Anthropic remove código secreto do Claude Code: fim do “ANTI_DISTILLATION_CC” após ban da Alibaba e ataque de 25 mil contas

Resumo: A Anthropic anunciou em 1º de julho a retirada de um trecho controverso do Claude Code, batizado internamente de ANTI_DISTILLATION_CC, que injetava dados falsos em requisições da API para inviabilizar o treinamento de modelos rivais por “distilação” — sobretudo em contas suspeitas de proxies vinculados à China. O código, por vezes descrito como “esteganografia defensiva”, virou controvérsia depois que engenheiros externos o encontraram no fonte e o interpretaram como monitoramento oculto. A Alibaba baniu o Claude Code para funcionários, invocando risco de segurança. A retirada foi confirmada pelo engenheiro Thariq Shihipar, com fix disponível a partir do release de 1º de julho. O caso é um estudo raro sobre até onde vai a autodefesa de um modelo comercial e onde ela vira problema de confiança.

O que era o ANTI_DISTILLATION_CC

Em março, a Anthropic ativou uma flag chamada ANTI_DISTILLATION_CC em um arquivo TypeScript do Claude Code. Quando ligada, injetava “tool data” falso nas requisições da API com o objetivo de contaminar o dataset que um atacante coletasse ao raspar respostas do Claude — a técnica de distillation, que treina modelo B a imitar modelo A a partir de milhões de pares pergunta-resposta. O código tinha ainda um segundo comportamento, alvo de mais polêmica: identificava, por sinais indiretos (roteamento de proxies, cabeçalhos, padrão de data), requisições que a Anthropic classificava como conectadas a redes chinesas de resale de conta, e injetava marcadores esteganográficos (Unicode invisível, mudanças sutis de formato de data) para rastreamento.

Em carta a senadores dos EUA datada de 10 de junho, a Anthropic afirmou que operadores ligados ao laboratório Qwen da Alibaba executaram, entre 22 de abril e 5 de junho de 2026, um ataque de distilação usando cerca de 25.000 contas fraudulentas, gerando mais de 28,8 milhões de interações com o Claude. É essa a moldura oficial: o código era resposta a incidente real e documentado.

Por que a retirada

Segundo Thariq Shihipar, o time desenvolveu mitigações mais fortes (provavelmente ao nível de rate limiting, análise de sinais e autenticação reforçada) e “já queria tirar o código há um tempo”. A leitura mais generosa é técnica: a esteganografia era paliativo, ficou obsoleta. A leitura política é a de reduzir dano de imagem depois que a Alibaba baniu formalmente o Claude Code para uso interno.

Por que importa (e o status no Brasil)

O caso escancara três discussões que estão vindo para empresas e órgãos públicos brasileiros. Primeira, cláusula de termos de uso versus expectativa razoável de privacidade. A Anthropic pode argumentar que a esteganografia estava coberta pelos termos, mas o efeito de reputação sugere que “tudo o que os termos permitem” não é o mesmo que “tudo o que a comunidade tolera”. Empresas brasileiras que estão desenhando políticas de IA precisam considerar como responderiam a um incidente semelhante em uma ferramenta que oferecem.

Segunda, dependência de fornecedores estrangeiros. Bancos, governos e áreas de defesa que usam LLMs comerciais estão, na prática, executando código proprietário em fluxos sensíveis. Uma flag como ANTI_DISTILLATION_CC pode injetar dado falso em uma trilha de decisão sem alerta. A recomendação técnica é óbvia: registro (logging) determinístico de saídas do modelo, validação humana em tarefas com consequência e — quando possível — inferência local para dados regulados.

Terceira, geopolítica. O caso mostra que a fronteira EUA-China dentro do stack de IA não passa só por chips e controle de exportação: passa por código dentro do produto. Para empresas brasileiras que operam nos dois lados, é um sinal de cuidado com contratos, escolhas de arquitetura e dependência de um único fornecedor.

Riscos e limitações

Alguns pontos precisam ser lidos com sobriedade. Nada até agora indica que o ANTI_DISTILLATION_CC tenha capturado dados pessoais de usuários brasileiros ou que tenha vazado informação sensível — o comportamento reportado é injeção de dado falso e marcação esteganográfica. A cobertura sensacionalista fala em “spyware”; o código público lido pela comunidade técnica sugere algo mais próximo de “sinalização defensiva”. Ainda assim, o efeito prático — código não documentado que altera saídas do modelo — é o que sempre deveria acionar auditoria em ferramentas comerciais críticas. E há o risco reverso: a retirada não elimina mecanismos análogos em outros produtos ou fornecedores. É improvável que Anthropic seja o único a experimentar defesas contra distilação.

Cenário: o que vem em seguida

Três desdobramentos são prováveis nos próximos meses. Um: fornecedores de LLM vão passar a documentar mecanismos de defesa contra distilação nos system cards, para evitar surpresas. Dois: contratos B2B com grandes clientes (bancos, governos, saúde) vão incluir cláusulas de “transparência de mecanismos internos” e direito de auditoria de código de sistema. Três: laboratórios chineses e norte-americanos vão continuar em guerra tecnológica silenciosa — quem depende de qualquer um dos lados precisa ter plano B testado. No Brasil, a agenda de soberania de IA (data centers nacionais, modelos abertos treinados aqui) ganha argumento novo.

Análise SWOT econômica

Forças
Resposta rápida a incidente concreto; retirada pública do código controverso; canal aberto de comunicação técnica com a comunidade.
Fraquezas
Falta de documentação prévia gerou crise de confiança; ban da Alibaba fecha porta de mercado importante; risco de precedente para outros fornecedores.
Oportunidades
Mercado de auditoria de LLM comercial; contratos B2B mais maduros; agenda brasileira de soberania de IA ganha caso concreto.
Ameaças
Escalada de guerra tecnológica EUA-China afeta empresas brasileiras que operam nos dois lados; risco reputacional para IA comercial em geral.

Conclusão prática

Para times de segurança e engenharia no Brasil, o caso ANTI_DISTILLATION_CC deve virar item de checklist. Se você usa Claude Code, atualize para o release que remove a flag e revise se o comportamento de resposta mudou em pipelines críticos. Se você usa qualquer LLM comercial em fluxo sensível, aplique quatro medidas mínimas: (1) log determinístico das saídas; (2) validação humana ou por regra em decisões com consequência; (3) monitoramento de drift entre versões do modelo; (4) cláusula contratual de notificação sobre mecanismos internos que alteram output. É trabalho de higiene, não de paranoia. A privacidade e a segurança de dados regulados são responsabilidade sua, não do fornecedor — e neste tema recomenda-se consultar profissional de segurança da informação e assessoria jurídica especializada antes de decidir arquitetura.

Fonte original: The Register — Anthropic is removing its covert code for catching Chinese competitors. Contexto adicional: Crypto Briefing — Alibaba bans Claude Code.

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Share
Published by
Ninja

Recent Posts

DuneSlide: duas CVEs criticas no Cursor abrem RCE zero-click via prompt injection em CI e MCP servers

CVE-2026-50548 e CVE-2026-50549 (CVSS 9.8), batizadas de DuneSlide pela Cato Networks, permitem sair do sandbox…

10 horas ago

Qilin toma 16% do mercado de ransomware e sinaliza nova onda de consolidacao pos-LockBit

Relatorios da Check Point e da Sophos mostram que o Qilin absorveu afiliados orfaos das…

10 horas ago

Operation DragonReturn: hackers ligados a China usam falso app do fisco indiano para plantar DcRAT

Cluster suspeito de vinculo chines usa iscas do Imposto de Renda indiano para entregar DcRAT…

10 horas ago

Medtronic confirma vazamento de dados de 3,8 milhões de pacientes em ataque atribuído ao ShinyHunters

Gigante de dispositivos médicos notifica pacientes após grupo de extorsão ShinyHunters acessar sistemas corporativos e…

1 dia ago

Decisão da Suprema Corte dos EUA sobre agências independentes ameaça acordo de transferência de dados UE-EUA

Max Schrems planeja contestar o Data Privacy Framework após corte permitir que presidentes demitam membros…

1 dia ago

Hackers norte-coreanos publicam 108 pacotes maliciosos em npm, Go e Chrome na campanha PolinRider

Grupo ligado ao Contagious Interview publicou 108 pacotes e extensões em npm, Packagist, Go e…

1 dia ago