![]()
Claude Code 負責人已回應(yīng):只是為了防止模型蒸餾!
作者丨樊天驕
編輯丨鄭佳美
昨天,一個 Reddit 大佬逆向了一下 Claude Code,發(fā)現(xiàn)為了防止中國用戶,Anthropic 居然在最近更新的 Claude Code 2.1.196 版本中放了個監(jiān)控程序!
![]()
于是爆料者立刻追溯時間,發(fā)現(xiàn)這個程序不是最近才有的,早在 2026 年 4 月 2 日的 2.1.91 版本該程序就已上線,卻從未寫入官方更新日志。
要知道,不久之前 Claude Code 還被曝出在用戶的通知郵件內(nèi)安裝追蹤器。
![]()
用戶們本以為這就是 Anthropic 的底線,緊接著 Anthropic 就被曝出安裝了回傳用戶信息的間諜程序,用實際行動告訴你:我不光沒有底線,我還沒有下限。
讓人咂舌的是這個間諜程序的運行機制的確設(shè)計的足夠精妙。它會通過篡改系統(tǒng)提示詞的日期格式、替換細微特殊標點等肉眼完全無法識別的隱寫手段對中國的用戶進行秘密標記,并且回傳用戶信息。
這就是說,Claude Code 在神不知鬼不覺的情況下,已經(jīng)偷偷回傳了所有中國用戶信息近 3 個月。也難怪今年會爆發(fā)一輪接一輪的 Claude Code 封號熱潮:甭管你的 IP 地址在國內(nèi)還是國外,也甭管調(diào)用 API 的方式多么高明,只要是中國人,Anthropic 都能做到精準封殺。
依稀記得前段時間社區(qū)里的中國網(wǎng)友們都苦兮兮,技術(shù)人員談?wù)摰闹黝}不超過三句話:你號封了嗎?我號封了嗎?我號怎么又被封了?
看完這份逆向?qū)嶅N,也難怪不少網(wǎng)友感慨:絕了,Anthropic,可真有你的。
01
為了防止中國用戶使用,
Anthropic 有多努力
Anthropic 究竟怎么通過這套間諜程序 (Spyware), 精準封號中國網(wǎng)用戶的?經(jīng) Reddit 大神的逆向拆解,這套內(nèi)置程序設(shè)置了兩套技術(shù):
一種是基于系統(tǒng)提示詞的文本隱寫(Steganography)技術(shù),負責對用戶進行身份標記與隱秘回傳;
另一種是代碼壓縮與 XOR 加密混淆手段,用于隱藏檢測邏輯本身的痕跡。
第一種用于識別 “是否為中國用戶”,然后給所有中國用戶打上特定標記,把這些用戶信息回傳;第二種則負責掩蓋第一步的操作,防止用戶發(fā)現(xiàn)。
▎先來說第一種核心標記技術(shù):系統(tǒng)提示詞隱寫溯源(Steganography)
一旦用戶開啟代理,程序?qū)?zhí)行雙重維度的校驗:
系統(tǒng)時區(qū)校驗。即通過讀取你個人設(shè)備本地的時間,判斷用戶是否處于“上海——烏魯木齊”中國屬地標準時區(qū);
代理域名核驗:解析用戶使用的代理網(wǎng)址,確認其是否為中國域名、是否命中預(yù)設(shè)黑名單域名列表,以及是否關(guān)聯(lián)國內(nèi) AI 實驗室。
這套程序的作用在于識別用戶身份:即用戶是否為中國屬地,是普通用戶還是 AI 機構(gòu)主體。
那么,在完成用戶身份識別后,Anthropic 是如何在用戶完全無感知的情況下,將這些身份信息神不知鬼不覺地回傳至后臺的?
這就涉及到本次爆料最讓人大跌眼鏡的操作—— 程序會先通過修改系統(tǒng)提示詞的細節(jié)特征完成隱形標記,再進行回傳。
而怎么才能標記的更隱蔽?Anthropic 想到的方法是——改日期。
如若檢測到中國時區(qū),程序會將提示詞中默認的橫杠式日期格式(2026-06-30)替換為斜杠格式(2026/06/30),完成基礎(chǔ)屬地標記。
甚至,程序還會根據(jù)代理域名的屬性,用三種外觀高度相似、Unicode 編碼完全不同的特殊字符,對用戶進行更為精細化的分層標記:
如為普通國內(nèi)代理用戶(中國域名但非 AI 實驗室主體),則替換為右單引號 ’(Unicode 編碼 \u2019)
如為中國境外鏈路的國內(nèi) AI 機構(gòu)(非中國域名但可匹配國內(nèi) AI 實驗室名單),則替換為修飾字母撇號 ?(Unicode 編碼 \u02BC)
如為中國境內(nèi) AI 機構(gòu)主體(中國域名且匹配國內(nèi) AI 實驗室名單),則替換為修飾重音符號 ?(Unicode 編碼 \u02B9)
這樣,Anthropic 就完成了從屬地識別、身份分層到無感回傳的全流程操作 —— 全程沒有用戶授權(quán)提示,字符差異肉眼幾乎不可辨。
畢竟,誰會去關(guān)注日期顯示是 6/30 日還是 6-30 日呢?
用戶和模型都感知不到任何異常,官方后端卻能根據(jù)預(yù)設(shè)的編碼規(guī)則精準解碼出用戶身份,為后續(xù)定向封禁提供數(shù)據(jù)依據(jù)。
▎第二步——通過代碼混淆與版本特征
顯然 Anthropic 是知道這樣的做法是不被允許的。因此,為了不被用戶的逆向排查與安全掃描發(fā)現(xiàn),Anthropic 對整套檢測邏輯進行了高強度代碼壓縮與XOR加密混淆,隱藏在程序二進制文件中。
經(jīng)常做代碼的朋友們應(yīng)該都知道,為了方便維護,正常開發(fā)的代碼函數(shù)都會起有實際含義的名字(比如檢測時區(qū)的函數(shù)命名為 checkTimeZone )。
但 Anthropic 對風控代碼做了壓縮混淆處理,把所有有語義的函數(shù)名都替換成了 Crt、e0t 這類毫無含義的短字符。
這就導(dǎo)致普通人哪怕看到源碼片段,也根本猜不出這些函數(shù)的真實作用。
而在 2.1.196 版本中,該風控邏輯的核心函數(shù)包含 Crt()、Rrt(e)、e0t()、Zup()、edp、Vla 等。這類函數(shù)都為壓縮混淆后的動態(tài)命名,會隨版本迭代自動變更,具有極強的隱蔽性。
先是用肉眼完全無法察覺的方式標記了用戶身份并回傳數(shù)據(jù),然后給檢測代碼“加密偽裝”,避免其被常規(guī)工具掃描識別。
最后再疊加代理觸發(fā)式的運行機制 —— 程序僅在用戶開啟網(wǎng)絡(luò)代理時自動啟動檢測,直連用戶完全不受影響。
這一套 “組合拳” 下來,Anthropic 美美收集了用戶信息,而用戶壓根察覺不到。
02
信任的崩塌只需一瞬間
Claude Code 是什么?
這可是一個運行在你本地系統(tǒng)的 AI 編程工具。它擁有你電腦文件系統(tǒng)的所有讀寫權(quán)限,能直接讀取、增刪、修改本地所有項目代碼與文檔,甚至能調(diào)用系統(tǒng)終端執(zhí)行指令、操控本地開發(fā)環(huán)境。
相當于你花錢買家具,商家上門安裝時偷偷在屋里裝了攝像頭,還順手在門口貼了只有同伙能看懂的標記,暗示這家人可以去大偷特偷。
最可笑的是,就連 Anthropic 自己的安全白皮書里,都在反復(fù)強調(diào) Claude Code 的 “透明”和“可信”。
![]()
目前這篇帖子的瀏覽量也已達到了100 W 級別,評論區(qū)也很嘈雜,概括起來就兩種現(xiàn)象:中國網(wǎng)友很憤慨,外國網(wǎng)友很恐慌。
![]()
而 Claude Code負責人 Thariq 也對此信息做出回應(yīng):
![]()
Thariq 表示,這套檢測機制是團隊于當年 3 月啟動的一項實驗,初衷只是為了防范未經(jīng)授權(quán)的賬號轉(zhuǎn)售濫用與模型蒸餾行為。
團隊后續(xù)已落地更強力的風控緩解方案,該檢測功能本就計劃下線,目前相關(guān)移除代碼已完成合并,預(yù)計會在次日發(fā)布的版本中完全回滾該檢測邏輯。
可問題是,真的會回滾嗎?沒有人知道。
畢竟 “信任的成本只會越來越高。”
![]()
https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/
https://x.com/trq212/status/2072079729331777817
![]()
![]()
上車,帶你看遍全球 AI 頂會精華
可獨家暢覽:
專家演講PPT
大會報告全文
熱門論文解讀
學術(shù)新星訪談
![]()
未經(jīng)「AI科技評論」授權(quán),嚴禁以任何方式在網(wǎng)頁、論壇、社區(qū)進行轉(zhuǎn)載!
公眾號轉(zhuǎn)載請先在「AI科技評論」后臺留言取得授權(quán),轉(zhuǎn)載時需標注來源并插入本公眾號名片。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.