Resumo: A Anthropic anunciou em 1º de julho a retirada de um trecho controverso do Claude Code, batizado internamente de ANTI_DISTILLATION_CC, que injetava dados falsos em requisições da API para inviabilizar o treinamento de modelos rivais por “distilação” — sobretudo em contas suspeitas de proxies vinculados à China. O código, por vezes descrito como “esteganografia defensiva”, virou controvérsia depois que engenheiros externos o encontraram no fonte e o interpretaram como monitoramento oculto. A Alibaba baniu o Claude Code para funcionários, invocando risco de segurança. A retirada foi confirmada pelo engenheiro Thariq Shihipar, com fix disponível a partir do release de 1º de julho. O caso é um estudo raro sobre até onde vai a autodefesa de um modelo comercial e onde ela vira problema de confiança.
Em março, a Anthropic ativou uma flag chamada ANTI_DISTILLATION_CC em um arquivo TypeScript do Claude Code. Quando ligada, injetava “tool data” falso nas requisições da API com o objetivo de contaminar o dataset que um atacante coletasse ao raspar respostas do Claude — a técnica de distillation, que treina modelo B a imitar modelo A a partir de milhões de pares pergunta-resposta. O código tinha ainda um segundo comportamento, alvo de mais polêmica: identificava, por sinais indiretos (roteamento de proxies, cabeçalhos, padrão de data), requisições que a Anthropic classificava como conectadas a redes chinesas de resale de conta, e injetava marcadores esteganográficos (Unicode invisível, mudanças sutis de formato de data) para rastreamento.
Em carta a senadores dos EUA datada de 10 de junho, a Anthropic afirmou que operadores ligados ao laboratório Qwen da Alibaba executaram, entre 22 de abril e 5 de junho de 2026, um ataque de distilação usando cerca de 25.000 contas fraudulentas, gerando mais de 28,8 milhões de interações com o Claude. É essa a moldura oficial: o código era resposta a incidente real e documentado.
Segundo Thariq Shihipar, o time desenvolveu mitigações mais fortes (provavelmente ao nível de rate limiting, análise de sinais e autenticação reforçada) e “já queria tirar o código há um tempo”. A leitura mais generosa é técnica: a esteganografia era paliativo, ficou obsoleta. A leitura política é a de reduzir dano de imagem depois que a Alibaba baniu formalmente o Claude Code para uso interno.
O caso escancara três discussões que estão vindo para empresas e órgãos públicos brasileiros. Primeira, cláusula de termos de uso versus expectativa razoável de privacidade. A Anthropic pode argumentar que a esteganografia estava coberta pelos termos, mas o efeito de reputação sugere que “tudo o que os termos permitem” não é o mesmo que “tudo o que a comunidade tolera”. Empresas brasileiras que estão desenhando políticas de IA precisam considerar como responderiam a um incidente semelhante em uma ferramenta que oferecem.
Segunda, dependência de fornecedores estrangeiros. Bancos, governos e áreas de defesa que usam LLMs comerciais estão, na prática, executando código proprietário em fluxos sensíveis. Uma flag como ANTI_DISTILLATION_CC pode injetar dado falso em uma trilha de decisão sem alerta. A recomendação técnica é óbvia: registro (logging) determinístico de saídas do modelo, validação humana em tarefas com consequência e — quando possível — inferência local para dados regulados.
Terceira, geopolítica. O caso mostra que a fronteira EUA-China dentro do stack de IA não passa só por chips e controle de exportação: passa por código dentro do produto. Para empresas brasileiras que operam nos dois lados, é um sinal de cuidado com contratos, escolhas de arquitetura e dependência de um único fornecedor.
Alguns pontos precisam ser lidos com sobriedade. Nada até agora indica que o ANTI_DISTILLATION_CC tenha capturado dados pessoais de usuários brasileiros ou que tenha vazado informação sensível — o comportamento reportado é injeção de dado falso e marcação esteganográfica. A cobertura sensacionalista fala em “spyware”; o código público lido pela comunidade técnica sugere algo mais próximo de “sinalização defensiva”. Ainda assim, o efeito prático — código não documentado que altera saídas do modelo — é o que sempre deveria acionar auditoria em ferramentas comerciais críticas. E há o risco reverso: a retirada não elimina mecanismos análogos em outros produtos ou fornecedores. É improvável que Anthropic seja o único a experimentar defesas contra distilação.
Três desdobramentos são prováveis nos próximos meses. Um: fornecedores de LLM vão passar a documentar mecanismos de defesa contra distilação nos system cards, para evitar surpresas. Dois: contratos B2B com grandes clientes (bancos, governos, saúde) vão incluir cláusulas de “transparência de mecanismos internos” e direito de auditoria de código de sistema. Três: laboratórios chineses e norte-americanos vão continuar em guerra tecnológica silenciosa — quem depende de qualquer um dos lados precisa ter plano B testado. No Brasil, a agenda de soberania de IA (data centers nacionais, modelos abertos treinados aqui) ganha argumento novo.
Para times de segurança e engenharia no Brasil, o caso ANTI_DISTILLATION_CC deve virar item de checklist. Se você usa Claude Code, atualize para o release que remove a flag e revise se o comportamento de resposta mudou em pipelines críticos. Se você usa qualquer LLM comercial em fluxo sensível, aplique quatro medidas mínimas: (1) log determinístico das saídas; (2) validação humana ou por regra em decisões com consequência; (3) monitoramento de drift entre versões do modelo; (4) cláusula contratual de notificação sobre mecanismos internos que alteram output. É trabalho de higiene, não de paranoia. A privacidade e a segurança de dados regulados são responsabilidade sua, não do fornecedor — e neste tema recomenda-se consultar profissional de segurança da informação e assessoria jurídica especializada antes de decidir arquitetura.
Fonte original: The Register — Anthropic is removing its covert code for catching Chinese competitors. Contexto adicional: Crypto Briefing — Alibaba bans Claude Code.
CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…
Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…
Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…
Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…
Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…
Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…