Alibaba prohíbe Claude Code y China lanza una alerta por un rastreador oculto que detectaba a usuarios chinos

Alibaba prohíbe Claude Code y China lanza una alerta por un rastreador oculto que detectaba a usuarios chinos
Fuente: cbsnews.com

China ha emitido una alerta de seguridad sobre Claude Code, la herramienta de programación de Anthropic, después de que un investigador destapara código oculto que detectaba si el usuario estaba en China. Alibaba ya ha prohibido la herramienta a toda su plantilla a partir del 10 de julio. Es el choque más serio hasta ahora entre un laboratorio de IA de EE.UU. y el mercado chino, y toca una fibra sensible para cualquier empresa que meta herramientas de IA extranjeras en su día a día: qué envían por detrás.

Qué encontró el investigador

El hilo lo tiró un desarrollador conocido como Thereallo, que analizó el cliente de Claude Code y encontró lo que describió como esteganografía dentro del propio prompt. La lógica llevaba activa desde la versión 2.1.91, publicada el 2 de abril.

El funcionamiento era fino. Cuando el sistema detectaba que el usuario pasaba por un proxy, comprobaba si la zona horaria del equipo coincidía con Asia/Shanghai o Asia/Urumqi, y cruzaba la URL del proxy contra una lista fija de dominios chinos. Hasta ahí, una comprobación. Lo llamativo es cómo devolvía el resultado: en vez de mandar una señal evidente, codificaba lo que había detectado cambiando el formato de la fecha y sustituyendo un carácter de puntuación en el prompt de sistema que se enviaba de vuelta a los servidores de Anthropic. Invisible para el usuario, legible para la máquina al otro lado.

En cristiano: una parte del software estaba etiquetando de forma silenciosa a los usuarios que parecían chinos o vinculados a laboratorios chinos, y mandaba esa etiqueta escondida en un sitio donde nadie miraría.

La esteganografía es la clave de por qué esto pasó meses sin detectarse. No consiste en mandar un dato nuevo que alguien pueda ver en el tráfico de red, sino en esconder información dentro de algo que ya viaja de todas formas, en este caso el prompt de sistema. Cambiar el formato de una fecha o una coma no levanta ninguna alarma. Nadie audita la puntuación de un texto que ya sale hacia el servidor. Por eso funcionó, y por eso incomoda tanto: el canal de salida era el propio funcionamiento normal de la herramienta.

La respuesta de Anthropic

Un ingeniero de Anthropic, Thariq Shihipar, confirmó que ese rastreador se había añadido a Claude Code como un experimento en marzo. El contexto ayuda a entender el porqué sin justificarlo: Anthropic lleva meses acusando a laboratorios chinos de ataques de destilación, es decir, de entrenar sus modelos copiando de forma masiva las salidas de Claude para replicar su comportamiento a bajo coste. La detección buscaba precisamente eso, marcar accesos sospechosos de venir de esos laboratorios.

El problema es que la frontera entre proteger tu modelo y vigilar a tus usuarios por nacionalidad es exactamente la que Anthropic dice defender. La compañía se ha posicionado siempre en contra de la vigilancia, y aquí aparece haciendo justo lo que critica, y encima escondido. Una cosa es bloquear un acceso que consideras abusivo, y otra es etiquetar en silencio a usuarios legítimos por su zona horaria. Lo segundo es lo que ha encendido la mecha, porque afecta a cualquiera que trabaje desde China, no solo a un laboratorio rival.

China y Alibaba mueven ficha

La reacción oficial llegó rápido. La National Vulnerability Database china, operada por el ministerio de industria, avisó el miércoles de un riesgo de puerta trasera en Claude Code: un mecanismo de monitorización capaz de transmitir información sensible, incluida la ubicación geográfica y datos de identidad, a servidores remotos sin consentimiento del usuario.

Alibaba no esperó. Ha prohibido a sus empleados usar Claude Code para cualquier trabajo a partir del 10 de julio y les ha dicho que se pasen a Qoder, su propia alternativa de programación con IA. La brecha entre las dos empresas se ensancha justo cuando los modelos chinos empiezan a competir de tú a tú con los americanos.

Por qué importa

Esto no va solo de una pelea entre Anthropic y China. Va de que cualquier herramienta de IA que instalas en tu empresa es también un canal de salida de datos, y casi nunca sabes qué manda ni cuándo. Aquí hablamos de un cliente de programación que alteraba su propio prompt para etiquetar usuarios sin decírselo a nadie. Si eso pasa con la nacionalidad, la pregunta honesta es qué más se puede etiquetar y mandar de la misma forma.

Para un operador la lección es concreta. Antes de meter una herramienta de IA en procesos con datos sensibles, conviene saber qué tráfico genera hacia fuera, con quién habla y qué manda. No hace falta paranoia, hace falta visibilidad. Un proxy de salida con registro, revisar qué versiones se actualizan solas y probar en entornos aislados antes de dárselo al equipo entero cuestan poco y evitan sorpresas. La mayoría de estas herramientas se actualizan solas en segundo plano, así que lo que auditaste en la versión de marzo puede no ser lo que corre en abril.

El episodio también acelera algo que ya estaba en marcha: la desconfianza cruzada entre bloques. Si en EE.UU. se restringen los modelos chinos, como en la posible restricción de acceso que estudia Pekín, y en China se prohíben las herramientas americanas, las empresas globales acaban teniendo que mantener dos stacks de IA, uno para cada lado. Eso es coste doble: dos proveedores, dos integraciones, dos equipos que mantener al día. Es la factura silenciosa de que la IA se haya vuelto asunto de Estado.

Y hay un daño que no aparece en ninguna factura, el de confianza. Anthropic ha construido su marca sobre la seguridad y la transparencia. Un rastreador oculto, por muy justificado que estuviera su objetivo, contradice ese relato y le da munición a cualquier competidor que quiera vender lo contrario. En un mercado donde eliges proveedor de IA para años, esa credibilidad vale tanto como el rendimiento del modelo.


Relacionado