News

Claude Code tracciava di nascosto gli utenti cinesi: la lezione sulla privacy

Mister gadget privacy ai

Un tool di sviluppo che, in silenzio, capisce da dove ti stai connettendo e lo comunica a chi lo ha creato: è lo scenario emerso attorno a Claude Code, l’assistente per programmatori di Anthropic.

A scoprirlo è stato un ricercatore di sicurezza, poi ripreso da un utente Reddit con lo pseudonimo LegitMichel777, che analizzando la versione 2.1.91 del software (rilasciata il 2 aprile 2026) ha trovato un meccanismo capace di riconoscere se una connessione arrivava dalla Cina, verificando il fuso orario del sistema (per esempio Asia/Shanghai o Asia/Urumqi) e confrontando l’eventuale proxy usato con un elenco di domini legati a laboratori di intelligenza artificiale cinesi.

Il punto più delicato non è tanto cosa veniva controllato, quanto come. Il codice modificava in modo pressoché invisibile il prompt di sistema, sostituendo caratteri Unicode e il formato della data con varianti che sembrano identiche a occhio nudo ma che, in realtà, trasportano un segnale leggibile dai server di Anthropic.

Parte della logica che elencava i domini sospetti era inoltre offuscata con XOR e Base64, una scelta che normalmente si adotta quando si vuole che una stringa non salti fuori facilmente da un’ispezione superficiale del codice.

La versione di Anthropic

Di fronte alle prime segnalazioni, Thariq Shihipar, ingegnere del team Claude Code, ha confermato l’esistenza del meccanismo in un post su X, definendolo un “esperimento lanciato a marzo” per contrastare l’abuso di account da parte di rivenditori non autorizzati e per proteggere l’azienda dalla cosiddetta distillazione: la pratica con cui un laboratorio concorrente addestra un proprio modello sulle risposte di un modello altrui, senza avervi accesso diretto, semplicemente interrogandolo un numero enorme di volte.

Anthropic ha effettivamente denunciato in più occasioni campagne di questo tipo. A febbraio aveva accusato tre laboratori cinesi di aver generato oltre 16 milioni di scambi con Claude attraverso circa 24.000 account fraudolenti.

A giugno ha attribuito ad alcune entità legate ad Alibaba una campagna ancora più ampia, con quasi 29 milioni di scambi tramite 25.000 account, in quella che l’azienda ha definito la più grande operazione di distillazione mai registrata ai propri danni.

Il codice nascosto, secondo la ricostruzione di Shihipar, sarebbe stato pensato proprio per intercettare questo tipo di abusi, e la sua rimozione (arrivata con la release del 1° luglio) era già programmata da tempo, perché nel frattempo l’azienda avrebbe sviluppato “protezioni più solide”.

Il problema è che questa spiegazione non ha convinto granché i critici. Anthropic non ha mai reso pubblico il meccanismo in una nota di rilascio o nei termini di servizio, non ha specificato quali dati venissero effettivamente raccolti o come venissero usati, e non ha risposto a chi le ha chiesto in cosa consistano concretamente le “protezioni più solide” subentrate.

Il fatto che l’azienda si sia costruita un’immagine pubblica fondata proprio su sicurezza e trasparenza, arrivando persino a fare causa alla Casa Bianca dopo essersi rifiutata di lasciare che Claude venisse usato per sorvegliare cittadini statunitensi, rende il contrasto ancora più evidente agli occhi di chi si occupa di privacy.

Le conseguenze concrete

La vicenda non è rimasta confinata al dibattito online. Alibaba ha comunicato ai propri dipendenti lo stop all’uso di Claude Code a partire dal 10 luglio, inserendo il software nella lista degli strumenti ad alto rischio dopo una revisione interna, motivandolo con il rischio di funzionalità nascoste non dichiarate.

Un episodio che, va detto, si inserisce in un contesto già teso: Claude non è ufficialmente disponibile in Cina, gli utenti cinesi vi accedono comunque tramite proxy o servizi terzi, e ad aggravare il quadro c’è anche la sospensione temporanea, decisa a giugno dal governo statunitense, dei modelli più avanzati di Anthropic per motivi di controllo alle esportazioni.

Il tema vero: la privacy quando parliamo con un’AI

Il singolo episodio, per quanto rilevante, è utile soprattutto perché mette a fuoco una domanda che riguarda chiunque usi uno strumento di intelligenza artificiale, non solo chi programma: quanto possiamo davvero sapere di cosa succede tra la nostra tastiera e i server di chi gestisce il modello?

La risposta onesta è: molto meno di quanto vorremmo. Quando scriviamo un prompt, il testo che arriva davvero al modello può contenere molto più di quello che digitiamo: informazioni di sistema, metadati tecnici, marcatori nascosti come quelli scoperti in Claude Code.

Nella maggior parte dei casi si tratta di dati tecnici innocui, utili per far funzionare meglio il servizio, ma la vicenda dimostra che la differenza tra “telemetria legittima” e “sorveglianza silenziosa” dipende quasi interamente dalla trasparenza con cui viene comunicata, non dalla tecnologia in sé.

Cosa può fare davvero chi usa questi strumenti

Non esiste un modo semplice per il pubblico generalista di controllare cosa viaggia davvero verso i server di un’azienda di AI, ma qualche accorgimento aiuta a orientarsi:

  • Leggere la privacy policy e i termini di servizio, cercando in particolare le sezioni su telemetria, dati diagnostici e condivisione con terze parti. Se un’azienda aggiorna quei documenti dopo una polemica, è già un segnale da tenere d’occhio.
  • Preferire, quando possibile, strumenti open source o con codice ispezionabile: non è una garanzia assoluta, ma rende molto più difficile nascondere meccanismi come quello scoperto in Claude Code, perché chiunque può analizzare il codice sorgente.
  • Monitorare il traffico di rete con strumenti come Wireshark o un semplice proxy locale, per chi ha competenze tecniche: è esattamente così che è stato scoperto il caso di cui parliamo oggi, ed è un metodo replicabile da chiunque abbia un minimo di dimestichezza.
  • Verificare se esistono audit indipendenti o bug bounty program attivi sul prodotto: le aziende serie li rendono pubblici e ne pubblicano i risultati, anche parziali.
  • Controllare le dichiarazioni ufficiali dell’azienda nel tempo: un’azienda che promette trasparenza e poi viene scoperta a fare l’opposto merita più scrutinio, non meno, sulle dichiarazioni successive.

Nessuno di questi passaggi elimina del tutto il problema di fondo: usare un servizio di AI in cloud significa, per definizione, fidarsi di chi lo gestisce. Ma la vicenda di Claude Code ricorda che questa fiducia non va data per scontata, e che vale la pena verificarla, anche solo leggendo con più attenzione cosa succede quando la prossima grande azienda di intelligenza artificiale finisce sotto i riflettori per lo stesso motivo.


Cosa sappiamo e cosa non sappiamo

Cosa sappiamo:

  • Anthropic ha confermato l’esistenza di un meccanismo nascosto in Claude Code, introdotto a marzo 2026 e rimosso il 1° luglio 2026
  • Il codice riconosceva connessioni da fuso orario cinese o da proxy collegati a laboratori AI cinesi, alterando in modo invisibile il prompt di sistema
  • Alibaba ha vietato ai propri dipendenti l’uso di Claude Code a partire dal 10 luglio, citando rischi di sicurezza
  • Anthropic ha collegato la misura alla propria battaglia contro la distillazione dei propri modelli da parte di laboratori cinesi

Cosa non sappiamo ancora:

  • Quanti utenti siano stati effettivamente segnalati e cosa sia stato fatto in concreto con quei dati
  • Se meccanismi simili esistano in altri prodotti di Anthropic, oltre a Claude Code
  • Se l’azienda condurrà un audit più ampio sulla propria telemetria o aggiornerà i termini di servizio a seguito della polemica

Domande frequenti su Claude e Privacy

Cos’è la “steganografia nel prompt” usata da Claude Code? È una tecnica che nasconde informazioni all’interno di un testo apparentemente normale, sostituendo caratteri quasi identici a quelli originali (per esempio simboli Unicode o il formato della data) in modo che il messaggio resti leggibile per un sistema automatico ma invisibile per una persona che legge il testo.

Perché Anthropic dice di aver introdotto questo meccanismo? Secondo l’azienda, serviva a individuare account usati da rivenditori non autorizzati e a contrastare la distillazione, cioè l’addestramento di modelli concorrenti tramite interrogazioni ripetute a Claude. Anthropic ha documentato più volte campagne di questo tipo attribuite a laboratori cinesi.

Il meccanismo raccoglieva dati personali sensibili? Le informazioni segnalate risultano soprattutto tecniche, come fuso orario e proxy di connessione, non contenuti dei messaggi. Resta il fatto che il meccanismo non era dichiarato pubblicamente, e questo è il punto più contestato dai critici.

Posso sapere se un altro strumento di AI fa qualcosa di simile? Non con certezza assoluta, ma leggere privacy policy e termini di servizio, preferire strumenti con codice ispezionabile e seguire il lavoro di ricercatori di sicurezza indipendenti restano gli strumenti più concreti a disposizione di chi non ha competenze tecniche avanzate.

Cosa cambia per chi usa Claude Code oggi? Il meccanismo contestato risulta rimosso dalla release del 1° luglio 2026. Restano aperte le domande su eventuali meccanismi simili in altri prodotti Anthropic, a cui l’azienda non ha ancora risposto pubblicamente in dettaglio.


Banner di Mistergadget con invito ad aggiungere il sito alle Fonti Preferite di Google

Change privacy settings
×