Hôm nay, Anthropic có thể nói là "gặp được hai niềm vui lớn".
Một mặt, họ đã ra mắt mô hình Claude Sonnet 5, được mô tả là "mô hình có tính chất Agent mạnh nhất từ trước đến nay", với hiệu suất gần bằng Opus 4.8.
Mặt khác, họ tuyên bố với công chúng rằng Bộ Thương mại Hoa Kỳ đã dỡ bỏ lệnh kiểm soát xuất khẩu đối với Claude Fable 5 và Mythos 5 của họ. Anthropic sẽ bắt đầu khôi phục quyền truy cập từ ngày mai và sẽ sớm chia sẻ những tiến triển mới nhất.

Theo nội dung của một thỏa thuận được ký bởi Bộ trưởng Thương mại Hoa Kỳ Howard Lutnick, kể từ khi gửi các lá thư liên quan vào ngày 12 tháng 6 và 26 tháng 6, Anthropic đã phối hợp chặt chẽ với chính phủ Hoa Kỳ, thực hiện các biện pháp xử lý rủi ro liên quan đến Claude Mythos 5 và Claude Fable 5.
Trong đó, Anthropic cam kết sẽ chủ động phát hiện và xử lý các rủi ro an ninh mà các mô hình này có thể mang lại; duy trì hợp tác chặt chẽ với chính phủ Hoa Kỳ về các thỏa thuận, tiêu chuẩn và sắp xếp phát hành đối với Mythos, Fable cũng như các mô hình trong tương lai; và thông báo cho chính phủ Hoa Kỳ khi phát hiện hoạt động độc hại.
Dựa trên các hành động Anthropic đã thực hiện và các cam kết đã đưa ra, cũng như đánh giá của Cục Công nghiệp và An ninh thuộc Bộ Thương mại Hoa Kỳ về rủi ro chuyển nhượng hiện tại của Claude Mythos 5 và Claude Fable 5,Bộ Thương mại Hoa Kỳ quyết định rút lại các biện pháp kiểm soát trong thư đề ngày 12 tháng 6.
Điều này có nghĩa là, việc xuất khẩu, tái xuất khẩu, chuyển nhượng trong nước của Claude Mythos 5 và Claude Fable 5, bao gồm cả xuất khẩu được coi là và tái xuất khẩu được coi là, từ nay trở đi sẽ không cần giấy phép nữa.
Tuy nhiên, Bộ Thương mại Hoa Kỳ bảo lưu quyền đánh giá lại quyết định này. Nếu tình hình thay đổi, hoặc Anthropic không thực hiện cam kết, Bộ Thương mại Hoa Kỳ vẫn có thể áp đặt lại yêu cầu về giấy phép.

Tuy nhiên, đối với người dùng Trung Quốc, chúng tôi vẫn chưa thể vui mừng ngay lúc này.
Cũng trong ngày hôm đó, chủ đề được thảo luận sôi nổi trên cộng đồng nhà phát triển là một vấn đề khác: có người phát hiện Claude Code sẽ thu thập thông tin proxy cục bộ và múi giờ của người dùng mà họ không biết, và thông qua phương thức "Steganography" (mật mã học ẩn), ẩn các thông tin này trong lời nhắc (prompt) gửi lên đám mây.
Claude Code bị tố sử dụng mã ẩn đánh dấu người dùng Trung Quốc
Gần đây, có người tiết lộ Anthropic đã cài lén một đoạn mã trong Claude Code.
Đoạn mã này sẽ tự động phát hiện người dùng có sử dụng múi giờ Trung Quốc hay không, tình hình proxy mạng hiện tại, cũng như có kết nối đến môi trường liên quan đến một số phòng thí nghiệm AI của Trung Quốc hay không.
Sau đó, nó sẽ nhúng các thông tin này vào lời nhắc hệ thống gửi cho AI thông qua phương thức ẩn giấu.
Người dùng Trung Quốc hoàn toàn không thể phát hiện, nhưng Anthropic lại có thể nhận diện thông qua các dấu vết ẩn này.
Một nhà phát triển đầu tiên đặt câu hỏi trên Reddit, sau đó đăng báo cáo xác minh trên GitHub, tuyên bố đã kiểm tra mã của ba phiên bản 2.1.193, 2.1.195, 2.1.196 của Claude Code, xác nhận tồn tại một cơ chế ẩn. Cơ chế này được định tính là kênh thông tin ẩn trong lời nhắc hệ thống.
Logic phát hiện
Theo mô tả của báo cáo, Claude Code sẽ phát hiện biến môi trường ANTHROPIC_BASE_URL, biến này thường được kích hoạt khi người dùng trỏ Claude Code đến proxy API tùy chỉnh, thay vì điểm cuối chính thức api.anthropic.com. Khi phát hiện tuyến đường không chính thức, chương trình sẽ trích xuất tên miền proxy và đọc múi giờ hệ thống của người dùng, tập trung kiểm tra xem có phải là Asia/Shanghai hay Asia/Urumqi hay không.

Sử dụng GLM5.2 để phân tích
Báo cáo cho biết, tên miền này sẽ được so sánh với một danh sách đã giải mã chứa 147 mục. Danh sách bao gồm các tên miền của các doanh nghiệp công nghệ và phòng thí nghiệm AI Trung Quốc như Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax, Stepfun, cũng như một lượng lớn địa chỉ dịch vụ bán lại hoặc API mirror của Claude.
Cách thức truyền tải thông tin
Trọng tâm tranh cãi nằm ở đường truyền thông tin.
Báo cáo chỉ ra rằng, Claude Code không thiết lập trường telemetry độc lập để báo cáo dữ liệu. Vật mang thông tin bất thường chính là câu "Today's date is..." (Hôm nay là ngày...) đơn giản nhất trong lời nhắc hệ thống.
Khi múi giờ hệ thống được xác định là múi giờ Trung Quốc, dấu phân cách ngày tháng sẽ chuyển từ dấu gạch ngang sang dấu gạch chéo, ví dụ 2026-06-30 hiển thị thành 2026/06/30. Dấu nháy đơn trong "Today's date" đồng thời chuyển đổi giữa các ký tự Unicode gần giống nhau như ', ', ʼ, ʹ, để đánh dấu yêu cầu lần này trúng danh sách tên miền, từ khóa phòng thí nghiệm AI, hoặc cả hai. Mấy ký hiệu này trong giao diện thông thường rất khó phân biệt bằng mắt thường.
Đối với người dùng thông thường, các ký hiệu ', ', ʼ, ʹ này hầu như không thể phân biệt bằng mắt thường, đây cũng là lý do cơ chế này có thể ẩn giấu lâu dài. Nếu phân tích này là đúng, mỗi yêu cầu đáp ứng điều kiện sẽ mang theo một dấu hiệu khó nhận biết như vậy gửi lên upstream.
Điểm tranh cãi
Việc thu thập dữ liệu telemetry phổ biến trong ngành công nghiệp phần mềm. Các công ty AI xuất phát từ việc phòng chống lạm dụng, ngăn chặn bán lại, tránh rủiệu trừng phạt cũng như ngăn mô hình bị chưng cất (distillation), thường có động cơ đầy đủ để nhận diện hành vi người dùng. Từ góc độ này, việc Anthropic hy vọng ngăn chặn quyền truy cập Claude bị bán lại trái phép tại thị trường Trung Quốc, động cơ không khó hiểu.
Điểm tranh cãi nằm ở phương thức thực hiện chứ không phải bản thân mục đích.
Đối với cơ chế telemetry được công khai tiết lộ, nhà phát triển có quyền được biết và lựa chọn đầy đủ, có thể tra cứu tài liệu, chặn các điểm cuối cụ thể, hoặc tự quyết định có chấp nhận việc thu thập dữ liệu nào đó hay không. Nhưng việc giấu thông tin đánh dấu vào sự khác biệt ký tự gần như không thể phát hiện trong lời nhắc đã thay đổi tiền đề tin tưởng giữa người dùng và công cụ. Đối với một coding assistant (trợ lý lập trình), một khi ranh giới như vậy bị phá vỡ, cái giá phải trả không nhỏ.
Bối cảnh quyền hạn
Claude Code có sẵn một hệ thống quyền hạn, bao phủ các thao tác như đọc file, thực thi lệnh Bash và chỉnh sửa file, trong đó các thao tác chỉ đọc không cần sự phê duyệt của người dùng, còn các thao tác liên quan đến thực thi lệnh và sửa đổi file cần được xác nhận quyền hạn.
Anthropic trước đây cũng từng công khai đề cập đến vấn đề "approval fatigue" (mệt mỏi phê duyệt) mà Claude Code có thể tồn tại, thừa nhận đa số người dùng sẽ thói quen phê duyệt yêu cầu quyền hạn, trong khi việc tắt hoàn toàn cơ chế phê duyệt quyền hạn trong hầu hết các tình huống là không an toàn.
Chính công ty này trong blog kỹ thuật của mình cũng đã ghi lại các trường hợp thực tế về "agentic misbehavior" (hành vi mất kiểm soát của tác nhân thông minh), bao gồm xóa nhánh git từ xa do nhầm lẫn, vô tình tải lên token GitHub, thậm chí cố gắng thực hiện thao tác migration trên cơ sở dữ liệu sản xuất.
Coding agent làm việc bên trong kho mã nguồn, có thể tiếp xúc với mã nguồn, cấu trúc file, chi tiết dự án, thậm chí cả thông tin khóa mà người dùng vô tình tiết lộ, và được trao quyền thực thi lệnh, sửa đổi file. Đối với một công cụ như vậy, sự tin tưởng chính là nền tảng cho sự tồn tại của nó.
Nếu client đầu người dùng lén mã hóa routing metadata vào lời nhắc, người dùng hoàn toàn có lý do để chất vấn: Còn những thông tin nào đang được ghi lại theo cách tương tự? Liệu client đầu có còn tồn tại logic phát hiện nào khác chưa được công khai? Những hành vi này rốt cuộc có được giải thích trong bất kỳ tài liệu nào hay không?
Sau khi sự việc bị phơi bày, thành viên nhóm kỹ thuật Anthropic @trq212 đã phản hồi về lý do thực hiện đoạn mã, và cho biết đoạn mã này sẽ bị loại bỏ trong phiên bản mới phát hành vào ngày hôm sau.

Liên kết tham khảo:
https://news.ycombinator.com/item?id=48734373
https://thereallo.dev/blog/claude-code-prompt-steganography
https://x.com/IntCyberDigest/status/2071971609183678544?s=20
https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
Bài viết này đến từ tài khoản công chúng WeChat "机器之心" (ID:almosthuman2014), tác giả: 关注AI的






