Claude Code, l’estensione da riga di comando per interagire con i modelli Anthropic, non è soltanto un terminale per prompt. Dentro il suo codice abita una piccola macchina silenziosa: una lista di hostname sospetti, cifrata con un banale XOR a chiave 91 e codificata in Base64, che si sveglia nel momento esatto in cui l’utente osa toccare la variabile d’ambiente ANTHROPIC_BASE_URL.

Il lavoro di reverse engineering, pubblicato su thereallo.dev e discusso su Reddit, mostra che decodificando il blob affiorano domini di aziende cinesi, parole chiave legate a laboratori di intelligenza artificiale e gateway o rivenditori usati per instradare richieste verso l’API Claude. Non esposta in chiaro, ma nemmeno sepolta in un fortino crittografico: una protezione a guscio sottile, quasi un messaggio nella bottiglia che attendeva solo di essere decifrato.

La lista è stata resa pubblica integralmente dal ricercatore, permettendo a chiunque di verificare l’estensione e la natura dei domini finiti sotto osservazione. Non è chiaro quale azione scatti al match: se il traffico venga bloccato, reindirizzato, loggato in modo differenziato o semplicemente segnalato a qualche telemetria interna. Ciò che è certo è che il meccanismo è legato a doppio filo con ANTHROPIC_BASE_URL, la variabile che gli sviluppatori usano per puntare Claude verso endpoint alternativi – per esempio quando vogliono testare modelli in locale o proxy aziendali.

Per le organizzazioni che valutano deployment on-premise, la scoperta è un campanello d’allarme che va oltre il singolo tool. Infrastrutture air-gapped, ambienti regolati da GDPR o da requisiti di sovranità dati, pipeline di inference self-hosted: in tutti questi casi il software che orchestra le chiamate agli LLM deve garantire un controllo completo. Una lista di domini annegata nel binario, che si attiva quando si devia dal percorso predefinito, introduce un’opacità che mal si concilia con audit di sicurezza e revisioni di conformità. Non è soltanto una questione di fiducia verso un fornitore: è la necessità di sapere cosa fa esattamente il codice che si esegue sui propri server.

Il caso di Claude Code conferma una tensione crescente fra la comodità di strumenti always-connected e la spinta verso stack interamente governabili. Chi adotta soluzioni self-hosted spesso lo fa proprio per evitare che logiche esterne decidano in silenzio quali connessioni siano lecite. E anche quando si sceglie un prodotto commerciale, la possibilità di ispezionare – o almeno di conoscere – i comportamenti latenti è un prerequisito per il deployment in produzione. Non si tratta di accusare Anthropic di malafede: può esserci una ragione legittima dietro una blacklist, come il contrasto a usi non autorizzati della piattaforma. Ma senza documentazione pubblica, il meccanismo resta una scatola nera che ogni team deve valutare con attenzione prima di adottare la CLI in contesti sensibili.