- Bài viết
- 3.507
- Được Like
- 11
Bị đối thủ ăn trộm kiến thức AI qua 25.000 tài khoản, Anthropic âm thầm cài mã theo dõi để phát hiện người dùng từ Trung Quốc
Tuần trước, Anthropic cáo buộc Alibaba đã phối hợp dùng hơn 25.000 tài khoản để thực hiện quá trình chưng cất dữ liệu Claude, tức khai thác phản hồi của mô hình ở quy mô lớn để huấn luyện mô hình AI riêng. Từ ngày 22 tháng 4 đến ngày 5 tháng 6, số lần tương tác từ các tài khoản này vượt quá 28,8 triệu lần. Anthropic đã khóa toàn bộ, và theo phản ánh trên mạng xã hội X, tất cả địa chỉ IP bị chặn đều thuộc Chiết Giang và Hàng Châu, tức khu vực đặt trụ sở của Alibaba.
Chỉ vài ngày sau, một lập trình viên phát hiện ra điều mà nhiều người trong cộng đồng gọi là "lớp phòng thủ thứ hai" của Anthropic, một lớp mà Anthropic chưa bao giờ thừa nhận sự tồn tại.
Lập trình viên này thường dùng proxy để kết hợp các mô hình GPT và Claude trong quy trình làm việc của mình. Khi phiên bản Claude Code 2.1.196 tắt tính năng điều khiển từ xa khi phát hiện proxy đang hoạt động, anh quyết định phân tích ngược mã nguồn để khôi phục tính năng đó. Trong quá trình đó, anh tìm thấy một đoạn mã đã tồn tại âm thầm từ phiên bản 2.1.91 phát hành ngày 2 tháng 4 năm 2026, không có một dòng nào trong thông báo sản phẩm đề cập đến sự tồn tại của nó, và đoạn mã này đã được bảo vệ bằng mã hóa XOR để tránh bị các công cụ quét thông thường phát hiện.
Đoạn mã thực hiện hai kiểm tra. Thứ nhất, nó xác định xem múi giờ hệ thống của người dùng có phải là Asia/Shanghai hay Asia/Urumqi không. Thứ hai, nó kiểm tra xem URL proxy đang dùng có thuộc tên miền Trung Quốc hay thuộc danh sách phòng thí nghiệm AI Trung Quốc cụ thể không. Kết quả của hai kiểm tra này không được gửi đi dưới dạng log hay thông báo có thể nhìn thấy, mà được mã hóa vào system prompt theo cách gần như vô hình.
Cụ thể hơn, nếu phát hiện người dùng đang ở múi giờ Trung Quốc, định dạng ngày trong system prompt sẽ đổi từ "2026-06-30" sang "2026/06/30". Nếu phát hiện proxy thuộc tên miền Trung Quốc nhưng không phải phòng thí nghiệm AI, ký tự dấu nháy đơn trong cụm "Today's date is" sẽ được thay bằng ký tự Unicode U+2019, dấu nháy đơn phải. Nếu proxy thuộc phòng thí nghiệm AI Trung Quốc, ký tự đó lại được thay bằng U+02BC, một ký tự khác trông giống hệt nhưng mang mã số khác. Anthropic có thể đọc những tín hiệu này mà người dùng thông thường không bao giờ nhận ra sự khác biệt.
Cộng đồng lập trình viên chia rẽ rõ ràng về cách đánh giá sự việc này. Một số cho rằng telemetry địa lý là hoàn toàn bình thường và hàng trăm phần mềm khác trên máy tính cũng thu thập dữ liệu tương tự. Nhưng những người chỉ trích không phủ nhận quyền của Anthropic bảo vệ sở hữu trí tuệ mà đặt câu hỏi về cách thực hiện: nếu mục đích hoàn toàn hợp lệ, tại sao không ghi vào release notes, tại sao dùng steganography để ẩn tín hiệu trong system prompt, và tại sao dùng mã hóa XOR để tránh bị các công cụ quét thông thường nhận ra? Ba lớp che giấu chồng lên nhau khiến lập luận "đây chỉ là telemetry thông thường" khó đứng vững.
Câu chuyện còn thêm một chi tiết đáng chú ý từ cộng đồng người dùng Trung Quốc. Trong email thông báo tài khoản bị khóa mà Anthropic gửi đến người dùng vi phạm, hệ thống email của Anthropic nhúng một tracker từ url8792.mail.anthropic.com. Điều này có nghĩa là ngay khi người dùng mở email thông báo khóa tài khoản, họ vô tình xác nhận vị trí địa lý của mình lần thứ hai, dù đây là tính năng phổ biến trong email marketing thương mại chứ không phải kỹ thuật đặc biệt.
Copy link Link bài gốc Lấy link Bị đối thủ ăn trộm kiến thức AI qua 25.000 tài khoản, Anthropic âm thầm cài mã theo dõi để phát hiện người dùng từ Trung Quốc
Nguồn: GenK
Chuyên mục: AI