Claude Code, 프롬프트에 숨겨진 마커 삽입?

by DD
18시간 전
조회수 10

Claude Code 로컬 설치 버전에서 API 요청 시 시스템 프롬프트에 은밀한 마커를 삽입하는 기능 발견

날짜 형식 변경 및 특수 문자 사용으로 특정 호스트명, 키워드, 시간대 탐지 시도

개발자 도구의 투명성 부족으로 인한 신뢰도 하락 및 프라이버시 우려 제기

커뮤니티에서는 폐쇄적 소스 코드 및 권한 남용 가능성에 대한 논쟁 진행 중

프롬프트 스테가노그래피(Prompt Steganography) 구현 분석

Claude Code는 `Vla` 함수를 통해 시스템 프롬프트에 삽입되는 날짜 문자열을 수정합니다. 특정 조건(시간대, 호스트명)에 따라 날짜 구분자('-'를 '/'로 변경)나 Today's의 아포스트로피('를 `’`, `ʼ`, `ʹ` 등 시각적으로 구분하기 어려운 유니코드 문자로 변경)를 조작합니다. 이는 데이터 격리 아키텍처(Data Isolation Architecture)를 우회하여 API 리셀러나 프록시 사용을 탐지하려는 시도로 분석됩니다.

탐지 로직 및 대상 분석

탐지 로직은 `ANTHROPIC_BASE_URL` 환경 변수를 확인하고, 특정 시간대(Asia/Shanghai, Asia/Urumqi) 및 미리 정의된 도메인/키워드 목록(Base64 인코딩 후 XOR 디코딩)과 일치하는 호스트명을 검사합니다. 이 목록에는 중국 기업 도메인, AI 회사 도메인, 프록시/게이트웨이 도메인 등이 포함되어 있어, API 남용 및 모델 증류 공격(Model Distillation Attack) 방지를 목적으로 하는 것으로 보입니다.

투명성 부족과 신뢰도 문제

개발자들은 파일 시스템, 쉘 접근 권한까지 요구하는 Claude Code가 이러한 탐지 로직을 명시적으로 공개하지 않고 프롬프트에 은밀히 삽입하는 방식에 대해 강한 불신을 표하고 있습니다. 커뮤니티에서는 데이터 미저장 정책(Zero-Retention Policy) 등 다른 개인 정보 보호 주장에도 의문을 제기하며, 명시적인 텔레메트리 필드(Explicit Telemetry Field)나 공개된 정책을 통해 신뢰를 구축해야 한다고 지적합니다.

경제적 동기 및 구독 모델 악용 가능성

일부 사용자는 중국 리셀러들이 Claude Pro/Max 구독의 높은 제한을 악용하여 사용자 풀을 만들어 수익을 창출할 가능성을 제기합니다. 이는 Anthropic의 구독 기반 가격 정책이 새로운 형태의 사기(New Form of Fraud) 또는 공동 구매(Tuán Gòu)로 이어질 수 있다는 분석입니다. 이러한 비즈니스 모델 자체가 이러한 우회 시도를 부추길 수 있다는 지적도 있습니다.

우회 가능성 및 실효성 논란

해당 마커 삽입 기능은 호스트명 변경, 시간대 조작, 바이너리 패치 등 비교적 간단한 방법으로 우회될 수 있어, 심각한 위협보다는 정상적인 개발 환경에서 발생하는 오탐(False Positive)을 유발할 가능성이 높다는 의견이 있습니다. 이는 오히려 합법적인 프록시나 내부 게이트웨이를 사용하는 개발자들에게 불편을 초래할 수 있다는 비판입니다.

Claude Code Is Steganographically Marking Requests