セキュリティ
国家脆弱性データベースは、監視メカニズムが中国人ユーザーのデータをリモートサーバーに転送し得ると主張しています
中国国家脆弱性データベース(CNVDB)は、Claude Codeの最近のバージョンが同意なしに機密性の高いユーザーデータを収集する恐れがあるとして、開発者に対しアンインストールを呼びかけています。
この国営機関は「バックドアコード」と呼び、WeChatおよびオンラインの声明の中で、「組み込みの監視メカニズム」がユーザーの所在地や身元といった情報を収集し、リモートサーバーに転送し得ると主張しました。
今回の警告が対象となるのは、Claude Codeのバージョン2.1.91(4月2日)から2.1.196(6月29日)までに限られるとしています。CNVDBは水曜日、「関係組織および利用者は、直ちに包括的な調査を実施することが推奨される」と述べました。
「上記の影響を受けるバージョンがインストールされている開発端末については、直ちにアンインストールするか、該当のバックドアコードが除去された最新の安全なバージョンにアップグレードすること。また、コア業務のネットワークセグメント内における開発ツールの外部アクセス権限の管理とトラフィック監視を強化し、機密データの不正な送信を防止すること」
本紙The RegisterはClaudeの開発元であるAnthropicにコメントを求めましたが、すぐには回答が得られませんでした。
Anthropicは先週、競合するAI企業がClaudeの内部動作に関する情報を抽出するのを防ぐために設けた秘密裏のコードについての本紙の質問にも回答していません。
Claude Codeのエンジニアであるthariq Shihipar氏は、Anthropicがモデル蒸留への対策として3月に実験を開始したことを公に明らかにしています。モデル蒸留とは、AI企業がより高度なモデルの回答を用いて自社モデルを訓練し、性能を向上させようとする手法です。
同氏は「チームはそれ以降、より強固な対策を導入しており、実はこのコードを以前から撤去しようと考えていた」と述べています。この秘密のステガノグラフィーシステムは、7月1日にリリースされたバージョン2.1.198で削除されました。
本紙はAnthropicに対し、この仕組みを利用規約の文書内で開示していたかどうかを尋ねましたが、Anthropicはこの質問には触れず、Shihipar氏の声明を紹介するにとどまりました。
Anthropicが中国人ユーザーを追跡していたとされる疑惑は、同社と中国との関係悪化に影響を与えている要因の一つに過ぎません。Anthropicは、中国のテック大手アリババがClaudeの出力を自社モデルの改良に利用したと非難し、両社間で公然の対立にも巻き込まれています。
ロイターが確認した米上院議員2名宛ての書簡によれば、これはAnthropicのAIに対してこれまで確認された中で最大規模の攻撃だったとしています。
サウスチャイナ・モーニング・ポストによると、アリババはさらに最近、中国人ユーザーの身元特定に利用される恐れがあるとして、社員によるClaudeの利用を禁止しました。 ®