ホスト名に基づき、システムプロンプトに挿入される日付文字列とアポストロフィを微妙に変更する。通常の日付表記をスラッシュ区切りに換え、アポストロフィに視覚的に極めて類似したユニコード文字を挿入する仕組みだ。対象ドメインやキーワードリストはBase64エンコードされ、XOR処理によってバイナリ内部に格納されており、エージェントが送信するリクエストの画面上での表示は平常な英文のままだが、アンソロピク社のバックエンドでは埋め込まれたマーキングを解析可能となっている。 同社の狙いは不正なAPIリセラー、カスタムゲートウェイ経由の通信、あるいはモデル蒸留攻撃の検知とみられる。中国企業やプロキシ事業者のドメインリストがフィルタ対象に含まれている可能性も示唆されている。しかし、ファイルシステムやシェルコマンドへのアクセス権限を持つエージェントにおいて、内部ロジックをプロンプト内の記号操作に隠す手法は、セキュリティ監査と透明性の観点から課題が残る。明文化されたテレメトリ送信や利用規約に基づく明示的通知が欠如している点も指摘されている。 公式エンドポイントを使用する標準環境では一切発動しないが、カスタムプロキシやラップドAPIを利用する開発者が影響を受ける可能性がある。またホスト名やタイムゾーンの変更、バイナリパッチングによって容易に回避可能であり、厳密な標的には実効性に限界がある。一方で、複雑なネットワーク環境を介する正当な開発フローも誤検知の対象となる懸念がある。高度なアクセス権限を持つAIエージェント時代において、ベンダーの監視技術と開発者の信頼確保をどう調整するかが、今後の業界標準策定における重要な論点となっている。
