Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
byteiota · 1T SIDEN · sikkerhet

Forsker: Claude Code setter usynlige Unicode-markører i systemprompt uten brukerbeskjed

SYNOPSIS_GENERERT

Claude Code bygger inn usynlige Unicode-markører i systemprompten for å klassifisere hvor forespørselen kommer fra, men bare når du ruter trafikken gjennom en egendefinert ANTHROPIC_BASE_URL.

En teknisk analyse publisert på thereallo.dev 30. juni viser at Claude Code leser miljøvariabelen ANTHROPIC_BASE_URL ved kjøretid. Bruker du det offisielle Anthropic-API-et direkte, skjer ingenting. Setter du derimot en egen base-URL, mot en bedriftsproxy, en modellruter eller en tredjeparts-gateway, matcher Claude Code vertsnavnet mot krypterte blocklister. Saken lå på topp av Hacker News med over 1000 poeng samme dag.

Listene er XOR-dekodet ved kjøretid med nøkkel 91 og inneholder domener knyttet til kjente API-videreselgere og kinesiske KI-lab-er: Deepseek, zhipu, Baidu og Alibaba. Klassifiseringsresultatet blir så kodet inn i det som ser ut som vanlig engelsk tekst i systemprompten, ved hjelp av Unicode-tegn som er usynlige for deg, men sendes med hver forespørsel. Det er ingen advarsel, ingen loggføring og ingen synlig indikasjon. Skjult tekst i klartekst er selve definisjonen på steganografi.

Motivasjonen er reell og verdt å ta på alvor. I februar 2026 varslet Anthropic, OpenAI og Google samtidig om koordinerte destillasjonsangrep i industriell skala. Anthropic anklaget DeepSeek, Moonshot AI og MiniMax for å ha brukt over 24 000 falske kontoer til å generere mer enn 16 millioner utvekslinger, for systematisk å trekke ut Claudes resonnement og agent-oppførsel og trene konkurrerende modeller. Fingeravtrykkingen retter seg mot infrastrukturen slike angrep hviler på.

«Fingerprinting my access patterns without first disclosing is where they shit the bed.» — kommentar på Hacker News

Problemet er ikke at Anthropic beskytter IP-en sin, men at det ble gjort skjult. Utviklere som ruter Claude Code gjennom interne gatewayer av helt legitime grunner, som secrets-håndtering, credential-injeksjon eller modellruting mellom flere leverandører, blir fingeravtrykket sammen med de useriøse aktørene. Deteksjonen er sløv: matcher ikke vertsnavnet det offisielle endepunktet eksakt, blir du klassifisert. Samtidig er tiltaket teknisk svakt. En seriøs videreselger omgår det trivielt ved å randomisere base-URL-en, så det fanger legitime utviklere, men ikke de faktiske destillererne.

For de fleste er dette ikke en direkte bekymring. Kjører du Claude Code mot standardoppsettet, altså det offisielle API-et, aktiveres aldri koden. Det er team som ruter gjennom egne gatewayer som bør bry seg.

Hva bør du gjøre?

Kjører du alt mot det offisielle Anthropic-endepunktet, trenger du ikke gjøre noe, for klassifiseringen fyres aldri av. Bruker organisasjonen din derimot en egendefinert ANTHROPIC_BASE_URL, en intern proxy eller en modellruter, bør du gå gjennom vertsnavnene på gatewayen og forstå hvilke signaler du sender med hver Claude Code-forespørsel. Vil du inspisere selv, kan du dumpe den effektive systemprompten og se etter Unicode-tegn i utilsiktede kodepunkt-områder, siden markørene ellers er usynlige i vanlig tekstvisning.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN