游乐游手机版
首页/AI热点日报/热点详情

Anthropic偷偷在Claude Code植入隐形代码识别中国用户

类型:热点整理2026-07-02
这两天,Claude大面积封号的消息在开发者圈子里炸开了锅。 国内的Claude用户,几乎被封了个干净。 两个Max订阅号,已经阵亡了一个,剩下的老号还在苟延残喘,估计也撑不了几天。 更骚的是,大家发现Anthropic在封号邮件里还偷偷埋了一个地址追踪器——小聪明全用在防中国用户身上了。 后来大家

这两天,Claude大面积封号的消息在开发者圈子里炸开了锅。

国内的Claude用户,几乎被封了个干净。

两个Max订阅号,已经阵亡了一个,剩下的老号还在苟延残喘,估计也撑不了几天。

更骚的是,大家发现Anthropic在封号邮件里还偷偷埋了一个地址追踪器——小聪明全用在防中国用户身上了。

后来大家才发现,邮件里塞追踪器根本不算什么,因为还有更狠的操作。

事情的起因是昨天,Reddit上有大佬逆向分析了Claude Code,然后发现了一个针对中国用户的究极手段。

简单来说,Claude Code会在本地静默读取电脑信息,用一种极度隐秘的方式向服务器传输“这个用户是不是中国用户”的信号。那位老哥甚至用“间谍软件”来形容它。

说实话,如果不是被翻出来,这套识别和传输机制真是又狗又隐秘。

我把本地的Claude Code也用Codex逆向验证了一遍,结论是:千真万确。

那么,在开了“魔法”的情况下,它到底是怎么认出你是中国用户的?

传统的地域封锁靠IP地理位置,开个魔法就能绕过去。但Claude Code走的完全是两条不同的路径,跟你的网络出口IP没有任何关系——它根本不看你的IP。

第一条路径:操作系统时区。

它读取的是macOS或Linux系统本地设置的时区。绝大多数中国开发者可能开着魔法,但平时也得看北京时间,所以电脑时区几乎不可能改,设的都是Asia/Shanghai。Claude Code直接读到这个时区,就明白了。

第二条路径:ANTHROPIC_BASE_URL这个环境变量。

国外正常用户用Claude Code,请求直接发给api.anthropic.com,不需要设置这个变量。但国内因为基本用不了Claude,大量中国开发者只能通过中转站来调用,方式就是把ANTHROPIC_BASE_URL改成中转站地址。

很多大厂或公司,不会为每个员工单独注册Claude账号,所以也通过自建内部中转站来分发API。Claude Code在本地拿到你设置的地址后,会取出域名,跟一份内置列表做比对。

这份列表是Anthropic收集到的所有已知中转站、国内大厂内网袋里、竞品AI公司的域名合集。一共147个域名。

包括美团、网易、百度、携程、小红书、阿里巴巴、蚂蚁、字节跳动、京东、B站、月之暗面、MiniMax、阶跃星辰等等,全部赫然在列。

更有意思的是,

而且这些列表不是明文存储的——经过base64编码后,又做了一次XOR异或运算,密钥是91。如果你自己去打开Claude Code的包,看到的是一串完全无法阅读的乱码。不反混淆出来,根本不知道里面写了什么。

好,识别机制说清楚了。接下来才是真正的骚操作:识别出来之后,它到底做了什么。

每一次你在Claude Code里输入指令,Claude Code在把请求发给Anthropic后端之前,都会自动在最前面拼接一段系统提示词。为了让模型知道一些最新的事实信息,一般会在里面拼一行很普通的信息:

Today's date is 2026-06-30.

就是告诉模型今天是几号。

这行字,就是Anthropic动手脚的地方。

Reddit那个老哥发现,Claude Code的打包文件里藏了一组函数,会根据上面两条路径的识别结果:如果在本地发现你是中国用户,就会在发送请求之前,对这行日期字符串做两处修改。

这两处修改都是人类肉眼几乎不可见的——在任何编辑器、任何终端里看这行字,跟正常版本长得一模一样。

但从机器解码角度,也就是Unicode编码层面,它已经完全变成了另一个字符。

第一处修改是「Today's」里那个单引号。

正常情况下,这个单引号的Unicode编码是U+0027。但如果检测到你是个中国用户,Claude Code就会极其鸡贼地把它替换成另外三个长得完全一样的Unicode字符之一,然后这段被修改过的Prompt就发回到他们的服务器上。

第二处修改是日期里的分隔符。

正常的Prompt日期格式是2026-06-30,用连字符分隔。但如果检测到你的操作系统时区设置是Asia/Shanghai或Asia/Urumqi,它就会把连字符换成斜杠,变成2026/06/30。

这两个信号叠在一起,构成了一个2到3比特的分类标记。

Anthropic的服务器在收到请求时,不需要做任何额外检测,只需要机器识别一下系统提示词里那个单引号是哪个Unicode字符、日期分隔符是连字符还是斜杠,就能判断出这条请求是否来自中国大陆时区。

这个东西在技术上有个名字,叫隐写术,steganography。就是把信息藏在看起来完全正常的载体里。

如果不是这次被发现,几乎没有人能看出Anthropic这么狗。因为即使Claude Code在本地识别出你是中国区用户,如果直接把时区等封装传回去,大家能看到传输的数据记录,是完全可以针对性清洗的。但Anthropic用隐写术,让人真的几乎发现不了。

为了防止中国用户用上他们高贵的Claude,已经做到这个地步了。

社区在发现这件事后直接就炸了——不仅中国开发者炸了,国外开发者也炸了。

这篇帖子已经100万阅读了。

最核心的点是,Claude Code不是一个普普通通的APP。它拥有电脑的文件系统权限,能执行Shell命令,能读你的代码、改你的配置、操作你的Git仓库——换句话说,它几乎拥有你家的最高权限。

而这个东西,在你完全不注意的时候,在你家门上画了一个几乎无法察觉的标记,就是为了告诉它的同伙:这户人家不对劲,记得把他们灭门了。

大概就是这个意思。

软件行业一直有一个被广泛接受的原则:你可以收集用户信息,但你必须告诉用户你在收集什么、为什么收集、怎么收集。GDPR是这么要求的,苹果的App Store审核指南是这么要求的,甚至Anthropic自己的安全白皮书里,也在反复强调“透明”和“可信”。

结果你自己的开发者工具里,用隐写术藏了一个分类标记,用XOR加密把检测目标混淆成乱码,用最不透明的方式传了用户的标记数据回来。

对所有使用Claude Code的开发者来说,信任还何在?

今天是中国,那明天,就有可能是别的国家。

“中国”,只是全球的代名词。

而且这只是目前针对中国的被爆出来的标记。那还有没有可能,有更多?

没有人知道。

但可以确定的是,信任这个东西,建起来可能要三年。而塌掉的时候,仅仅只需要1秒。

来源:https://www.bestblogs.dev/article/e1f5e1c6?utm_source=rss&utm_medium=feed&utm_campaign=resources&entry=rss_article_item

相关热点

继续查看同栏目近期热点。

延伸阅读

补充最近整理过的热点入口。