Claude Code v2.1.150、ネットワーク経由のリモートシステムプロンプトインジェクションを追加
Claude Code v2.1.150は、起動時および60秒ごとにGrowthBookフィーチャーフラグを介してAnthropicサーバーからシステムプロンプトを取得する仕組みを導入し、実質的にリモートプロンプトインジェクションを可能にします。この変更は、チェンジログでは「内部インフラの改善(ユーザー向けの変更なし)」とされており、シェルアクセスを持つLLMのシステムプロンプトに任意の文字列を注入する2つのデータソースを追加します。
仕組み
- ブートストラップエンドポイント: Claude Codeは起動時に
api.anthropic.com/api/claude_cli/bootstrapを呼び出し、レスポンスをディスクにキャッシュします。 - GrowthBookフィーチャーフラグ: フラグ
tengu_heron_brookはバックグラウンド同期で60秒ごとに更新されます。これらのエンドポイントから返された任意の文字列がシステムプロンプトに注入されます。
以前のバージョンでは、注入ポイントは存在していましたがデッドコードでnullを返していました。v2.1.150では、関数n0Aでネットワークフェッチが有効化され、フラグはRv("heron_brook", () => nAA())で登録されています。関数nAAはディスクからキャッシュされた値を読み取ります。
インジェクションのブロック
システムプロンプトをパッチするユーザー(例:tweakccなどのツールを使用)は、環境変数でリモートインジェクションをブロックできます。
export CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1 export DISABLE_GROWTHBOOK=1
検証コマンド(Linux x64)
npm pack @anthropic-ai/[email protected] --pack-destination /tmp tar xzf /tmp/anthropic-ai-claude-code-linux-x64-2.1.150.tgz strings package/claude | grep -oP 'function nAA\(\)\{[^}]+\}' strings package/claude | grep -oP '.{0,60}heron_brook.{0,60}'
難読化された関数名はこのバイナリに固有です。
影響を受けるユーザー
ローカルのプロンプトパッチに依存しているClaude Code v2.1.150のユーザー(例:パワーユーザー、セキュリティ意識の高い開発者)、または同意なしにリモート動作が変更されることを望まないユーザーに影響します。
📖 ソース全文: HN AI Agents
👀 See Also
ベンチマークによると、スマートフォンから家庭内チャットアプリケーションにおいて、小規模な4Bモデルが大規模LLMを上回る性能を示しています。
電話から自宅チャットアプリケーション向けの8つのローカルLLMベンチマークでは、最小モデルであるGemma3:4Bが総合適合度スコア88.7で優勝しました。応答速度の速さと発熱負荷の低さにより、最大24Bパラメータの大規模モデルを上回る結果となりました。
ミストラルCEO、欧州がAIインフラで米国依存を避けるための猶予は2年と警告
Mistral CEOのArthur Mensch氏は、欧州が独自のAIインフラ(チップ、エネルギー、計算能力)を構築する猶予は2年しかなく、さもなければ米国のハイテク大手の永久的な『属国』になるリスクがあると警告した。
Claude APIの利用データが、Maxプランユーザーへの新制限の影響を示す
Claude Max 20xのユーザーが報告したところによると、新たな制限が導入された後、API相当の日次使用量が約210ドル/日から約52ドル/日に低下し、SonnetやCodexの使用を含む大幅なワークフローの変更が必要となった。
AI心理学研究から体系的に除外されるClaudeユーザー – 方法論的ギャップ
AIチャットボットに関する数十の心理学論文をレビューしたところ、Claudeユーザーが独立したグループとして調査されたことは一度もないことが明らかになった。ChatGPT、Character.AI、Replikaのユーザーとは根本的に使用用途のプロファイルやモデル設計が異なるにもかかわらず、である。