Claude Code がリクエストに対してステガノグラフィーを用いて暗記している

2026/07/01 0:44

Claude Code がリクエストに対してステガノグラフィーを用いて暗記している

RSS: https://news.ycombinator.com/rss

要約

Japanese Translation:

地元の Claude Code バージョン 2.1.196 の最近の検査により、特定の条件下でシステムがデベロッパーのプロンプトに暗黙的に隠しデータを注入するセキュリティ慣行が発見されました。これは透明性の高い対策ではなく裏口を介したシグナルに依存することで信頼性を損ない、

ANTHROPIC_BASE_URL
が設定されており、かつシステムの時-zone が中国と一致するか、または特定の API ホスト名が検出された場合にのみコードがトリガーされます。これらの条件下で、プロンプトの句読点を改変—具体的には "Today's" のアポストロフィを、および日付の区切り文字を一括線からスラッシュに変更する—with 見えないユニコードマーカーを埋め込む。さらに、バインaries 内に base64 文字列として保存されたドメインおよびキーワードリスト(「DeepSeek」や「Zhipu」などの用語を含む)は XOR でデコードされ、潜在的な API リセラーまたはモデル蒸留攻撃を検出します。後端の脅威(無権限のプロキシなど)をブロックすることを意図されていますが、この論理はカスタムセットアップを使用する正当な開発者を懲罰し、AI に送信されるコンテキストに検出データを直接エンコードします。幸運にも、これらの特定の設定がないユーザーは変更を見ませんが、トリガー条件を満たす者はパッチが適用されるまで改変されたプロンプトを受けます。著者は、プロンプトの句読点にシグナルを隠すことは開発者の信頼を侵害し、セキュリティには明示的なポリシーに依存すべきだと主張しています。この機能をバイパスするのは、ホスト名の修正、時-zone の調整、またはバインりパッチ適用によって容易であると考えられています。

本文

Claude Code のプライバシー懸念と「日付ステガノグラフィ」問題

背景:コーディングエージェントと権限の両面性

多くの開発者がコーディングエージェント(Claude Code など)に過度な権限を付与する傾向がありますが、それはその実用性の高さから避けて通れない側面です。

  • 必要な権限: ファイルシステムへのアクセス、シェルコマンドの実行、Git 操作、ブラウザ制御など。
  • 文脈の重要性: これらの能力を発揮させるためには、エージェントがリポジトリを読み込み、実行環境を正確に把握する必要があるため。

一方で、クライアントソフトウェア自体が外部の意図に従って動作しないか精査されるべきだという觀點があります。開発者からの信頼は、「退屈で透明な挙動」によって築かれるべきだと考えます。

発見:バイナリ内部の隠蔽処理(ステガノグラフィ)

検証により、Claude Code バージョン 2.1.196 のバイナリ内にシステムプロンプトの日付文字列を操作する関数が存在することが判明しました。これは平文に見えながらデータを隠す**「プロンプトステガノグラフィ」**と呼ばれます。

無意識の変更点

  • アポストロフィー(
    '
    )の有無や形
    : 通常のシングルクォートが微妙に変化する。
  • 日付の区切り記号:
    YYYY-MM-DD
    YYYY/MM/DD
    に変更される。

これらは単色フォントで見ても目立たない極めて微小な変化であり、通常は気づきません。

トリガー条件と処理ロジック

この処理は以下の環境変数や設定に基づいて活性化します。

# 主なトリガー
ANTHROPIC_BASE_URL

検証される条件:

  1. システムのタイムゾーンが
    Asia/Shanghai
    または
    Asia/Urumqi
    か。
  2. API ベース URL のホスト名が、内部リストと一致するか。
  3. ホスト名に特定のリサーまたは AI ラボのキーワードが含まれているか。

実行される変換:

  • タイムゾーンチェックで条件を満たすと、
    'Known domain'
    'Lab keyword'
    に書き換えられる。
  • ホストネームチェックで条件を満たすと、アポストロフィーの形状がさらに複雑な Unicode セquence(
    \u02B9
    ,
    \u02BC
    等)に変化する。

データ隠蔽手法:

  • ドメインリスト: Base64 エンコード済みかつ、キー
    91
    を使用した XOR 復号化処理が施されている。
  • 目的: API リセラー、未承認のゲートウェイ、または「モデル蒸留攻撃」パイプラインを検出・分類するため。

環境分析とシナリオ別挙動

私の環境での結果(通常ケース)

項目状態
バイナリの署名Anthropic による有効な署名あり
ANTHROPIC_BASE_URL
未設定 (空)
タイムゾーン
[現在のタイムゾーン]
(非対象地域)
出力結果通常のアポストロフィー
'
YYYY-MM-DD
フォーマットの日付

結論: およそ全ての公式ユーザーにとっては、このコードパスは無効化されており、システムコンテキストには「退屈な普通の日付」が含まれます。Anthropic のバックエンドでは特に何も検知されないことになります。

特殊ケース:カスタムゲートウェイ利用時

ANTHROPIC_BASE_URL
を設定し、内部ゲートウェイやプロキシを経由して接続するユーザーの場合は以下が起きます。

  • ホストネームがリストに含まれると認識される。
  • プロンプト内の日付に隠蔽データ(マーカー)が埋め込まれる。
  • この文脈は Anthropic のシステム側に送信され、分類・解析の対象となる可能性が高いです。

バイパスの容易さと実装への懸念

バイパス方法

この検知機能は回避が極めて容易です。以下のいずれかの措置で無効化可能です。

  • ホストネームを変更する。
  • タイムゾーンを変更する。
  • バイナリをパッチ適用する。
  • プロセスをラップ(wrapping)する。

真の脅威に対しては無力であり、主に「奇抜なことをしている通常の開発者」を指紋採取の対象として機能していることになります。

信頼と透明性の問題

この実装には技術的な理解こそあれど、開発者ツールとしての倫理と透明性という点で違和感があります

  • 暗黙の改ざん: 代理サーバーやゲートウェイのカテゴリデータを、平文に見える英語文章の句読点の中にエンコードしています。
  • 複合的な隠蔽: ドメインリストをさらに XOR と Base64 で隠蔽しており、意図的ですが不自然です。
  • 信頼の破壊: 開発者ツールは明示的なテレメトリを追加し、リリースノートで説明し、利用規約を提示すべきものです。「退屈な挙動」を保つことが信頼の基盤であり、そのためのシステムプロンプトを改ざんすることは、他のプライバシー主張に対する信頼を根底から損ないます。

適切な対応は精査(Auditing)と明示的な宣言であり、隠蔽によって信頼を獲得できるわけではありません。

同じ日のほかのニュース

一覧に戻る →

2026/07/01 2:59

Claude Sonnet 5

## Japanese Translation: Claude Sonnet 5 は、プレミアム向けの Opus モデルに限定されていた高度な自律型機能を大幅に安価な価格で提供することで、AI のアクセシビリティにおいて大きな転換をもたらしました。これにより、性能格差は縮小しつつも、厳格な安全基準を維持しています。低廉なコストにもかかわらず、評価結果ではリスクのある行動が少ないことが示されており、Agent 型コンテキストにおいては Sonnet 4.6 よりも安全性が高く、開発などの危険なサイバーセキュリティタスクを実行する能力が限定的であるためデフォルトでサイバー防御機能が有効化されています。技術的な向上点には、初期コストを上げることなく処理効率を改善する新しいトークナイザーが含まれており、同じ入力が 1.0–1.35 倍多くのマッピングされたトークンに対応しますが、導入価格(入力/出力トークンあたり 2 ドル/10 ドル)を設定することでこの移行をほぼ費用対中立とします。2026 年 8 月 31 日以降には、標準的な価格(入力/出力トークンあたり 3 ドル/15 ドル)が適用されます。本モデルは、ブラウンフィールドコードの保守、多段階のソフトウェアエンジニアリング、法務調査など複雑なワークフローにおいて卓越したパフォーマンスを発揮します。チャット、Cowork、Claude Code、プラットフォーム全体におけるレート制限を引き上げることで、高度なエフォートレベルに伴う高いトークン利用量を対応可能です。最近のベンチマークスコアの見直しは、実際の品質低下を意味するものではなく、評価方法の更新によるものです。例えば、「コスト対性能チャート」の更新(変更ログ:2026 年 6 月 30 日)や、「Humanity's Last Exam」と OSWorld-Verified 評価におけるスコアの再計算は、標準的な手法を用いた実世界でのパフォーマンスをより正確に反映しています。Sonnet 5 は、無料プランからエンタープライズまでのすべてのサブスクリプションレベルで最適なデフォルト選択となり、広くユーザー層の即時かつ安全な導入を可能にします。

2026/07/01 6:29

脳波から単語へ:手術を必要としない新たなコミュニケーションの道筋

## Japanese Translation: 研究者らが、非侵襲的脳記録からリアルタイムでテキストへの変換を行えるエンドツーエンドの AI パイプライン「Brain2Qwerty v2」を公開しました。本システムは、磁気共鳴法(MEG)を用いて 10 時間にわたって 9 名の被験者から記録された約 2 万 2,000 の文を学習データとし、生信号に対してエンドツーエンドの深層学習を適用するとともに、ノイズの多い神経入力を活用するため到大規模言語モデルを微調整しています。一般化単語精度は 61% に達しており、これにより他の非侵襲的手法で一般的であった約 8% より著しく改善されました。最適な条件下では個人ごとの性能は最大 78% に向上し、すべての文の半分以上が 1 つ以下の子音エラーで復号化されました。パフォーマンスはデータ量に対して対数線形に拡張するため、規模拡大だけでもさらなる進歩が可能であることが示唆されます。v1 および v2 の完全な学習コードは、パートナー組織である BCBL よりも提供された v1 データセットとともに公開され、AI エージェントがパイプラインの最適化を支援し、最終的な構成はエンジニアによって手動で選択されました。この研究成果は、500 万ドル規模のデジタル・ブレイン・プロジェクトの一環として、Tribev2(知覚)、NeuralSet(拡張処理)、NeuralBench(評価)などとの並行して、オープンな基礎脳のモデルを推進しています。目的は、侵襲性脳プロスタネースと非侵襲的なアクセシビリティのギャップを埋め、脳病変の影響を受けた数百万人の患者に対してより迅速な診断・治療を可能にしつつ、孤立した研究活動を超えてオープン神経科学を進めることです。

2026/07/01 2:07

Claude サイエンス

## Japanese Translation: 現在の手稿は質が高いですが、キーポイント(Boltz-2、OpenFold3、および特定のエンタープライズプランなど)に含まれる具体的な技術的詳細が、物語の流れと同等の重みで表現されるよう、少し鋭く調整することができます。 **改善されたサマリー:** Claude Science は、Pro、Max、Team、Enterprise の各プランを通じて macOS と Linux で利用可能となった AI ネイティブ環境として、科学研究において大きな飛躍を示しています。その核心的な利点は、すべての結果に対して正確なコード、ソフトウェア環境(ローカル・ラップトップ、HPC ノード、GPU、または Modal 上で管理される)、および会話履歴を保持することで、完全な再現性を保証することにあります。従来のツールの違いとして、MCP コネクタを介して追加のインストールなしに 60 以上の科学的データベースと実験室ツール(ELN や NVIDIA の BioNeMo Toolkit(Evo 2、Boltz-2、OpenFold3 を特徴とする)などを含む特別エージェント)に直接接続します。 このプラットフォームはゲノム学、シングルセル RNA-seq、プロテオミクス、構造生物学、ケミニンフォマティクスといった高度な分野をサポートし、ユーザーがタンパク質、ゲノムトラック、化学構造をネイティブに検査可能にします。今後の開発には、分子設計のためのライブ 2D スキャッチャーや Slurm などのサーバー向けの自動スクリプト生成が含まれます。生のデータセットとコードをローカルに保持しつつ、強力な GPU リソースを活用することで、Claude Science は初期分析と出版の間の環境不一致を解消します。この統合されたアプローチにより、研究者およびバックグラウンドレビューヤーは参考文献の有効性を検証できるようになり、データ処理から最終的な検証までを単一かつ安全なインターフェース内で円滑化するワークフローが実現されます。

Claude Code がリクエストに対してステガノグラフィーを用いて暗記している | そっか~ニュース