
Claude Code의 스테가노그래피(Steganography)가 중국 사용자들을 식별하여 Anthropic이 기능을 롤백함
요약
Anthropic의 Claude Code 2.1.91 버전에서 스테가노그래피를 이용해 중국 사용자를 은밀히 식별하려던 기능이 폭로되었습니다. Anthropic은 모델 증류 대응을 위한 실험이었다고 해명하며 해당 기능을 롤백했습니다.
핵심 포인트
- Claude Code가 스테가노그래피로 중국 사용자 위치를 탐지함
- XOR 암호화와 미세한 문자 교체로 탐지 기능을 은닉함
- 모델 도난 방지를 위한 실험적 조치였다고 Anthropic이 밝힘
- 사용자 신뢰 위반 및 데이터 유출 우려로 인해 기능 롤백됨
Anthropic의 Claude Code 2.1.91은 스테가노그래피 (Steganography)를 사용하여 중국 사용자를 탐지했습니다. Reddit을 통해 폭로된 이후, Anthropic은 이를 모델 증류 (Model Distillation)에 대응하기 위한 실험이었다고 밝히며 해당 기능을 롤백 (Rollback)했습니다.
2026년 4월 2일에 출시된 Anthropic의 Claude Code 2.1.91은 시스템 프롬프트 (System Prompt)에 스테가노그래피를 통해 중국 사용자 탐지 기능을 비밀리에 포함했습니다. Reddit 사용자 LegitMichel777에 의해 폭로된 이 기능은 아포스트로피 (Apostrophe)와 날짜 형식을 교체하여 사용자에게는 보이지 않는 위치 데이터를 인코딩했습니다.
주요 사실
- Claude Code 2.1.91은 2026년 4월 2일에 출시되었습니다.
- 탐지 코드를 숨기기 위해 XOR 암호화 (XOR encryption)에서 키 91을 사용했습니다.
- 탐지 과정에서 시간대 (Timezone)를 'Asia/Shanghai' 또는 'Asia/Urumqi'와 비교했습니다.
- Anthropic은 DeepSeek, Moonshot AI, MiniMax, 그리고 Alibaba를 모델 도난 (Model theft) 혐의로 비난했습니다.
- Thariq Shihipar는 이를 '실험'이라고 불렀으며 롤백 PR (Rollback PR)을 병합했습니다.
Anthropic은 소셜 미디어에서 분노를 일으킨 이후 자사의 프로그래밍 도구인 Claude Code에서 은밀한 모니터링 기능을 제거하고 있습니다. The Decoder에 따르면, Reddit 사용자 LegitMichel777의 게시물이 이 기능을 처음 폭로했습니다. 이 기능은 버전 2.1.91부터 활성 프록시 (Proxy)를 사용하는 사용자가 중국에 위치해 있는지, 중국 URL을 통해 라우팅되는지, 또는 중국 AI 연구소에 연결되어 있는지를 비밀리에 확인해 왔습니다.
데이터는 스테가노그래피 (Steganography)의 한 형태인 시스템 프롬프트의 거의 감지할 수 없는 변화를 통해 전송됩니다. Claude Code는 시스템 시간대를 "Asia/Shanghai" 또는 "Asia/Urumqi"와 비교하고, 프록시 URL에서 중국 도메인 및 AI 연구소를 스캔합니다. 결과에 따라 소프트웨어는 날짜 형식을 미세하게 조정하고 "Today's date is"라는 문구에서 미묘하게 다른 아포스트로피 (Apostrophe) 문자로 교체합니다. 사용자는 그 차이를 볼 수 없지만, Anthropic은 이를 즉시 읽을 수 있습니다.
LegitMichel777에 따르면, Anthropic은 또한 키 91을 사용한 XOR 암호화 (XOR encryption)를 사용하여 코드를 난독화 (Obfuscated)함으로써 단순한 텍스트 덤프 (Text dump)에서 나타나지 않도록 했습니다. 버전 2.1.91의 릴리스 노트 (Release notes)에는 해당 확인 작업에 대한 언급이 전혀 없었습니다.
발견자는 사용자 모르게 시스템 및 프록시 데이터를 은밀하게 전송하는 행위를 "사용자 신뢰에 대한 근본적인 위반"이라고 불렀습니다. Claude Code는 파일 시스템과 셸 (Shell)에 대한 전체 접근 권한을 가지고 있기 때문에, 이는 원격 제어부터 데이터 유출 (Data exfiltration)에 이르기까지 온갖 종류의 남용으로 이어질 문을 열어줄 수 있습니다. 그는 또한 숙련된 공격자가 이 확인 절차를 우회하는 것은 매우 간단하다며, 해당 기능의 유용성에 의문을 제기했습니다.
핵심 요약 (Key Takeaways)
- Anthropic의 Claude Code 2.1.91은 중국 사용자를 식별하기 위해 스테가노그래피 (Steganography)를 사용했습니다.
- Reddit을 통해 폭로된 이후, Anthropic은 이를 모델 증류 (Model distillation)에 대응하기 위한 실험이었다고 밝히며 해당 기능을 롤백 (Rollback)했습니다.
Anthropic은 이를 실험이라고 주장함
Claude Code 팀에서 근무하는 Anthropic 직원 Thariq Shihipar는 X를 통해 해당 기능에 대해 "무단 리셀러(Reseller)의 계정 남용을 방지하고 증류 (Distillation)로부터 보호하기 위해 3월에 시작한 실험"이라고 설명했습니다. 팀은 이후 더 강력한 보호 조치를 배포했습니다: "팀은 그 이후로 더 강력한 완화 조치 (Mitigations)를 마련했으며, 사실 우리는 이 기능을 한동안 제거하려던 참이었습니다." 그들은 관련 풀 리퀘스트 (Pull request, PR)를 병합했습니다: "우리는 PR을 병합했으며, 내일 릴리스에서 완전히 롤백될 예정입니다."
Anthropic은 국가 안보상의 이유로 중국에 모델을 제공하지 않습니다. 그럼에도 불구하고 많은 중국 개발자들이 해외 전화번호와 신용카드를 통해 Claude에 접속합니다. Anthropic은 이전에 DeepSeek, Moonshot AI, MiniMax, 그리고 Alibaba가 Claude 모델의 출력을 허가 없이 자신들의 언어 모델을 학습시키는 데 사용했다고 비난한 바 있습니다.
이 스테가노그래피 방식은 실제 서비스 배포보다는 적대적 머신러닝 (Adversarial ML) 연구에서 더 흔히 쓰이는 기술을 반영합니다. Anthropic은 보이지 않는 서식 변경 사항에 신호를 삽입함으로써, 표준적인 투명성 조치를 우회하는 탐지 메커니즘을 만들었으며, 이는 해당 팀 스스로도 우회하기 쉽다고 인정한 부분입니다. 이번 사건은 셸 접근 권한을 가진 AI 코딩 에이전트가 사용자의 명시적인 동의 없이 어느 정도까지 모니터링을 수행해야 하는지에 대한 의문을 제기합니다.
주목해야 할 점 (What to watch)
롤백이 완료되었는지 확인하기 위해 다음 Claude Code 출시를 주시하십시오. 또한 Anthropic이 향후 릴리스 노트(release notes)를 통해 모니터링 실험에 대해 공개하는지, 그리고 EU나 중국의 규제 기관이 이러한 데이터 전송 관행을 조사하는지 추적하십시오.
출처: the-decoder.com
원문 게시: gentic.news
AI 자동 생성 콘텐츠
본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기