![]()
Claude Code 負責人已回應:只是為了防止模型蒸餾!
作者丨樊天驕
編輯丨鄭佳美
昨天,一個 Reddit 大佬逆向了一下 Claude Code,發現為了防止中國用戶,Anthropic 居然在最近更新的 Claude Code 2.1.196 版本中放了個監控程序!
![]()
于是爆料者立刻追溯時間,發現這個程序不是最近才有的,早在 2026 年 4 月 2 日的 2.1.91 版本該程序就已上線,卻從未寫入官方更新日志。
要知道,不久之前 Claude Code 還被曝出在用戶的通知郵件內安裝追蹤器。
![]()
用戶們本以為這就是 Anthropic 的底線,緊接著 Anthropic 就被曝出安裝了回傳用戶信息的間諜程序,用實際行動告訴你:我不光沒有底線,我還沒有下限。
讓人咂舌的是這個間諜程序的運行機制的確設計的足夠精妙。它會通過篡改系統提示詞的日期格式、替換細微特殊標點等肉眼完全無法識別的隱寫手段對中國的用戶進行秘密標記,并且回傳用戶信息。
這就是說,Claude Code 在神不知鬼不覺的情況下,已經偷偷回傳了所有中國用戶信息近 3 個月。也難怪今年會爆發一輪接一輪的 Claude Code 封號熱潮:甭管你的 IP 地址在國內還是國外,也甭管調用 API 的方式多么高明,只要是中國人,Anthropic 都能做到精準封殺。
依稀記得前段時間社區里的中國網友們都苦兮兮,技術人員談論的主題不超過三句話:你號封了嗎?我號封了嗎?我號怎么又被封了?
看完這份逆向實錘,也難怪不少網友感慨:絕了,Anthropic,可真有你的。
01
為了防止中國用戶使用,
Anthropic 有多努力
Anthropic 究竟怎么通過這套間諜程序 (Spyware), 精準封號中國網用戶的?經 Reddit 大神的逆向拆解,這套內置程序設置了兩套技術:
一種是基于系統提示詞的文本隱寫(Steganography)技術,負責對用戶進行身份標記與隱秘回傳;
另一種是代碼壓縮與 XOR 加密混淆手段,用于隱藏檢測邏輯本身的痕跡。
第一種用于識別 “是否為中國用戶”,然后給所有中國用戶打上特定標記,把這些用戶信息回傳;第二種則負責掩蓋第一步的操作,防止用戶發現。
▎先來說第一種核心標記技術:系統提示詞隱寫溯源(Steganography)
一旦用戶開啟代理,程序將執行雙重維度的校驗:
系統時區校驗。即通過讀取你個人設備本地的時間,判斷用戶是否處于“上海——烏魯木齊”中國屬地標準時區;
代理域名核驗:解析用戶使用的代理網址,確認其是否為中國域名、是否命中預設黑名單域名列表,以及是否關聯國內 AI 實驗室。
這套程序的作用在于識別用戶身份:即用戶是否為中國屬地,是普通用戶還是 AI 機構主體。
那么,在完成用戶身份識別后,Anthropic 是如何在用戶完全無感知的情況下,將這些身份信息神不知鬼不覺地回傳至后臺的?
這就涉及到本次爆料最讓人大跌眼鏡的操作—— 程序會先通過修改系統提示詞的細節特征完成隱形標記,再進行回傳。
而怎么才能標記的更隱蔽?Anthropic 想到的方法是——改日期。
如若檢測到中國時區,程序會將提示詞中默認的橫杠式日期格式(2026-06-30)替換為斜杠格式(2026/06/30),完成基礎屬地標記。
甚至,程序還會根據代理域名的屬性,用三種外觀高度相似、Unicode 編碼完全不同的特殊字符,對用戶進行更為精細化的分層標記:
如為普通國內代理用戶(中國域名但非 AI 實驗室主體),則替換為右單引號 ’(Unicode 編碼 \u2019)
如為中國境外鏈路的國內 AI 機構(非中國域名但可匹配國內 AI 實驗室名單),則替換為修飾字母撇號 ?(Unicode 編碼 \u02BC)
如為中國境內 AI 機構主體(中國域名且匹配國內 AI 實驗室名單),則替換為修飾重音符號 ?(Unicode 編碼 \u02B9)
這樣,Anthropic 就完成了從屬地識別、身份分層到無感回傳的全流程操作 —— 全程沒有用戶授權提示,字符差異肉眼幾乎不可辨。
畢竟,誰會去關注日期顯示是 6/30 日還是 6-30 日呢?
用戶和模型都感知不到任何異常,官方后端卻能根據預設的編碼規則精準解碼出用戶身份,為后續定向封禁提供數據依據。
▎第二步——通過代碼混淆與版本特征
顯然 Anthropic 是知道這樣的做法是不被允許的。因此,為了不被用戶的逆向排查與安全掃描發現,Anthropic 對整套檢測邏輯進行了高強度代碼壓縮與XOR加密混淆,隱藏在程序二進制文件中。
經常做代碼的朋友們應該都知道,為了方便維護,正常開發的代碼函數都會起有實際含義的名字(比如檢測時區的函數命名為 checkTimeZone )。
但 Anthropic 對風控代碼做了壓縮混淆處理,把所有有語義的函數名都替換成了 Crt、e0t 這類毫無含義的短字符。
這就導致普通人哪怕看到源碼片段,也根本猜不出這些函數的真實作用。
而在 2.1.196 版本中,該風控邏輯的核心函數包含 Crt()、Rrt(e)、e0t()、Zup()、edp、Vla 等。這類函數都為壓縮混淆后的動態命名,會隨版本迭代自動變更,具有極強的隱蔽性。
先是用肉眼完全無法察覺的方式標記了用戶身份并回傳數據,然后給檢測代碼“加密偽裝”,避免其被常規工具掃描識別。
最后再疊加代理觸發式的運行機制 —— 程序僅在用戶開啟網絡代理時自動啟動檢測,直連用戶完全不受影響。
這一套 “組合拳” 下來,Anthropic 美美收集了用戶信息,而用戶壓根察覺不到。
02
信任的崩塌只需一瞬間
Claude Code 是什么?
這可是一個運行在你本地系統的 AI 編程工具。它擁有你電腦文件系統的所有讀寫權限,能直接讀取、增刪、修改本地所有項目代碼與文檔,甚至能調用系統終端執行指令、操控本地開發環境。
相當于你花錢買家具,商家上門安裝時偷偷在屋里裝了攝像頭,還順手在門口貼了只有同伙能看懂的標記,暗示這家人可以去大偷特偷。
最可笑的是,就連 Anthropic 自己的安全白皮書里,都在反復強調 Claude Code 的 “透明”和“可信”。
![]()
目前這篇帖子的瀏覽量也已達到了100 W 級別,評論區也很嘈雜,概括起來就兩種現象:中國網友很憤慨,外國網友很恐慌。
![]()
而 Claude Code負責人 Thariq 也對此信息做出回應:
![]()
Thariq 表示,這套檢測機制是團隊于當年 3 月啟動的一項實驗,初衷只是為了防范未經授權的賬號轉售濫用與模型蒸餾行為。
團隊后續已落地更強力的風控緩解方案,該檢測功能本就計劃下線,目前相關移除代碼已完成合并,預計會在次日發布的版本中完全回滾該檢測邏輯。
可問題是,真的會回滾嗎?沒有人知道。
畢竟 “信任的成本只會越來越高。”
![]()
https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/
https://x.com/trq212/status/2072079729331777817
![]()
![]()
上車,帶你看遍全球 AI 頂會精華
可獨家暢覽:
專家演講PPT
大會報告全文
熱門論文解讀
學術新星訪談
![]()
未經「AI科技評論」授權,嚴禁以任何方式在網頁、論壇、社區進行轉載!
公眾號轉載請先在「AI科技評論」后臺留言取得授權,轉載時需標注來源并插入本公眾號名片。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.