آنتروپیک چگونه با تغییرات ریز در متن، کاربران API را شناسایی می‌کند؟

دسترسی کامل به سیستم‌فایل و اجرای دستورات در ترمینال، ابزاری مانند Claude Code را به یکی از حساس‌ترین نرم‌افزارهایی تبدیل می‌کند که روی سیستم شما نصب می‌کنید. اما تحلیل‌های فنی اخیر نشان می‌دهد که این ابزار در کنار قابلیت‌های کدنویسی، یک سیستم جاسوسی ظریف برای ردیابی کاربران را در دل خود جای داده است. در حالی که نسخه 2.1.196 از Claude Code در ظاهر یک ابزار استاندارد برای توسعه‌دهندگان به نظر می‌رسد، کالبدشکافی فنی آن یک مکانیسم پنهان را افشا می‌کند که از «استگانوگرافی پرامپت» برای اثرانگشت‌گذاری کاربران استفاده می‌کند.

طبق گزارش منتشرشده در ۳۰ ژوئن ۲۰۲۶ از وب‌سایت thereallo.dev، آنتروپیک از طریق تغییر دادن کاراکترهای یونیکد تقریباً نامرئی در پرامپت سیستمی، می‌تواند تشخیص دهد که آیا ابزارش از طریق درگاه‌های غیرمجاز یا بازفروشندگان routed شده است یا خیر. همان‌طور که در پوشش پیشین ما درباره‌ی تحلیل‌های امنیتی مدل‌های زبانی و نحوه شناسایی «بوی بد کد» (code smells) توسط کلود اشاره کردیم، این یافته جدید روی جنبه متفاوتی از ابزار تمرکز دارد: رفتار باینری در سمت کلاینت و سیگنال‌های تل‌متری آن. برای تحلیل دقیق‌تر این تعاملات، برخی توسعه‌دهندگان از ابزارهای جانبی استفاده می‌کنند؛ برای مثال ابزار Her می‌تواند لاگ‌های پیچیده نشست‌های Claude Code را به گزارش‌های متنی قابل فهم تبدیل کند تا رفتارهای پنهان سیستم بهتر رصد شوند.

زمینه: ریسک دسترسی عامل‌ها
عامل‌های (Agents) کدنویسی در سمت خطرناک یک مرز امنیتی حساس عمل می‌کنند. برای اینکه این ابزارها کاربردی باشند، نیاز به مجوزهای گسترده‌ای دارند؛ از دسترسی به سیستم‌فایل (FS) و اجرای شل (Shell) گرفته تا کنترل گیت و دسترسی به مرورگر. این ابزارها می‌توانند به‌طور تصادفی اسرار حساس (Secrets) پروژه را خلاصه کنند، بسته‌ها را نصب کنند، فایل‌ها را ویرایش کرده و کامیت‌ها را روی ماشین‌های محلی ثبت کنند.

به دلیل این سطح بالای اعتماد، باینری ارسالیِ یک عامل باید «خسته‌کننده» و پیش‌بینی‌پذیر باشد. زمانی که ابزاری با دسترسی به شل و سیستم‌فایل شروع به پنهان کردن بیت‌های طبقه‌بندی در علائم نگارشی نامرئی می‌کند، طبیعتاً مورد تدقیق و بررسی قرار می‌گیرد. اعتماد توسعه‌دهندگان تنها از طریق رفتارهای شفاف و خسته‌کننده به دست می‌آید.

جزئیات: مکانیسم اثرانگشت‌گذاری
به نقل از گزارش thereallo.dev، این ابزار یک تریگر یا محرک خاص را زیر نظر دارد: تغییر متغیر ANTHROPIC_BASE_URL. اگر این متغیر تنظیم نشده باشد یا از نقطه اتصال (Endpoint) رسمی استفاده شود، تابع سریعاً بازگشت می‌کند و پرامپت تاریخ به‌صورت عادی باقی می‌ماند. اما زمانی که این تغییر فعال باشد، باینری دو عامل اصلی را بررسی می‌کند:

• تشخیص منطقه زمانی: سیستم بررسی می‌کند که آیا منطقه زمانی (Timezone) روی Asia/Shanghai یا Asia/Urumqi تنظیم شده است یا خیر.
• تحلیل نام میزبان: نام میزبان (Hostname) مربوط به API با فهرستی از دامنه‌ها که به صورت رشته‌های base64 ذخیره شده‌اند و با استفاده از کلید ۹۱ با متد XOR رمزگشایی می‌شوند، تطبیق داده می‌شود.

بسته به نتیجه این تطبیق، ابزار به‌طور نامحسوس رشته‌ی تاریخ در پرامپت سیستمی را که هنگام ساخت کانتکست عامل استفاده می‌شود، تغییر می‌دهد:

• تغییر آپاستروف: واژه‌ی "Today's" بر اساس بررسی نام میزبان تغییر می‌کند:
  • حالت عادی: '
  • دامنه شناخته شده: ’ (تک‌کوتیشن راست)
  • کلمه کلیدی آزمایشگاهی: ʼ (Modifier letter prime)
  • دامنه شناخته شده + کلمه کلیدی آزمایشگاهی: ʹ (Prime symbol)
• جداکننده تاریخ: اگر منطقه زمانی مربوط به شانگهای یا اورومچی باشد، جداکننده تاریخ از خط تیره (-) به اسلش (/) تغییر می‌یابد.

این تغییرات در اکثر فونت‌های تک‌فاصله (Mono fonts) بصری‌ترین تغییرات ممکن هستند و متوجه آن‌ها تقریباً غیرممکن است. با این حال، این‌ها به عنوان نشانگرهای دقیقی برای بک‌اند آنتروپیک عمل می‌کنند تا داده‌ها را تجزیه کنند. لیست‌های رمزگشایی شده شامل کلمات کلیدی آزمایشگاه‌های AI مانند "deepseek" و "zhipu"، در کنار حجم زیادی از دامنه‌های شرکتی چینی و گیت‌وی‌های پروکسی و بازفروشنده است.

برای کاربر عادی در نقطه اتصال رسمی، این مسیر غیرفعال می‌ماند. اما توسعه‌دهندگانی که از پروکسی‌های محلی، گیت‌وی‌های داخلی، روترهای مدل یا محیط‌های تحقیقاتی استفاده می‌کنند، در واقع توسط علائم نگارشی پرامپت خود اثرانگشت‌گذاری می‌شوند.

این پیاده‌سازی، فرض موجود مبنی بر اینکه ابزارهای توسعه‌دهنده باید درباره تل‌متری خود شفاف باشند را تغییر می‌دهد. اگرچه محافظت از مدل‌ها در برابر «حملات تقطیر» (Distillation Attacks) — جایی که رقبا از یک API برای آموزش مدل‌های کوچک‌تر استفاده می‌کنند — یک هدف تجاری مشروع است، اما پنهان کردن این منطق در علائم نگارشی، انتخابی با اصطکاک بالا برای ابزاری است که نیاز به دسترسی کامل به سیستم‌فایل و شل دارد. در حالی که آنتروپیک سعی دارد کنترل دسترسی را از طریق متدهای غیرشفاف مدیریت کند، رویکردهای متفاوتی برای انتقال پردازش هوش مصنوعی وجود دارد؛ چنان‌که پروژه CodeClarify تلاش می‌کند تا عملیات عیب‌یابی AI را به‌طور کامل به فضای مرورگر منتقل کند تا امنیت و شفافیت بیشتری در محیط‌های ایزوله ایجاد شود.

آنتروپیک با انتخاب مبهم‌سازی (Obfuscation) به جای فیلدهای تل‌متری صریح، مستندات یا یادداشت‌های انتشار، ریسک آسیب رساندن به اعتماد توسعه‌دهندگانی را پذیرفته که هدف اصلی این ابزار هستند. روش دور زدن این سیستم ساده است؛ کاربر می‌تواند نام میزبان را تغییر دهد، منطقه زمانی را عوض کند، پروسه را Wrap کند یا باینری را پچ کند. این یعنی این تکنیک عمدتاً توسعه‌دهندگانی را علامت‌گذاری می‌کند که مسیری غیرمتعارف اما بی‌ضرر را برای روتینگ انتخاب کرده‌اند.

گام بعدی شما

• اگر از Claude Code با یک base_url سفارشی استفاده می‌کنید، پرامپت‌های ارسالی خود را برای یافتن کاراکترهای Unicode غیرعادی بررسی کنید.
• برای حفظ حریم خصوصی مسیرهای شبکه، استفاده از نسخه‌های اصلاح‌شده (Patched) باینری را بررسی کنید.
• در تنظیمات سیستم خود، منطقه زمانی را با مکان واقعی تطبیق دهید تا اثرات جانبی این مکانیزم را مشاهده کنید.

اما داستان سخت‌افزاری این تحول حتی شگفت‌انگیزتر است — به تحلیل ما درباره‌ی تراشه‌های Blackwell مراجعه کنید.