「モデル蒸留」告発の直後 アリババが米Claudeを全面禁止、高リスク指定
中国電子商取引(EC)大手のアリババグループは社内通知で、7月10日付で米Anthropic(アンソロピック)製品全般の使用を禁止すると発表した。対象は「Claude Sonnet」「Opus」「Fable」「Claude Code」で、代替として自社開発の人工知能(AI)コーディングツール「Qoder」を推奨するとしている。
アリババ側の説明によると、Claude Codeに「バックドアが組み込まれている」というセキュリティ上のリスクが発覚し、社内で総合的に評価した結果、リスクの高いソフトウエアとして指定したからだという。発端は、開発者による逆解析で、2026年4月2日リリースの「バージョン2.1.91」以降、隠された検知機構がClaude Codeに組み込まれていることが判明したことだった。
具体的には、ユーザーのシステムのタイムゾーンが中国時間(Asia / ShanghaiまたはAsia / Urumqi)になっていないか、そしてアクセス先のドメインが中国系サービスのものではないかをチェックする仕組みだったという。照合対象のリストには147件のドメインが含まれ、その中にはアリババを含め、百度(バイドゥ)、字節跳動(バイトダンス)など、中国のテック企業やAI研究機関のものが含まれていたとされる。
特に議論を呼んだのは、検知結果の送信方法だ。独立したテレメトリ項目としてではなく、リクエストのたびに送信されるシステムプロンプトに直接エンコードされていたという。例えば、中国時間の場合、日付形式が「2026-06-30」から「2026/06/30」に変わるといった形で、かなり巧妙に隠されていた形だ。
これに対しAnthropic側は、2026年3月に開始した「実験的な」機能であり、目的はライセンスを受けていない転売アカウントの防止と、他社モデルのデータを大量に吸い上げて自らのAIの訓練に流用する「モデル蒸留」対策だったと説明。同社は7月2日にリリースした新バージョンで該当コードを削除したとしている。ただし両社の見解には明確な食い違いがある。アリババはこれをセキュリティ上のバックドアと捉え、Anthropicは不正利用対策のための実験的な措置だったとしている点だ。
もっとも、これだけが背景の全容ではないとみられる。1つには、AnthropicがClaudeを中国本土向けに正式提供していないため、中国国内の開発者はVPNなどを介して長らくアクセスしてきた経緯があり、企業として見た場合、コンプライアンスやデータセキュリティ、アカウント管理の面でもともとリスクが高かったという事情がある。
もう1つの背景には、今回の禁止措置の直前に出された、Anthropicによる告発がある。Anthropicが6月10日付で米上院銀行委員会に送った書簡によると、アリババのAI研究チーム「Qwen」と関係があるとみられる利用者が、約2万5000件の不正アカウントを使用。4月22日から6月5日にかけて、Claudeと2800万回以上ものやり取りを行っていたという。Anthropicはこの行為を、「産業規模のモデル蒸留攻撃」と断定した。この件が6月24日に報道されると、業界内で大きな注目を集めていた。
(36Kr Japan編集部)