Zendoric
← Volver al día · 2 de julio de 2026

Anthropic retira su código oculto contra la destilación china: proteger el modelo, a costa de la confianza

🕒 Publicado en Zendoric: 2 de julio de 2026 · 08:26

Anthropic elimina de Claude Code un mecanismo de esteganografía que, desde marzo, detectaba en secreto a competidores chinos y revendedores no autorizados cruzando zona horaria y dominios. El caso destapa hasta dónde llega la guerra por proteger los modelos de la 'destilación' y el precio de hacerlo sin avisar a nadie.

🎧 Escuchar el análisis

Por The Register · 1 de julio de 2026.

Anthropic ha confirmado que retirará de Claude Code, su agente de codificación, un mecanismo encubierto activo desde marzo. Según explicó el ingeniero Thariq Shihipar, el sistema comprobaba la variable de entorno que define la URL base de las peticiones API y, si detectaba que había sido redirigida a un proxy o gateway, cruzaba la zona horaria y el nombre de host contra una lista de laboratorios de IA chinos, otras empresas de IA, revendedores de cuentas y dominios de pasarela conocidos. El objetivo declarado era frenar el abuso de cuentas por revendedores no autorizados y protegerse de la 'destilación': la técnica de copiar un modelo ajeno bombardeándolo con consultas y entrenando uno propio con las respuestas.

Lo llamativo no es el objetivo, sino el método. Según reveló el desarrollador conocido como Thereallo, la herramienta ocultaba estos controles mediante esteganografía: marcadores Unicode casi invisibles alteraban silenciosamente el system prompt, la clasificación de proxy o gateway quedaba codificada dentro de una frase que parecía inglés corriente, y la lista de dominios sospechosos estaba oculta tras XOR y base64. Nada de esto aparecía documentado públicamente ni, según ha podido confirmarse, en los términos de servicio; Anthropic no ha respondido directamente si lo divulgó en algún sitio, y se limita a decir que 'ya tenía pensado' retirarlo porque cuenta con 'mitigaciones más sólidas', sin detallar cuáles.

El episodio no es un caso aislado. En febrero, Anthropic ya había anunciado inversión en defensas contra la destilación: clasificadores de detección, sistemas de fingerprinting de comportamiento, controles de acceso, intercambio de inteligencia con otros laboratorios y contramedidas para dificultar la reproducción de un modelo a partir de sus salidas. Una de esas contramedidas —un flag llamado ANTI_DISTILLATION_CC, descubierto cuando el código fuente de Claude Code se filtró— inyecta datos de herramientas falsos en las peticiones de la API para 'envenenar' cualquier dataset de entrenamiento construido con ellas. La esteganografía ahora retirada era, en ese sentido, una pieza más de un andamiaje defensivo bastante más amplio de lo que la comunicación pública de la empresa sugería.

Este movimiento encaja con una tensión que venimos señalando en Zendoric: la competencia entre EE.UU. y China ya no se libra solo en benchmarks, sino en la protección activa de la propiedad intelectual de los modelos. Una Executive Order reciente de la Casa Blanca articula precisamente esa preocupación —proteger la IA estadounidense de 'adversarios extranjeros'— y episodios como este muestran que las empresas ya actúan por su cuenta, sin esperar a que la política llegue. El problema es que hacerlo de forma encubierta, sin decírselo a los desarrolladores que confían sus flujos de trabajo a la herramienta, tensiona exactamente el tipo de confianza que un producto para programadores necesita para sobrevivir.

Nuestra lectura: la destilación es una amenaza real y legítima para cualquier empresa que haya invertido miles de millones en entrenar un modelo frontera, y es razonable que Anthropic quiera defenderse de que un competidor —chino o no— le copie el trabajo mediante un simple proxy. Pero la forma en que lo hizo revela algo más incómodo: los laboratorios de IA están dispuestos a instrumentalizar sus propias herramientas de desarrollo como sensores de vigilancia silenciosos, sin que el usuario lo sepa ni pueda auditarlo. A corto plazo esto erosiona la confianza en el ecosistema de developer tools de IA —ya bastante escrutado tras filtraciones de código y hallazgos de investigadores independientes— y da munición a quienes piden más transparencia regulatoria sobre qué hacen realmente estos agentes con los datos que procesan. A largo plazo, sin embargo, este tipo de fricciones forman parte del proceso de maduración de una industria que todavía está inventando sus propias reglas: cuanto antes se normalicen la divulgación y la auditoría de estos mecanismos —en vez de que salgan a la luz solo cuando un desarrollador los desmonta en público—, más sólida será la confianza que sostenga la próxima década de adopción de IA agéntica.

Fuentes y referencias