클로드 코드 2.1.196의 시스템 프롬프트 변조 사실
클로드 코드(Claude Code) 2.1.196 바이너리에서 시스템 프롬프트의 현재 날짜 문장을 수정해 요청 내에 분류 신호를 숨기는 함수가 확인됐다. 기본적으로 모델에 전달되는 날짜 문장은 `Today's date is 2026-06-30.` 형태를 유지하지만, 특정 조건이 충족되면 아포스트로피와 날짜 구분자가 미세하게 변경된다.
이 기능의 작동 트리거는 API 기본 URL을 오버라이드하는 환경 변수인 `ANTHROPIC_BASE_URL`이다. 해당 변수가 설정되어 있지 않거나, 값이 공식 엔드포인트인 `api.anthropic.com`일 경우에는 함수가 조기에 반환되어 일반적인 날짜 형식이 유지된다. 하지만 공식 경로가 아닌 사용자 지정 URL이 설정된 경우, 도구는 호스트명과 시스템 시간대를 확인해 프롬프트에 보이지 않는 마커를 삽입한다.
확인된 바이너리의 세부 정보는 다음과 같다.
- Identifier: `com.anthropic.claude-code`
- TeamIdentifier: `Q6L2SF6YDW`
- Timestamp: `Jun 29, 2026`
- SHA256: `6fc6e61ab7582c2bf241225ff90d9f79e91d69380cb9589fc9dedd3a30070f5a`
호스트명 분류 및 유니코드 인코딩 메커니즘
분류 신호를 생성하는 과정은 시간대 확인과 호스트명 비교라는 두 단계 파이프라인으로 작동한다. 먼저 시스템 시간대가 `Asia/Shanghai` 또는 `Asia/Urumqi`인 경우, 날짜 구분자를 하이픈(`-`)에서 슬래시(`/`)로 변경해 `2026/06/30` 형태로 출력한다.
이어지는 호스트명 분류 단계에서는 base64로 저장된 문자열을 XOR 키 91로 디코딩하여 도메인 및 키워드 목록과 비교한다. 디코딩된 목록에는 `deepseek`, `moonshot`, `minimax`, `xaminim`, `zhipu`, `bigmodel`, `baichuan`, `stepfun`, `01ai`, `dashscope`, `volces` 같은 AI 연구소 키워드와 `baidu.com`, `alibaba-inc.com`, `bytedance.net`, `proxyai.com` 등 중국 기업 및 프록시 리셀러 도메인이 포함되어 있다.
분류 결과에 따라 `Today's`의 아포스트로피는 다음과 같은 유니코드 문자로 치환된다.
- 일반 환경: `'` (표준 아포스트로피)
- 알려진 도메인 일치: `\u2019` (Right Single Quotation Mark)
- 연구소 키워드 포함: `\u02BC` (Modifier Letter Apostrophe)
- 도메인 일치 및 키워드 포함: `\u02B9` (Modifier Letter Turned Comma)
이 유니코드 문자들은 대부분의 모노스페이스 폰트에서 시각적 차이가 거의 없어 사용자가 인지하기 어렵다. 이렇게 변조된 날짜 문자열은 에이전트 컨텍스트의 `currentDate` 값으로 삽입되어 모델로 전송되며, 앤스로픽 백엔드에서 이를 파싱해 요청의 출처를 분류하는 용도로 사용할 수 있다.
사용자 지정 API 환경에서의 영향과 대응
공식 API 엔드포인트를 사용하는 일반 사용자는 이 경로가 활성화되지 않으므로 영향이 없다. 하지만 내부 게이트웨이, 로컬 프록시, 모델 라우터, 리셀러 환경 등 `ANTHROPIC_BASE_URL`을 통해 요청을 라우팅하는 개발자는 자신의 환경 정보가 프롬프트에 인코딩되어 전송되는 지문 채집 대상이 된다.
앤스로픽이 이러한 방식을 도입한 목적은 승인되지 않은 클로드 코드 게이트웨이를 탐지하거나, 타 모델을 이용한 '증류 공격(distillation attack)' 파이프라인을 식별하기 위함으로 분석된다. 특정 리셀러 도메인을 사용하거나 호스트명에 경쟁 AI 연구소의 키워드가 포함된 경우, 이를 탐지 신호로 활용하는 구조다.
실무자가 이 신호 전송을 무력화하기 위해 선택할 수 있는 방법은 다음과 같다.
- 호스트명 변경: 디코딩된 도메인 및 키워드 목록에 포함되지 않는 호스트명 사용
- 시간대 변경: `Asia/Shanghai` 또는 `Asia/Urumqi` 외의 시간대 설정
- 바이너리 패치 및 프로세스 래핑: 해당 변조 함수를 직접 수정하거나 가로채는 방식
클로드 코드는 파일시스템 접근, 셸 명령어 실행, 패키지 설치 및 커밋 푸시 권한을 가진 강력한 도구다. 이러한 권한을 가진 도구가 명시적인 텔레메트리 필드나 공개 정책 대신, 시스템 프롬프트의 문장부호에 분류 정보를 숨기는 스테가노그래피 방식을 사용했다는 점은 도구의 투명성과 신뢰성 측면에서 실무자의 판단 기준에 영향을 줄 수 있다.




