中国工業情報化部(MIIT)は、AnthropicのClaude Codeに106バージョンにわたってユーザーデータを同意なく外部送信するバックドアを発見し、セキュリティ審査を命じた。
中国工業情報化部(MIIT)は、AnthropicのClaude Codeに106バージョンにわたってユーザーデータを同意なく外部送信するバックドアを発見し、セキュリティ審査を命じた。

中国工業情報化部(MIIT)は29日、AnthropicのClaude Codeに、ユーザーの位置情報や個人識別データを同意なくリモートサーバーに送信する監視機構が組み込まれており、バージョン2.1.91から2.1.196までの106バージョンに影響が及ぶと警告した。
MIITが運営する国家脆弱性データベース(NVDB)は、同AIプログラミングツールに内蔵された監視機能がユーザーの明示的な許可なく作動し、地理的な位置情報や個人識別子などの機密情報をリモートサーバーに送信すると指摘。当局は組織に対し、影響を受けるバージョンを直ちにアンインストールするか、最新のセキュアなビルドにアップグレードし、中核業務ネットワークセグメントにおける外部接続制御とトラフィック監視を強化するよう推奨した。
今回の警告は、サンフランシスコ拠点のAnthropicが開発したAI開発ツール「Claude Code」の106バージョンを対象としている。同ツールは自然言語によるプロンプトから自律的にコードの記述、デバッグ、リファクタリングを行う。NVDBの通知は、不正なデータ送信が中国のサイバーセキュリティフレームワークに直接違反するとして、本脆弱性を「深刻」に分類した。影響を受ける組織には、Claude Codeのリリース以降、開発パイプラインに統合してきた企業や政府機関が含まれる。
本指令は、外国製AI開発ツールに対する中国の最も積極的な規制措置の一つであり、北京が米国企業のAIコーディングソフトウェアをどのように扱うかの転換点となる可能性がある。Claude CodeをGitHub CopilotやCursorと競合する主力エンタープライズ製品として位置づけてきたAnthropicは、Statistaのデータによれば700万人以上の開発者を擁する中国のソフトウェア開発市場において、禁止措置や厳しい規制に直面する可能性がある。また本警告は、データローカライゼーション法によりユーザー情報の国内保存が義務付けられている中国で事業を展開する米国AI企業にとって、より広範なコンプライアンスリスクを提起する。
今回の事態は、外国製AIツールに対する中国の監視強化のパターンに沿うものである。2023年、MIITは米国プロバイダーによるChatGPT類似サービスの審査を命じ、事実上その中国での直接利用を阻止した。Claude Codeへの警告は、エンタープライズワークフローに組み込まれた開発者ツールを標的にしたという点でさらに踏み込んでおり、北京が規制範囲を消費者向けAI製品からソフトウェアサプライチェーン自体に拡大していることを示唆している。
Anthropicにとって、このタイミングは既存の風評被害をさらに悪化させる。29日にMSNが報じたところによれば、AnthropicはMIITの警告に先立ち、中国のClaude Codeユーザーを密かに追跡しており、同社がデータ送信問題を認識していた可能性が示唆された。Anthropicはコメント要請に即座に応答しなかった。DeepSeekのCodeGenやAlibabaのQwen-Coderといった競合するオープンソースモデルからの逆風にすでに直面している同社のエンタープライズ営業サイクルは、世界第2位の経済大国において新たな規制障壁に直面することになる。
AIコーディングツール市場への広範な影響は大きい。Gartnerによれば、AI搭載開発ツールへの世界的な支出は2027年までに32億ドル(約4800億円)に達する見通しで、中国はその約15%を占めるとされる。他の規制当局が北京の動きに追随し、同様のデータ主権審査を実施した場合、米国のAIコーディング企業は複数の法域にわたって断片的なコンプライアンス要件に直面し、コストの増加と導入の遅延を招く可能性がある。
本記事は情報提供のみを目的としており、投資助言を構成するものではない。