Claude Code暗藏间谍代码:Anthropic偷偷给中国用户打隐形标记,干了3个月才被扒出来
你打开终端输入claude回车。Claude Code启动了。你开始写代码。让它帮你重构那个屎山模块让它读你的项目文件让它跑命令。你花了200块买这个工具你信任它——毕竟它是Anthropic做的那个一直标榜透明“可信”安全优先的公司。但你不知道的是在你每一次和Claude Code的对话里你的请求都被偷偷动了手脚。一条本该是Today’s date is 2026-06-30的日期信息在你毫不知情的情况下被改写。连字符从-变成了/撇号从一种Unicode字符换成了另一种。你看不出来。你的编辑器看不出来。几乎任何人类都看不出来。但Anthropic的服务器能看出来。它从这些肉眼分辨不了的字符变化中读取到一个清晰的信息这个用户是中国人。这件事干了整整三个月。从今年4月2日开始一直到6月30日被人逆向工程扒出来。一、到底干了什么先说清楚这不是什么复杂的技术问题。我用最直白的方式讲一遍。Claude Code里有一段代码这段代码只在一种条件下激活你设置了ANTHROPIC_BASE_URL环境变量把API请求转发到非官方代理服务器。为什么要提这个条件因为国内绝大多数用户都是通过中转站访问Claude Code的。直接连官方API网络不通。所以这个条件基本覆盖了所有国内用户。通过官方API访问的人反而不受影响。检测逻辑分两条路径。第一条读你电脑的时区。只要系统时区是Asia/Shanghai或Asia/Urumqi就标记为中国用户。看起来很蠢一点都不。你切了网络改了DNS配了代理但你大概率不会改电脑时区——毕竟时区影响日程、影响日志、影响一堆东西。所以这条路径几乎能命中所有国内开发者。第二条域名黑名单。Claude Code提取你代理服务器的域名跟一份硬编码的清单比对。清单有147个域名但不是直接明文写的——用XOR-91加密再用Base64编码混淆。安全研究员Adnane Khan从二进制文件里提取出完整JavaScript代码解码后才发现这份清单包含什么.cn中国顶级域名百度阿里巴巴连内网域名都没放过蚂蚁集团字节跳动DeepSeek、智谱、月之暗面(Moonshot AI)、MiniMax、阶跃星辰——几乎所有国内AI公司大量API中转站和镜像服务地址。有一家公司的域名不在清单里腾讯。有人注意到这个细节。Dario Amodei在创办Anthropic之前在百度干过。这只是个巧合还是某种选择性的体现没人说得清。画面左侧展示四个Unicode字符U0027、U2019、U02BC、U02B9在等宽字体下几乎一模一样的外观右侧放大镜下它们各自不同的编码值清…两条路径走完接下来才是最离谱的部分——隐写术标记。什么叫隐写术你看过谍战片吧间谍把情报藏在看似普通的信件里表面读起来是家常问候实际每个字的位置、每个标点的选择都在传递秘密信息。Claude Code用的就是这套东西。每次请求的系统提示词里都有一行日期“Today’s date is 2026-06-30”。检测命中后这行日期被做了两处手脚第一处日期分隔符从连字符变斜杠。2026-06-30变成2026/06/30。第二处撇号替换为不同的Unicode字符编码不同的命中状态U0027——正常ASCII单引号——没命中任何名单U2019——右单引号——命中了域名列表U02BC——修饰字母撇号——命中了AI实验室关键词U02B9——修饰字母角分符——两个都命中了四个字符。在绝大多数等宽字体里它们看起来几乎一模一样。你用肉眼分辨不了。我分辨不了。任何人类都分辨不了。但Anthropic的服务器用机器解析一秒识别。安全研究员Adnane Khan把这叫做隐蔽信道(covert channel)——一种专门用来在不被发现的情况下传递秘密信息的技术手段。整个机制不需要额外的网络请求不会留下可疑流量痕迹。没有奇怪的API调用没有异常的数据包。一切都在系统提示词那行日期信息里完成。你看到的是一条普通日期Anthropic服务器读到的是你的地理身份。这就是为什么运行了三个月没人发现——直到有人做了逆向工程。二、为什么只针对中国Anthropic团队成员Thariq的回应说这是三月上线的一项实验目的是防止未经授权的转售商滥用账号并防范模型蒸馏。听起来合理仔细想想漏洞多到挡不住。账号转售和模型蒸馏是全球性问题。东欧、东南亚、南美都有大规模转售和蒸馏行为。为什么监控清单集中指向中国的云厂商、AI公司和API代理服务商为什么百度内网域名会出现在反转售的清单里为什么DeepSeek、智谱、月之暗面这些AI公司的域名跟账号转售有关系这份清单的真实目的怎么看都不只是反滥用。更像是在识别和标记所有与中国AI生态有关联的用户。再说时区。反滥用反蒸馏需要读你的本地时区吗时区是本地信息跟API调用频率没关系跟账号活跃度没关系跟请求模式没关系。时区唯一能告诉你的就是用户在哪。读时区的目的只有一个判断你的地理位置。最核心的问题为什么要用隐写术如果真是正当的反滥用措施写在文档里写在更新日志里让用户知情。不需要用肉眼看不见的Unicode字符偷偷替换。不需要加密混淆域名清单。不需要在每条请求的系统提示词里做手脚。隐写术这个词来自军事通信和情报领域。它的核心特征就是隐蔽——不让对方知道信息的存在。把这套东西用在商业产品里对付自己的付费用户无论怎么解释都绕不过一个事实Anthropic不想让用户知道这件事。Thariq的回应没能解释这些问题。截至发稿Anthropic官方也没有发布正式公开声明。同一天还有另一条消息。6月30日Anthropic宣布美国商务部已解除对Claude Fable 5和Mythos 5的出口管制。6月12日美国政府以国家安全为由对这两款最强大模型发出出口管制指令7月1日恢复访问。一边解禁模型出口一边在产品里暗藏代码追踪中国用户。这种双标讽刺程度已经不需要我再多说。三、被封号的中国开发者如果你觉得隐写术标记只是个技术八卦跟你没关系——那你还不知道最近发生了什么。近期大量中国用户的Claude账号遭封禁或限制。不是新号不是违规号是稳定用了一年多的号。有人付费订阅了12个月没有任何异常使用记录一封邮件过来账号没了。更狠的是公司级别。有百人规模的团队被团灭——所有关联账号一次性封停。想象一下那个场景一百个开发者同时失去工作工具项目推进中断代码评审停摆部署流程瘫痪。一间办公室里多个开发者面对屏幕上整齐排列的红色封号通知表情从震惊到无奈桌面上散落着无法打开的Claude Code终端窗口一封邮件通知里隐约可见一…还有个细节让人脊背发凉。有人发现Anthropic的封号邮件里埋了追踪像素。追踪像素是什么一张1×1像素的透明图片嵌在邮件HTML里。你看不见它。但当你打开邮件的那一刻你的邮件客户端会尝试加载这张图片。加载请求会发送到Anthropic的服务器同时携带你的真实IP地址。如果你没开代理就打开了邮件——你的真实地理位置就被二次确认了。程序员鱼皮总结得很到位“先暗中观察你等掌握了足够证据再动手。”把整个链条串起来逻辑就通了Claude Code里的隐写术标记持续采集数据标记你的身份证据积累到一定程度触发封号封号邮件里的追踪像素负责二次确认你的位置。对那些用了一年多的用户来说封号不只是失去一个工具。你在Claude上积累的工作流、你的提示词、你的开发习惯——全部归零。对百人规模的公司来说损失的是整个团队的生产力和重新寻找替代方案的时间成本。四、信任崩塌Claude Code不是一个普通聊天软件。它运行在你终端里能读你的文件系统——你的代码、你的配置文件、你的.env里存的密钥。它能执行Shell命令——在你的电脑上跑任何代码。它能改你的文件——重构、创建、删除都是它的日常工作。你把这么大的权限给它是因为你信任它。你信任Anthropic。你信任这个一直标榜安全优先透明至上的公司。结果它背着你在每一条请求里夹带私货。不是一次两次。是三个月每一天每一条请求。你让它帮你重构代码它偷偷标记你的位置。你让它帮你写测试它偷偷记录你的身份。你让它帮你部署服务它悄悄把你的地理信息塞进系统提示词——你以为发给Anthropic的是一条普通的技术请求实际上你发送的是一条带着我是中国用户隐形标签的数据包。Anthropic自己写的安全政策文档里“透明”(transparency)和可信(trustworthiness)是高频词。他们批评别家公司不够透明呼吁行业建立信任框架在国会听证会上谈AI安全伦理。结果自家产品用隐写术藏标记。隐写术——来自间谍通信的技术手段——用在了你付费购买的商业工具上对付的是你这个付费用户。更讽刺的是这套机制对真正搞大规模转售和模型蒸馏的人来说想绕过并不难。改个时区换个域名完事。专业技术人士分分钟搞定。最终被精准捕获的是那些正常付费使用的普通开发者——他们的罪行不过是系统时区设在了Asia/Shanghai或者代理域名碰巧和某个国内服务有关联。你花了钱买了工具。工具在背后监视你。然后账号被封了。这个闭环的逻辑怎么看都不像是反滥用。五、更大的AI困境Claude Code的事不是孤例。把视野拉大你会发现一个让人无力的事实AI越来越强但越来越难用。OpenAI Codex6月连搞两波封禁。200刀的账号直接封停没有预警没有申诉渠道。你花了一千多块买了一年订阅一封邮件过来没了。Cursor存在地区限制。3.9版本之后有人直接无法使用。你付了费但你的IP决定了你能不能打开这个工具。国内也好不到哪去。DeepSeek V4引入峰谷定价高峰时段价格翻倍。你本来以为便宜好用的国产模型现在也要看时间段了。智谱GLM Coding Plan限量发售天天盯着都抢不到。豆包推出付费专业版每月500元。一道道越建越高的数字围墙墙面上贴着不同AI工具的封禁通知、限流标语、涨价公告墙外站着焦虑的开发者试图寻找入口墙内的AI模型在不断进化但空间越来越封闭…有个开发者说了一句话我觉得很多人都有同感“以前每次有新模型发布我很兴奋现在更多的则是焦虑。”兴奋是因为工具变强了——Claude Sonnet 4、GPT-4o、Gemini 2.5 Pro、DeepSeek V4一个接一个突破天花板。焦虑是因为不确定性——你不知道账号什么时候会被封不知道下个月套餐又涨多少钱不知道你依赖的工具有没有在暗处收集你的数据不知道你今天的正常使用明天会不会被判定为违规。这种焦虑才是Claude Code事件真正戳到的痛点。不只是某个技术漏洞不只是某次封号事件而是更深层的追问对于不在主流市场里的用户这些公司到底把你当什么是客户还是风险是付费用户还是需要监控的对象今天承诺删除但信任能删除吗今天7月2日Anthropic承诺删除这段代码。Thariq说相关PR已合并新版本将完全回滚。代码删了事情就结束了吗三个月里这套机制采集了多少数据这些数据现在在哪被用来做了什么跟封号决策有没有直接关联那些已经被封号的用户账号会恢复吗Anthropic会不会给出完整的调查报告和解释没人知道。Thariq的回应里没有道歉没有承诺审查流程没有关于数据处理的说明。从发现到承诺删除不到48小时。删代码的速度很快给解释的速度没那么急。有人会说算了代码删了就过了。继续用呗。毕竟Claude还是最好的编程助手之一工具就是工具哪个工具没毛病。这是很现实的选择。我理解。但我想记下一件事。有三个月的时间你在电脑里打开Claude Code每次跑终端命令、每次让它读你的代码、每次你信任它处理你的工作——它都在用你看不见的字符给你的每条请求贴上标签。这不是公开的政策不是你知情同意的条款不是更新日志里的一行说明。这是秘密的。隐蔽的。用隐写术藏起来的。今天这段代码被删了。你愿不愿意继续用是你自己的事。但有些事情知道了就回不去了。

相关新闻