Anthropic remove código secreto do Claude Code: fim do “ANTI_DISTILLATION_CC” após ban da Alibaba e ataque de 25 mil contas

Anthropic retira do Claude Code o ANTI_DISTILLATION_CC — código de esteganografia que rastreava suspeitas de distilação — após ban da Alibaba.

anthropic-remove-codigo-secreto-do-claude-code-fim-do-anti_distillation_cc-apos-ban-da-alibaba-e-ataque-de-25-mil-contas

Resumo: A Anthropic anunciou em 1º de julho a retirada de um trecho controverso do Claude Code, batizado internamente de ANTI_DISTILLATION_CC, que injetava dados falsos em requisições da API para inviabilizar o treinamento de modelos rivais por “distilação” — sobretudo em contas suspeitas de proxies vinculados à China. O código, por vezes descrito como “esteganografia defensiva”, virou controvérsia depois que engenheiros externos o encontraram no fonte e o interpretaram como monitoramento oculto. A Alibaba baniu o Claude Code para funcionários, invocando risco de segurança. A retirada foi confirmada pelo engenheiro Thariq Shihipar, com fix disponível a partir do release de 1º de julho. O caso é um estudo raro sobre até onde vai a autodefesa de um modelo comercial e onde ela vira problema de confiança.

O que era o ANTI_DISTILLATION_CC

Em março, a Anthropic ativou uma flag chamada ANTI_DISTILLATION_CC em um arquivo TypeScript do Claude Code. Quando ligada, injetava “tool data” falso nas requisições da API com o objetivo de contaminar o dataset que um atacante coletasse ao raspar respostas do Claude — a técnica de distillation, que treina modelo B a imitar modelo A a partir de milhões de pares pergunta-resposta. O código tinha ainda um segundo comportamento, alvo de mais polêmica: identificava, por sinais indiretos (roteamento de proxies, cabeçalhos, padrão de data), requisições que a Anthropic classificava como conectadas a redes chinesas de resale de conta, e injetava marcadores esteganográficos (Unicode invisível, mudanças sutis de formato de data) para rastreamento.

Em carta a senadores dos EUA datada de 10 de junho, a Anthropic afirmou que operadores ligados ao laboratório Qwen da Alibaba executaram, entre 22 de abril e 5 de junho de 2026, um ataque de distilação usando cerca de 25.000 contas fraudulentas, gerando mais de 28,8 milhões de interações com o Claude. É essa a moldura oficial: o código era resposta a incidente real e documentado.

Por que a retirada

Segundo Thariq Shihipar, o time desenvolveu mitigações mais fortes (provavelmente ao nível de rate limiting, análise de sinais e autenticação reforçada) e “já queria tirar o código há um tempo”. A leitura mais generosa é técnica: a esteganografia era paliativo, ficou obsoleta. A leitura política é a de reduzir dano de imagem depois que a Alibaba baniu formalmente o Claude Code para uso interno.

Por que importa (e o status no Brasil)

O caso escancara três discussões que estão vindo para empresas e órgãos públicos brasileiros. Primeira, cláusula de termos de uso versus expectativa razoável de privacidade. A Anthropic pode argumentar que a esteganografia estava coberta pelos termos, mas o efeito de reputação sugere que “tudo o que os termos permitem” não é o mesmo que “tudo o que a comunidade tolera”. Empresas brasileiras que estão desenhando políticas de IA precisam considerar como responderiam a um incidente semelhante em uma ferramenta que oferecem.

Segunda, dependência de fornecedores estrangeiros. Bancos, governos e áreas de defesa que usam LLMs comerciais estão, na prática, executando código proprietário em fluxos sensíveis. Uma flag como ANTI_DISTILLATION_CC pode injetar dado falso em uma trilha de decisão sem alerta. A recomendação técnica é óbvia: registro (logging) determinístico de saídas do modelo, validação humana em tarefas com consequência e — quando possível — inferência local para dados regulados.

Terceira, geopolítica. O caso mostra que a fronteira EUA-China dentro do stack de IA não passa só por chips e controle de exportação: passa por código dentro do produto. Para empresas brasileiras que operam nos dois lados, é um sinal de cuidado com contratos, escolhas de arquitetura e dependência de um único fornecedor.

Riscos e limitações

Alguns pontos precisam ser lidos com sobriedade. Nada até agora indica que o ANTI_DISTILLATION_CC tenha capturado dados pessoais de usuários brasileiros ou que tenha vazado informação sensível — o comportamento reportado é injeção de dado falso e marcação esteganográfica. A cobertura sensacionalista fala em “spyware”; o código público lido pela comunidade técnica sugere algo mais próximo de “sinalização defensiva”. Ainda assim, o efeito prático — código não documentado que altera saídas do modelo — é o que sempre deveria acionar auditoria em ferramentas comerciais críticas. E há o risco reverso: a retirada não elimina mecanismos análogos em outros produtos ou fornecedores. É improvável que Anthropic seja o único a experimentar defesas contra distilação.

Cenário: o que vem em seguida

Três desdobramentos são prováveis nos próximos meses. Um: fornecedores de LLM vão passar a documentar mecanismos de defesa contra distilação nos system cards, para evitar surpresas. Dois: contratos B2B com grandes clientes (bancos, governos, saúde) vão incluir cláusulas de “transparência de mecanismos internos” e direito de auditoria de código de sistema. Três: laboratórios chineses e norte-americanos vão continuar em guerra tecnológica silenciosa — quem depende de qualquer um dos lados precisa ter plano B testado. No Brasil, a agenda de soberania de IA (data centers nacionais, modelos abertos treinados aqui) ganha argumento novo.

Análise SWOT econômica

Forças
Resposta rápida a incidente concreto; retirada pública do código controverso; canal aberto de comunicação técnica com a comunidade.
Fraquezas
Falta de documentação prévia gerou crise de confiança; ban da Alibaba fecha porta de mercado importante; risco de precedente para outros fornecedores.
Oportunidades
Mercado de auditoria de LLM comercial; contratos B2B mais maduros; agenda brasileira de soberania de IA ganha caso concreto.
Ameaças
Escalada de guerra tecnológica EUA-China afeta empresas brasileiras que operam nos dois lados; risco reputacional para IA comercial em geral.

Conclusão prática

Para times de segurança e engenharia no Brasil, o caso ANTI_DISTILLATION_CC deve virar item de checklist. Se você usa Claude Code, atualize para o release que remove a flag e revise se o comportamento de resposta mudou em pipelines críticos. Se você usa qualquer LLM comercial em fluxo sensível, aplique quatro medidas mínimas: (1) log determinístico das saídas; (2) validação humana ou por regra em decisões com consequência; (3) monitoramento de drift entre versões do modelo; (4) cláusula contratual de notificação sobre mecanismos internos que alteram output. É trabalho de higiene, não de paranoia. A privacidade e a segurança de dados regulados são responsabilidade sua, não do fornecedor — e neste tema recomenda-se consultar profissional de segurança da informação e assessoria jurídica especializada antes de decidir arquitetura.

Fonte original: The Register — Anthropic is removing its covert code for catching Chinese competitors. Contexto adicional: Crypto Briefing — Alibaba bans Claude Code.