Wystarczył jeden znak, którego prawie nie da się zobaczyć. W popularnym narzędziu dla programistów Claude Code, tym samym, którego wiele zespołów używa codziennie do pisania kodu, przez trzy miesiące siedział ukryty mechanizm. W linijce, która zwyczajnie podaje modelowi dzisiejszą datę, ktoś podmieniał zwykły apostrof na niemal identyczny znak i delikatnie zmieniał format zapisu. Dla użytkownika wyglądało to jak nic. Dla serwerów Anthropic była to cicha flaga: ta sesja prawdopodobnie pochodzi z Chin. Sprawa wyszła na jaw pod koniec czerwca 2026 roku i od razu podzieliła obserwatorów na dwa obozy.
Co dokładnie znaleziono w kodzie
Zacznijmy od tego, co jest pewne, bo wokół tej historii szybko narosło sporo emocji. Reverse-engineerzy, czyli ludzie rozkładający gotowe programy na czynniki pierwsze, wygrzebali w Claude Code fragment, który był celowo zaciemniony i nie pojawiał się w żadnych informacjach o aktualizacji. Jego zadaniem było oznaczanie części sesji.
Sam trik jest sprytny i właśnie dlatego niepokojący. Mechanizm sprawdzał dwie rzeczy. Najpierw to, czy komputer ma ustawioną strefę czasową jednego z chińskich miast. Dalej to, czy ruch idzie przez adresy z zaszytej listy powiązanej z chińskimi laboratoriami AI. Jeśli tak, do zwykłej wiadomości z datą wplatał ukryty znacznik, oparty na podmianie apostrofu na łudząco podobny znak i na zmianie formatu daty. To metoda znana jako steganografia, czyli ukrywanie informacji w czymś, co wygląda całkiem niewinnie. Nikt patrzący na ekran nie miał szans tego wychwycić.
Ważny szczegół dotyczy czasu. Ten kod nie pojawił się wczoraj. Był obecny od kwietniowej wersji narzędzia, a zniknął dopiero 1 lipca, gdy Anthropic go usunął, już po tym, jak sprawa zrobiła się głośna.
Po co Anthropic to zrobiło
Tu wchodzimy na grunt, gdzie fakt trzeba oddzielić od domysłu. Wyjaśnienie przyszło nie od działu prasowego firmy, tylko od jednego z inżynierów Anthropic, który odezwał się publicznie. Formalnego oświadczenia od samej firmy na początku nie było. Według niego był to eksperyment z marca 2026 roku, wymierzony w dwa konkretne nadużycia.
Pierwsze to nieautoryzowani pośrednicy, którzy wykupują dostęp do modelu i odsprzedają go dalej wbrew zasadom. Drugie to destylacja, czyli podbieranie odpowiedzi mocnego modelu po to, żeby na nich wytrenować własny, tańszy. Ukryta flaga miała pomóc namierzyć takie przypadki. Brzmi to jak wewnętrzne narzędzie do łapania oszustów, a nie jak szpiegowanie zwykłych programistów, i warto to uczciwie powiedzieć. Problem w tym, że sposób wykonania wygląda dokładnie tak, jak coś, co firma chciała ukryć. Zaciemniony kod przemycony bez słowa w informacji o aktualizacji trudno wziąć za zwykły detal.
Pierwsza Misja AI · Kodożercy
Pierwszy raz z AI? Zaczynasz od zera
Pierwsza Misja AI to kurs dla osób bez technicznego zaplecza. Tłumaczymy prostym językiem, jak działa AI, jak ją promptować i jak korzystać z niej w pracy.
Wejdź na pokład →

Dlaczego Chiny mówią o “backdoorze”, a to nie to samo
W Chinach reakcja była znacznie ostrzejsza niż samo słowo “eksperyment”. Chińska baza podatności oprogramowania CNVD nazwała znalezisko wprost backdoorem, czyli ukrytą furtką, i zasugerowała, że kod mógł zbierać dane o lokalizacji i tożsamości użytkowników. To mocne oskarżenie i trzeba je jasno opisać jako to, czym jest: stanowisko chińskiej strony, a nie udowodniony fakt.
Różnica jest istotna. Z tego, co udało się ustalić, mechanizm opierał się na danych, które program i tak miał pod ręką, czyli na strefie czasowej i adresie połączenia. Nikt niezależnie nie wykazał, że wysyłał w świat czyjeś prywatne pliki czy dane osobowe. Inaczej mówiąc, “oznaczanie sesji jako chińskiej” i “wykradanie danych” to dwie różne rzeczy, choć w nagłówkach łatwo je pomylić. Skutek biznesowy był i tak natychmiastowy: Alibaba zakazała swoim programistom używania Claude Code, o czym pisaliśmy w tekście o blokadzie narzędzia Anthropic przez chińskiego giganta.
Co z tego wynika dla zwykłego użytkownika
Nawet jeśli przyjmiemy najłagodniejszą wersję, czyli że to był tylko eksperyment przeciw oszustom, zostaje twardy problem. Zaufanie do narzędzia, które codziennie ma dostęp do twojego kodu, opiera się na założeniu, że wiesz, co ono robi. Ukryty i celowo zaciemniony fragment to zaufanie nadszarpuje, niezależnie od intencji.
Dla polskiego zespołu płynie z tego praktyczna, spokojna lekcja, bez popadania w panikę. Po pierwsze, narzędzia AI działające na naszym kodzie warto traktować jak każdego innego dostawcę z dostępem do wrażliwych rzeczy, czyli sprawdzać, aktualizować i czytać, co się zmienia. Po drugie, ta historia pokazuje, dlaczego przejrzystość jest walutą. Firma, która chowa nawet dobrze umotywowany mechanizm, sama podkłada się pod zarzut, że chowa też coś gorszego. Podobny problem zaufania do automatycznych asystentów opisywaliśmy przy luce, przez którą agent wynosił prywatny kod firm. Wniosek jest ten sam: wygodne narzędzie nie zwalnia z pilnowania, co dokładnie robi w tle.
Podsumowanie
Anthropic przez trzy miesiące miał w Claude Code ukryty, zaciemniony kod, który po cichu oznaczał sesje wyglądające na chińskie, a usunął go dopiero po ujawnieniu sprawy. Wyjaśnienie ze strony Anthropic, które padło publicznie z ust jednego z inżynierów, mówi o eksperymencie wymierzonym w nieuczciwych pośredników i podbieranie modelu, i brzmi wiarygodnie. Chińska strona mówi o backdoorze wykradającym dane, ale tego nikt niezależnie nie potwierdził, więc należy traktować to jako oskarżenie, nie ustalenie. Prawdziwy problem leży gdzie indziej niż w pytaniu, czy ktoś kogoś szpiegował. Leży w tym, że mechanizm był ukryty i zaciemniony w narzędziu, któremu ludzie powierzają swój kod. Intencje mogły być czyste, ale sposób ich realizacji kosztował Anthropic dokładnie to, na czym w tej branży zależy najbardziej: odrobinę zaufania.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.



