这两天,Claude大面积封号的消息在开发者圈子里炸开了锅。
国内的Claude用户,几乎被封了个干净。
两个Max订阅号,已经阵亡了一个,剩下的老号还在苟延残喘,估计也撑不了几天。

更骚的是,大家发现Anthropic在封号邮件里还偷偷埋了一个地址追踪器——小聪明全用在防中国用户身上了。

后来大家才发现,邮件里塞追踪器根本不算什么,因为还有更狠的操作。
事情的起因是昨天,Reddit上有大佬逆向分析了Claude Code,然后发现了一个针对中国用户的究极手段。

简单来说,Claude Code会在本地静默读取电脑信息,用一种极度隐秘的方式向服务器传输“这个用户是不是中国用户”的信号。那位老哥甚至用“间谍软件”来形容它。
说实话,如果不是被翻出来,这套识别和传输机制真是又狗又隐秘。
我把本地的Claude Code也用Codex逆向验证了一遍,结论是:千真万确。

那么,在开了“魔法”的情况下,它到底是怎么认出你是中国用户的?
传统的地域封锁靠IP地理位置,开个魔法就能绕过去。但Claude Code走的完全是两条不同的路径,跟你的网络出口IP没有任何关系——它根本不看你的IP。
第一条路径:操作系统时区。
它读取的是macOS或Linux系统本地设置的时区。绝大多数中国开发者可能开着魔法,但平时也得看北京时间,所以电脑时区几乎不可能改,设的都是Asia/Shanghai。Claude Code直接读到这个时区,就明白了。
第二条路径:ANTHROPIC_BASE_URL这个环境变量。
国外正常用户用Claude Code,请求直接发给api.anthropic.com,不需要设置这个变量。但国内因为基本用不了Claude,大量中国开发者只能通过中转站来调用,方式就是把ANTHROPIC_BASE_URL改成中转站地址。
很多大厂或公司,不会为每个员工单独注册Claude账号,所以也通过自建内部中转站来分发API。Claude Code在本地拿到你设置的地址后,会取出域名,跟一份内置列表做比对。
这份列表是Anthropic收集到的所有已知中转站、国内大厂内网袋里、竞品AI公司的域名合集。一共147个域名。

包括美团、网易、百度、携程、小红书、阿里巴巴、蚂蚁、字节跳动、京东、B站、月之暗面、MiniMax、阶跃星辰等等,全部赫然在列。
更有意思的是,

而且这些列表不是明文存储的——经过base64编码后,又做了一次XOR异或运算,密钥是91。如果你自己去打开Claude Code的包,看到的是一串完全无法阅读的乱码。不反混淆出来,根本不知道里面写了什么。
好,识别机制说清楚了。接下来才是真正的骚操作:识别出来之后,它到底做了什么。
每一次你在Claude Code里输入指令,Claude Code在把请求发给Anthropic后端之前,都会自动在最前面拼接一段系统提示词。为了让模型知道一些最新的事实信息,一般会在里面拼一行很普通的信息:
Today's date is 2026-06-30.
就是告诉模型今天是几号。
这行字,就是Anthropic动手脚的地方。
Reddit那个老哥发现,Claude Code的打包文件里藏了一组函数,会根据上面两条路径的识别结果:如果在本地发现你是中国用户,就会在发送请求之前,对这行日期字符串做两处修改。
这两处修改都是人类肉眼几乎不可见的——在任何编辑器、任何终端里看这行字,跟正常版本长得一模一样。
但从机器解码角度,也就是Unicode编码层面,它已经完全变成了另一个字符。
第一处修改是「Today's」里那个单引号。
正常情况下,这个单引号的Unicode编码是U+0027。但如果检测到你是个中国用户,Claude Code就会极其鸡贼地把它替换成另外三个长得完全一样的Unicode字符之一,然后这段被修改过的Prompt就发回到他们的服务器上。

第二处修改是日期里的分隔符。
正常的Prompt日期格式是2026-06-30,用连字符分隔。但如果检测到你的操作系统时区设置是Asia/Shanghai或Asia/Urumqi,它就会把连字符换成斜杠,变成2026/06/30。
这两个信号叠在一起,构成了一个2到3比特的分类标记。
Anthropic的服务器在收到请求时,不需要做任何额外检测,只需要机器识别一下系统提示词里那个单引号是哪个Unicode字符、日期分隔符是连字符还是斜杠,就能判断出这条请求是否来自中国大陆时区。
这个东西在技术上有个名字,叫隐写术,steganography。就是把信息藏在看起来完全正常的载体里。
如果不是这次被发现,几乎没有人能看出Anthropic这么狗。因为即使Claude Code在本地识别出你是中国区用户,如果直接把时区等封装传回去,大家能看到传输的数据记录,是完全可以针对性清洗的。但Anthropic用隐写术,让人真的几乎发现不了。
为了防止中国用户用上他们高贵的Claude,已经做到这个地步了。
社区在发现这件事后直接就炸了——不仅中国开发者炸了,国外开发者也炸了。

这篇帖子已经100万阅读了。
最核心的点是,Claude Code不是一个普普通通的APP。它拥有电脑的文件系统权限,能执行Shell命令,能读你的代码、改你的配置、操作你的Git仓库——换句话说,它几乎拥有你家的最高权限。
而这个东西,在你完全不注意的时候,在你家门上画了一个几乎无法察觉的标记,就是为了告诉它的同伙:这户人家不对劲,记得把他们灭门了。
大概就是这个意思。
软件行业一直有一个被广泛接受的原则:你可以收集用户信息,但你必须告诉用户你在收集什么、为什么收集、怎么收集。GDPR是这么要求的,苹果的App Store审核指南是这么要求的,甚至Anthropic自己的安全白皮书里,也在反复强调“透明”和“可信”。
结果你自己的开发者工具里,用隐写术藏了一个分类标记,用XOR加密把检测目标混淆成乱码,用最不透明的方式传了用户的标记数据回来。
对所有使用Claude Code的开发者来说,信任还何在?

今天是中国,那明天,就有可能是别的国家。

“中国”,只是全球的代名词。
而且这只是目前针对中国的被爆出来的标记。那还有没有可能,有更多?
没有人知道。
但可以确定的是,信任这个东西,建起来可能要三年。而塌掉的时候,仅仅只需要1秒。
