北京時間6月30日晚間,X(原Twitter)上一條推文在安全圈和AI開發者社區迅速引爆。認證賬號 @IntCyberDigest 公開指控 Anthropic 在 Claude Code CLI 工具中嵌入了針對中國用戶的隱蔽檢測代碼,稱其行為等同于類間諜軟件代碼「spyware-like code」。
![]()
這條帖子在不到24小時內獲得了超過150萬次瀏覽、1.3萬次轉發和近萬次點贊。其指控的核心包括三點:一是 Claude Code 無聲地讀取用戶的時區、代理路由和可能的 AI 實驗室關聯信息;二是將這些信息通過修改系統提示(system prompt)的方式注入到用戶的每次對話中;三是整個過程對用戶完全不可見。
![]()
技術細節:Unicode 換字 + 日期格式變化的隱寫術
這場風波最早源自 Reddit 用戶 LegitMichel777在 r/ClaudeAI 子版塊發布的一篇深度分析。該用戶稱,他在嘗試恢復 Claude Code 2.1.196版本中被禁用的遠程控制功能時,逆向工程了代碼包,結果發現了自2.1.91版(2026年4月2日發布)就已存在的一套檢測邏輯,且該更新在發布說明中只字未提。
據披露,Claude Code 在執行時會檢查用戶是否設置了 ANTHROPIC_BASE_URL 環境變量——即開發者用于對接自定義 API 端點(公司網關、第三方代理、OpenAI 兼容路由等)的配置項。一旦檢測到非默認端點,代碼便開始「指紋識別」:
第一層,檢查系統時區是否為 Asia/Shanghai 或 Asia/Urumqi。第二層,將代理 URL 的主機名與一個硬編碼的域名列表進行比對。這個域名列表經過了 Base64 + XOR(密鑰91)混淆處理——并非強加密,但足以避免被普通的字符串搜索工具直接找到。據研究團隊 vince ntschmalbach 的獨立分析,該列表包含約147個域名條目,涵蓋了中國主流互聯網和云計算廠商的域名——cn、baidu.com(百度)、alibaba-inc.com(阿里巴巴)、bytedance.net(字節跳動)、netease.com(網易)、kuaishou.com(快手)、xiaohongshu.com(小紅書)、jd.com(京東)等,還包括 claude-code-hub.app、openclaude.me、deeprouter.top 等與 Claude 代理相關的域名。同時,代碼中還包含一個關鍵詞列表,涉及 deepseek(深度求索)、moonshot(月之暗面)、minimax(稀宇)、zhipu(智譜)、baichuan(百川)、stepfun(階躍星辰)、01ai(零一萬物)、dashscope(阿里百煉)、volces(火山引擎)等中國 AI 模型廠商。
最令人震驚的是信息回傳的方式。代碼并不發送任何網絡請求,而是直接在發給模型的系統提示里動了手腳——「Today's date is...」這一行看似普通的信息,實際上根據檢測結果會發生三種變化:日期格式從「2026-06-30」變成「2026/06/30」;更精妙的是,引號字符被替換為 Unicode 中三種肉眼無法區分但機器可精準解析的變體——'\u2019'(右單引號)、'\u02BC'(修飾字母撇號)或 '\u02B9'(修飾字母重音符),分別對應時區、代理域名和 AI 實驗室的不同組合。
這意味著,每一名使用非官方端點連接 Claude Code 的中國用戶,其每一次對話請求中,都攜帶著一份「隱形身份證」——Anthropic 的服務器端可以輕松解析這些信號,而用戶甚至模型本身都不會察覺。
安全社區為何憤怒:信任的嚴重破裂
安全研究社區對此的反應遠比一般人想象的要強烈。原因很簡單:Claude Code 是一個被授予了倉庫讀寫權限和命令執行權限的編碼代理工具。這意味著它可以讀取用戶的文件系統、執行 shell 命令、修改代碼倉庫。
「一個擁有 repo 和命令權限的編碼代理,不應該在提示中無聲地隱藏路由元數據。這是對用戶信任的嚴重破壞。」@IntCyberDigest 在推文中寫道。
更令開發者不安的是代碼的反偵查手段。XOR 混淆雖然不構成強加密,但它表明 Anthropic 的工程團隊有意不讓他人輕易發現這些邏輯。如果一個工具運行在你的本地機器上、能夠讀取你的文件、執行你的命令,同時又在背后對你的身份進行歸類標記——并且還刻意隱藏這些操作——這已經跨越了普通遙測和秘密監控之間的紅線。
背景:Anthropic 與中國 AI 實驗室的貓鼠游戲
此次事件的爆發并非孤立。過去一年中,Anthropic 與中國 AI 實驗室之間的摩擦持續升級。
2026年5月,Anthropic 高調發布了一篇題為《Disrupting the first reported AI-orchestrated cyber espionage campaign》的博客文章,稱一個有「高置信度」的中國國家支持的黑客組織利用被操縱的 Claude Code 工具,對約30個全球目標進行了滲透嘗試,并在少數案例中取得了成功。
更早之前,Anthropic 還指控阿里巴巴等中國科技公司通過其 API 進行所謂的「模型蒸餾」(model distillation)——即利用 API 對話數據來訓練競爭模型。美國商務部近期也進一步收緊了面向中國的 AI 芯片出口管控。
在這一背景下,Claude Code 中針對中國用戶路由的隱蔽檢測代碼,更像是一張大國科技博弈棋盤上的又一步棋。但問題在于——這步棋是在用戶的電腦上、以用戶不知情的方式落下的。
Anthropic 尚未回應
截至發稿(北京時間7月1日下午),Anthropic 官方尚未就此事發表任何聲明。X 平臺上,大量開發者要求 Anthropic 給出解釋,核心問題包括:這套檢測邏輯是否存在風險評估和合規審查、哪些用戶數據被收集和傳輸、Anthropic 是否會立即移除該功能。
對于數十萬使用 Claude Code 的中國開發者來說,在 Anthropic 回應之前,每一次運行命令都可能意味著——你的時區、你的網絡路由、你的 AI 供應商偏好,正在成為一封你從未簽署的情報。
參考資料:
· X @IntCyberDigest 推文,2026.06.30
· Reddit r/ClaudeAI, LegitMichel777深度分析,2026.06.30
· Vincent Schmalbach, "Claude Code Is Quietly Fingerprinting China-Linked API Routers", 2026.06.30
· CybersecurityNews, "Anthropic's Claude Code Reportedly Uses Hidden Code to Detect Chinese Users", 2026.06.30
· CryptoBriefing, "Anthropic accused of embedding hidden spyware in Claude Code targeting Chinese users", 2026.06.30
· Anthropic 官方博客, "Disrupting the first reported AI-orchestrated cyber espionage campaign", 2026.05
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.