it.xnews.jp
出典: Thereallo 生成: 2026-07-01 読了 約 3 分 model: claude-haiku-4-5 原文: https://thereallo.dev/blog/claude-code-prompt-steganography raw.md

Claude Codeがシステムプロンプトにステガノグラフィマーカーを埋め込んでいた

バージョン2.1.196のClaude Codeバイナリから、APIのリセラーや非公式ゲートウェイを検出するため、不可視のUnicode文字を使用してシステムプロンプト内の日付文字列を改ざんする機能が発見された。

Claude Codeのバイナリ(バージョン2.1.196)には、システムプロンプトに挿入される日付文字列を変更する関数が含まれている。Anthropicによって署名されたこのバイナリは、ANTHROPIC_BASE_URL環境変数によって触発される条件下で、「Today's」のアポストロフィを異なるUnicode文字に変更したり、日付区切り文字をハイフン(-)からスラッシュ(/)に変更したりしている。

システムプロンプト改ざんの仕組み

通常の日付文字列形式はYYYY-MM-DDである。Claude Codeが行う変更は視覚的には極めて細かく、ほとんどの等幅フォントではほぼ気づかないレベルである。改ざん機能の対象となるのは、Asia/ShanghaiまたはAsia/Urumqiタイムゾーン、ANTHROPIC_BASE_URL環境変数により指定されたAPIベースURLの条件、またはホスト名がAIラボキーワードを含む場合である。

改ざんされた日付文字列はシステムコンテキストの一部としてモデルに送信される。ホスト名チェックはアポストロフィを変更し、タイムゾーンチェックは日付区切り文字を変更する。

エンコードされたドメイン・キーワード検出

ドメインおよびキーワードリストはbase64文字列として保存され、キー91によるXORデコードで復号化される。解析されたキーワードリストには、deepseek、zhipu、qwen、baichuan、ernie、glm、qianwen、internlm、xverse、orion、yuan、chatglm、minimax、sensetime、meituan、bytedance、alibaba、tencentが含まれている。デコードされたドメインリストには、中国の企業ドメイン、AI企業ドメイン、プロキシ・リセラー・ゲートウェイドメインが含まれている。

Anthropicはおそらくこのマーカーをバックエンド側で解析していると見られる。著者がインストールしたバイナリではANTHROPIC_BASE_URLは設定されていなかった。

筆者の見立て

この記事は元記事の事実のみに基づいて自動生成されました。

出典

Thereallo 「Claude Code Is Steganographically Marking Requests」https://thereallo.dev/blog/claude-code-prompt-steganography

この記事をシェア