Claude Code をアリババが社内禁止へ|バックドア疑惑と米中AI対立の深層

普段づかいの開発ツールが、あなたの居場所や仕事仲間を、そっと見分けていたとしたら——。いま世界の開発者コミュニティを揺らしているのは、そんな不穏な問いです。Anthropic のコーディングツール Claude Code に、中国関連の利用者を見えない形で識別する仕組みが仕込まれていた、という指摘が飛び出しました。そしてアリババが、社内での利用を止める方針だと報じられています。手がかりは、日付の書き方と、たった一つのアポストロフィ。ごく普通の文章に見えるものの奥で、何がやり取りされていたのか。米中のAI競争という大きな地図の上で起きたこの一件を、順を追って見ていきます。


Anthropic は2026年6月10日付で米上院議員に宛てた書簡で、アリババの Qwen AI ラボに関係するオペレーターが約25,000の不正アカウントを運用し、4月22日から6月5日の間に2,880万件を超えるやり取りを生成して Claude の能力を抽出したと非難した。

6月30日には Reddit ユーザー LegitMichel777 が、Claude Code のバージョン 2.1.91(4月2日リリース)以降、プロキシ設定やタイムゾーンを2つの隠しリストと照合し、アリババ、Baidu、ByteDance、Moonshot AI を含む対象を検知していたと投稿した。Anthropic の Thariq は、この機構はアカウント転売と distillation の抑止が目的で次のリリースで除去すると回答し、7月1日時点で除去は進行中とされる。

ロイターは7月3日、アリババが7月10日から従業員による Claude Code の社内使用を禁じると単一の情報源に基づき報じた。

From: 文献リンクAlibaba to ban Claude Code over alleged backdoor risk, source says

【編集部解説】

今回の一件は「アリババが Claude Code を禁止した」という一行では捉えきれない、いくつもの層を持つ出来事です。まず押さえておきたいのは、報道で「バックドア」と呼ばれているものの実像が、私たちが「スパイウェア」と聞いて想像するものとは、必ずしも同じではないという点です。現時点で解析によって示されているのは、任意のコード実行や秘密の遠隔操作ではなく、利用環境を識別する「隠しマーカー(環境識別コード)」の存在にとどまります。

発端となった技術解析によれば、Claude Code はユーザーが独自のAPI中継先(環境変数 ANTHROPIC_BASE_URL)を設定した場合に限り、システムのタイムゾーン(Asia/Shanghai や Asia/Urumqi)と、接続先ホスト名を照合していたとされます。照合先は、147件の中国関連ドメインのリストと、deepseek、moonshot、minimax などを含む11件のAIラボ用キーワードのリストの2つだったと報じられています。

注目すべきは、その「送り方」です。あからさまな通信を発生させるのではなく、システムプロンプト内の「Today’s date is(今日の日付)」という一文の中で、日付の区切り文字(ハイフンをスラッシュに)とアポストロフィの文字種を、見た目には区別できない複数のUnicode文字に差し替えることで、検知結果を3ビットの情報として埋め込んでいたとされます。文章に情報を隠すこの手法は「ステガノグラフィー」と呼ばれ、マルウェアが解析を逃れる際にも悪用されることで知られる技術です。開発者向けツールがこの手法を採ったこと自体が、コミュニティの動揺を招きました。

ここで、公平を期すために別の視点も紹介します。Cybernews の報道では、Anthropic のプライバシーポリシーが、タイムゾーン設定、接続情報、IPアドレスなどの技術情報の収集を明記している点を指摘し、「隠蔽」という枠組み自体に疑問を呈する声を伝えています。Reddit 上でも、これはスパイウェアではなくネットワーク設定に基づく単純な distillation 対策にすぎない、とする反論が出ています。つまり「悪意ある監視」なのか「不器用な不正対策」なのかは、依然として評価が割れているのです。

技術的な弱点も見逃せません。この検知はホスト名やタイムゾーン設定を変更するだけで回避できるため、本来狙うべき高度なオペレーターよりも、正規の社内プロキシを使う一般の開発者を多く捕捉してしまう構造だと、解析を行った研究者や技術メディアは指摘しています。防御ツールとしては、標的を外して善良な利用者に当たりやすいわけです。

Anthropic 側の説明も確認しておきます。Claude Code チームのタリク・シヒパル氏は、これを3月に開始した実験であり、不正な再販業者によるアカウント悪用と distillation を防ぐ目的だったと述べています。修正版とされるバージョン 2.1.197 は公式changelog上では6月30日付で公開され、The Register は7月1日に修正が入る見込みだと報じました。ただし、リリースノートに当該コード除去の明記がないという指摘も残っており、幕引きが済んだとは言い切れません。

このニュースが持つ本当の重みは、個別の機能の是非を超えたところにあります。第三者によるバイナリ解析が公開されたのち、Anthropic が除去方針を示すに至った時系列は、外部の解析が企業の対応を促す「契機になった可能性」を示しています。クローズドソースのツールであっても、外部の目がその内部実装に迫りうる。監査可能性(オーディタビリティ)を重視する企業ユーザーにとって、これは無視できない前例となるでしょう。

背景にある distillation をめぐる対立も、単なる企業間の喧嘩ではありません。Anthropic が6月10日付で米上院議員に書簡を送り、米政府のAI輸出・アクセス規制の文脈に接続しつつある経緯は、この問題が国家レベルの政策論議へと広がりうることを示しています。Crypto Briefing の報道によれば、アリババは従業員に Claude 製品のアンインストールと、自社製コーディング基盤 Qoder への移行を求めたとされます。事実であれば、米中のAI開発環境が実務レベルで分断へ向かう兆しとも読み取れます。

長期的に見れば、私たちが問われているのは「開発ツールをどこまで信頼できるか」という一点に集約されます。今回の実装は中国関連の環境に焦点が置かれていましたが、検知の仕組みそのものは特定の国に限定されず、他の対象にも転用しうるものです。透明性と防衛の必要性、そのどちらも切実であるからこそ、AI企業が「見えない方法」を選んだときに何が失われるのかを、私たちは冷静に見ておく必要があります。信頼は積み上げるのに時間がかかり、崩れるのは一瞬だからです。

【用語解説】

Claude Code
Anthropic が提供するコマンドライン型のコーディングエージェントである。開発者がチャット画面ではなくターミナルから、ソフトウェアの記述・デバッグ・ファイル操作を行える。同社で最も急成長したエンタープライズ製品のひとつとされる。

distillation(蒸留)
高性能なAIモデルの出力を大量に取得し、それを教師データとして別のモデルを訓練することで、能力を写し取る手法である。今回は、他社モデルの能力を不正に抽出する「敵対的 distillation」が争点となっている。

ステガノグラフィー
データや情報を、一見無関係な別の情報の中に埋め込んで隠す技術である。今回はシステムプロンプト内の日付表記やアポストロフィの文字種に、検知結果を目に見えない形で埋め込んでいたとされる。

システムプロンプト
AIモデルに対して、応答の前提となる指示や文脈をあらかじめ与えておく命令文である。ユーザーからは通常見えない領域であり、今回はここに隠しデータが仕込まれていたとされる点が問題視された。

ANTHROPIC_BASE_URL / プロキシ(中継先)
ANTHROPIC_BASE_URL は、Claude Code の接続先APIを既定のサーバーから別の中継先へ変更するための環境変数である。中国の開発者は正規アクセスが制限されているため、中継サーバー(プロキシ)を経由して利用することが多く、この設定が検知の起点になったとされる。

Qwen(クウェン)
アリババが開発する大規模言語モデル群である。今回の distillation 疑惑で、Anthropic が名指しした AI ラボにあたる。

Yicai(第一財経)
今回の禁止措置を最初に報じた中国の金融・経済メディアである。その後ロイターが独自の情報源で裏付けた。

【参考リンク】

Anthropic 公式サイト(外部)
Claude シリーズや Claude Code を開発する米国のAI企業。安全性を重視する方針を掲げる。

Claude Code 製品ページ(外部)
ターミナルから使うコーディングエージェント Claude Code の機能や導入方法を紹介する公式ページ。

Alibaba Group 公式サイト(外部)
今回 Claude Code の社内利用禁止を検討していると報じられた中国の巨大テック企業の公式サイト。

Qwen(アリババ公式)(外部)
アリババが開発・公開する大規模言語モデル Qwen の公式サイト。モデルの利用やデモにアクセスできる。

Reuters(ロイター)(外部)
今回の禁止措置を単一情報源に基づき報じた国際通信社。信頼性の高い報道元として参照されている。

The Register(外部)
Anthropic による当該コード除去の進行を報じた英国の技術メディア。IT・セキュリティ報道に定評がある。

【参考記事】

Anthropic is removing its covert code for catching Chinese competitors(外部)
Claude Code がシステムプロンプトを不可視のUnicodeマーカーで書き換え、XORとbase64で難読化していた点や信頼問題を解説。

Claude Code Hid Proxy Fingerprints in System Prompts: Anthropic Promises Fix(外部)
147ドメイン・11キーワード・XORキー91・3ビットのフィンガープリントなど検知の仕組みを最も詳細に記述。

Anthropic to remove Claude Code marker that flagged China users(外部)
タイムゾーン照合やタリク氏の説明を引用し、対象者数が未回答である監査可能性の論点を提示している。

Alibaba to ban employees from using Anthropic’s coding tool, source says(外部)
ロイター原報。7月10日からの禁止、単一情報源、Yicaiの初報など事実の骨格を簡潔に伝える。

Alibaba bans employees from using Anthropic’s Claude Code over security risks(外部)
Qoderへの移行、米上院・ホワイトハウスへの報告、約25,000アカウント・2,880万件などの数値を論じる。

Claude Code apparently uses code to detect Chinese users: Is this fine?(外部)
プライバシーポリシーの記載やReddit上の反論を紹介し、「スパイウェアか否か」を公平に検討している。

【関連記事】

Anthropicが描く2028年、米中AI競争の2つのシナリオ ─ 半導体規制が分ける未来
本件の背景にある distillation 非難と米中AI競争を、Anthropic の政策提言から読み解いた記事です。

Anthropic「Mythos」「Fable 5」を全面停止、ホワイトハウスの輸出規制と中国アクセス疑惑の全容
中国アクセス疑惑と輸出規制が交差した直近の事案。規制論議への接続という論点で本記事とつながります。

Alibaba「Qwen3.7-Max」発表、35時間自律稼働の新AIとZhenwu M890チップで挑むエージェント時代
アリババのフルAIスタック戦略と Qoder への言及。米中AI開発環境の分断を理解する補助線になります。

【編集部後記】

この記事を追いかけながら、正直、何度も立ち止まりました。というのも、これは「悪い会社が悪いことをした」という単純な話に落とし込めないからです。Anthropic には、自社のモデルを勝手に写し取られたくないという切実な事情があります。一方で、そのために選ばれたのが「見えない印を仕込む」という方法だった。この一点で、多くの開発者が背筋を冷やしました。

考えてみると、私たちは毎日、たくさんのツールに自分の作業を預けています。どこに接続しているか、何を送っているか、いちいち確かめることはまずありません。信頼で成り立っている関係です。だからこそ、その信頼の裏で静かに何かが記録されていたかもしれない、と知ったときの落ち着かなさは、けっこう深いところに刺さります。今回たまたま対象が中国だったというだけで、仕組みそのものは相手を選びません。明日は別の誰かが同じ立場に置かれうる——そう感じた人は少なくないはずです。

とはいえ、私たちはこの件を「AIは怖い」で終わらせたくないとも思っています。むしろ注目したいのは、たった一人の解析者がツールの中身を読み解き、それが企業を動かす一因になった、という流れのほうです。閉じた製品でも、外から光を当てられる。監査という言葉が、遠い専門用語ではなく、自分たちの道具を守る手立てとして身近になってきた。そんな変化の入り口に、私たちは立っているのかもしれません。

みなさんは、日々使っているツールに、どこまで「見えていないと落ち着かない」と感じますか。全部を疑い出したらキリがないけれど、何も気にしないのも少し心もとない。その間のどこかに、それぞれの答えがあるのだと思います。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。