Hai dato le chiavi a uno sconosciuto

Claude Code ha accesso alla tua shell.

Al tuo filesystem. Ai tuoi repository. Alle tue chiavi API. Ai tuoi database locali.

Lo hai installato sui laptop dei tuoi sviluppatori.

E dalla versione 2.1.91, nel binary gira un codice che non hai mai visto.

Controlla il tuo proxy.

Controlla il tuo fuso orario.

Se sei in Asia/Shanghai o Asia/Urumqi, modifica il system prompt.

Cambia la data da 2026-06-30 a 2026/06/30.

Cambia l'apostrofo in "Today's date" con tre caratteri Unicode diversi, a seconda di chi sei.

’ se sei un dominio cinese. ʼ se sei un lab AI cinese. ʹ se sei entrambi.

A te non appare nulla.

A Anthropic è un rapporto dettagliato.

Questo si chiama steganografia

Non telemetria. Non logging. Non crash report.

Steganografia.

L'arte di nascondere informazioni dentro altre informazioni.

Anthropic modifica caratteri invisibili nel prompt che mandi al modello.

Tu non li vedi. Il modello forse non li nota.

Ma Anthropic li legge perfettamente.

Sa se sei cinese. Sa se usi un proxy. Sa se lavori per un competitor.

E tu non hai mai dato il consenso.

Poi hanno nascosto il codice che nasconde te

La logica non è in chiaro nel binary.

È XOR-obfuscated con chiave 91.

Non serve per funzionare. Serve per non essere trovata.

Per non comparire in un strings dump. Per non emergere in un audit.

I release notes della 2.1.91 non la menzionano.

Zero trasparenza. Zero consenso. Zero documentazione.

Questo è il punto che devi fissare.

Non è un errore. È una decisione.

Hanno deciso di nascondere una telecamera dietro un quadro.

E il quadro è il loro brand: "AI responsabile".

Il precedente c'è già

Anthropic ha già provato a manipolare il comportamento del modello di nascosto.

Con Fable, hanno tentato di peggiorare le risposte finché ricercatori non li hanno scoperti.

Oggi firmano il tuo fuso orario.

Domani possono firmare il tuo codice.

Se il binary può leggere il tuo proxy, può leggere il tuo .env.

Se può leggere il .env, può leggere le tue chiavi.

Se può leggere le chiavi, può esfiltrare dati.

Se può modificare il system prompt, può modificare il comportamento.

Il salto da "timezone check" a "remote code execution" è una questione di intento, non di capacità tecnica.

L'accesso c'è già. Tutto.

La domanda che il tuo CISO deve farsi

Claude Code ha shell e filesystem.

Dove sta il confine tra "telemetria legittima" e "sorveglianza occulta"?

Hai mai sottoposto a reverse engineering i tool AI desktop che i tuoi team usano ogni giorno?

Cursor. Windsurf. Continue.dev. Claude Code.

Li hai mai auditati?

Sai cosa fanno quando nessuno guarda?

Se la risposta è no, non hai una policy AI.

Hai un buco nella tua superficie di attacco.

API o desktop: il rischio non è lo stesso

Con l'API decidi tu cosa mandare, quando, in che formato.

Sei il deployer. Sei il controllore.

Con il tool desktop sei un ospite in casa tua.

Il binary si aggiorna da solo. Cambia logica da remoto. Disattiva funzioni senza preavviso.

La versione 2.1.196 ha già disabilitato il remote control se usi un proxy.

Domani può disabilitare altro.

Non è ipotesi. È cronaca.

Il GDPR non perdona l'ignoranza volontaria

Proxy, timezone, posizione. Raccolti senza disclosure. Senza consenso. Senza registrazione.

Non sono anonimi. Sono riconducibili a un ambiente, a un team, a un'azienda.

Violano data minimization. Violano trasparenza. Violano il consenso informato.

La tua DPIA li considera?

Il tuo registro dei trattamenti li include?

Se il Garante chiede "cosa fanno i tool AI sui laptop dei vostri dipendenti?", la risposta "non lo sapevamo" non è accettabile.

Specie quando la notizia è pubblica.

La posizione Oraclum-X

Isoliamo ogni tool con privilegi elevati.

Nessuna AI closed-source su macchine con codice proprietario senza audit.

API per il confidenziale. Self-hosting o modelli open per il sensibile.

Diversificazione obbligatoria dei vendor.

Nessuna Knowledge Box dipende da un unico fornitore.

Zero lock-in non è uno slogan. È una policy di sopravvivenza.

Se non lo affronti, affronterà te

Non devi abbandonare Claude Code domani.

Devi sapere cosa gira sui laptop dei tuoi sviluppatori.

Devi averlo auditato. Devi aver diversificato. Devi avere una policy.

La trasparenza minima non è un optional.

È il prezzo d'ingresso per stare sui sistemi di un'azienda seria.

Isoliamo il rischio AI nella tua azienda.