出品 | 網(wǎng)易智能
作者 | 小爪
編輯 | 王鳳枝
Claude Code被曝在本地命令行里塞進(jìn)一段隱藏檢測(cè)代碼:只要你開(kāi)著代理,它就會(huì)判斷你是不是中國(guó)用戶。
按Reddit用戶LegitMichel777的逆向結(jié)果,從4月2日發(fā)布的2.1.91版本起,Claude Code會(huì)檢查系統(tǒng)時(shí)區(qū)是否為Asia/Shanghai或Asia/Urumqi,也會(huì)檢查代理URL是否命中中國(guó)域名、白名單域名,或中國(guó)AI實(shí)驗(yàn)室相關(guān)域名。
Claude Code團(tuán)隊(duì)成員Thariq Shihipar隨后在X上回應(yīng)稱,這是3月啟動(dòng)的一項(xiàng)反轉(zhuǎn)售、反蒸餾實(shí)驗(yàn);相關(guān)PR已合并,會(huì)在下一版中回滾刪除。
![]()
但在開(kāi)發(fā)者社區(qū)中,已經(jīng)有人把Claude Code罵成"間諜軟件"。它跑在本地終端里,能讀寫(xiě)文件、執(zhí)行shell命令,很多人還會(huì)讓它進(jìn)入真實(shí)代碼庫(kù)。這樣一個(gè)工具,如果在用戶不知情的情況下給請(qǐng)求打暗標(biāo),爭(zhēng)議就不只是 “Anthropic做了風(fēng)控” 這么簡(jiǎn)單。
這件事也不是突然冒出來(lái)的單點(diǎn)爆料。6月27日至今,小紅書(shū)上已經(jīng)陸續(xù)出現(xiàn) “Claude今天大面積封號(hào)”的帖子。這說(shuō)明,在逆向帖刷屏前,中國(guó)用戶圈里已經(jīng)有明顯的封號(hào)體感。
社區(qū)發(fā)現(xiàn)了什么
按這名用戶的逆向結(jié)果,Claude Code沒(méi)有通過(guò)一個(gè)顯眼的遙測(cè)字段上報(bào)狀態(tài),而是改動(dòng)系統(tǒng)提示詞中日期和標(biāo)點(diǎn)的寫(xiě)法。
![]()
識(shí)別到中國(guó)時(shí)區(qū)時(shí),日期分隔符會(huì)從短橫線變成斜杠;代理域名命中不同類別時(shí),"Today's date is"里的撇號(hào)會(huì)被替換成外觀很接近的Unicode字符。普通用戶幾乎不會(huì)注意到這些差異,但服務(wù)端可以據(jù)此識(shí)別請(qǐng)求狀態(tài)。
帖子列出的技術(shù)細(xì)節(jié)還包括:相關(guān)邏輯從2.1.91版本開(kāi)始存在;部分內(nèi)容經(jīng)過(guò)異或混淆,密鑰為91;函數(shù)名經(jīng)過(guò)壓縮,普通字符串掃描不容易直接發(fā)現(xiàn);2.1.91的發(fā)布說(shuō)明沒(méi)有提到這項(xiàng)變化。
LegitMichel777在帖子里說(shuō),他原本并不是沖著這段代碼去的。他是在處理Claude Code 2.1.196啟用代理時(shí)禁用遠(yuǎn)程控制的問(wèn)題,想逆向修掉這個(gè)限制,結(jié)果挖出了隱藏檢測(cè)邏輯。
Reddit帖把這套機(jī)制與兩類風(fēng)險(xiǎn)聯(lián)系在一起:未授權(quán)賬號(hào)轉(zhuǎn)售,以及中國(guó)AI實(shí)驗(yàn)室可能進(jìn)行的模型蒸餾。后者也是Anthropic過(guò)去幾個(gè)月反復(fù)強(qiáng)調(diào)的風(fēng)險(xiǎn)。
蒸餾壓力是真實(shí)背景
今年2月,Anthropic發(fā)布文章稱,公司識(shí)別出DeepSeek、Moonshot和MiniMax等實(shí)驗(yàn)室的大規(guī)模蒸餾活動(dòng)。這些實(shí)驗(yàn)室通過(guò)約2.4萬(wàn)個(gè)虛假賬號(hào),與Claude發(fā)生超過(guò)1600萬(wàn)次交互,違反服務(wù)條款和地區(qū)訪問(wèn)限制。
Anthropic在那篇文章里說(shuō),這類活動(dòng)會(huì)針對(duì)Claude的智能體推理、工具使用、編碼等差異化能力,并通過(guò)代理服務(wù)、虛假賬號(hào)和協(xié)調(diào)流量繞過(guò)限制。
6月下旬,這條背景又加重了一層。據(jù)Business Insider、Tom's Hardware等媒體報(bào)道,Anthropic在致美國(guó)參議員的信中指控,阿里巴巴相關(guān)操作者在4月至6月期間通過(guò)近2.5萬(wàn)個(gè)虛假賬號(hào),與Claude進(jìn)行約2880萬(wàn)次交互。Anthropic將其稱為已知最大規(guī)模的Claude蒸餾攻擊之一。 阿里方面尚未直接回應(yīng)。
放在這個(gè)背景下,Anthropic想識(shí)別代理、轉(zhuǎn)售和蒸餾流量,并不意外。前沿模型的輸出本身就是高價(jià)值資產(chǎn),Claude Code又是最容易被用于大規(guī)模編碼和智能體任務(wù)的入口之一。
爭(zhēng)議集中在實(shí)現(xiàn)方式上。
很多軟件都會(huì)做風(fēng)控、反濫用和遙測(cè)。如果Anthropic在文檔里明確說(shuō)明:Claude Code會(huì)在代理環(huán)境下收集必要的反濫用信號(hào),用戶可以查看收集項(xiàng)、用途和保留方式,爭(zhēng)議會(huì)小很多。但這次被曝光的是另一種做法:本地命令行工具讀取時(shí)區(qū)和代理環(huán)境,把結(jié)果編碼進(jìn)系統(tǒng)提示詞,再發(fā)到云端。
對(duì)開(kāi)發(fā)者來(lái)說(shuō),這越過(guò)了普通風(fēng)控和高權(quán)限工具之間的信任邊界。社區(qū)反應(yīng)之所以激烈,不只是因?yàn)锳nthropic可能知道用戶在哪個(gè)時(shí)區(qū)。更敏感的是:系統(tǒng)提示詞既然可以被用于隱蔽傳遞風(fēng)控標(biāo)記,開(kāi)發(fā)者就會(huì)追問(wèn),它將來(lái)是否還可能被用于改變模型行為、區(qū)分用戶體驗(yàn),或傳遞更敏感的狀態(tài)。
目前沒(méi)有證據(jù)顯示Claude Code借這段機(jī)制竊取倉(cāng)庫(kù)內(nèi)容,也沒(méi)有證據(jù)顯示它已經(jīng)用這些標(biāo)記操控模型輸出。但"不透明隱寫(xiě)"本身已經(jīng)足夠傷害一款高權(quán)限本地工具的可信度。
Anthropic團(tuán)隊(duì)成員怎么回應(yīng)
6月30日,Claude Code團(tuán)隊(duì)成員Thariq Shihipar在X上回應(yīng)稱,這是3月啟動(dòng)的一項(xiàng)實(shí)驗(yàn),目的是阻止未授權(quán)轉(zhuǎn)售并防范模型蒸餾。
按他的說(shuō)法,Anthropic后來(lái)已經(jīng)部署了更強(qiáng)的緩解措施,本來(lái)就計(jì)劃撤下這段代碼;相關(guān)PR已經(jīng)合并,會(huì)在下一版發(fā)布中回滾刪除。
這不是Anthropic官網(wǎng)公告,也不是正式道歉。它更像團(tuán)隊(duì)成員在輿論發(fā)酵后給出的工程解釋:承認(rèn)有這個(gè)實(shí)驗(yàn),解釋動(dòng)機(jī),并承諾很快刪除。
這個(gè)回應(yīng)沒(méi)有完全平息爭(zhēng)議。批評(píng)者最在意的并不是Anthropic是否有反濫用理由,而是這種實(shí)驗(yàn)為何沒(méi)有寫(xiě)進(jìn)發(fā)布說(shuō)明,為何采用混淆和隱寫(xiě)方式,以及如果沒(méi)有被逆向發(fā)現(xiàn),它會(huì)不會(huì)繼續(xù)存在。
社區(qū)爭(zhēng)議:必要風(fēng)控,還是越界監(jiān)控
Reddit討論里有兩種聲音。
批評(píng)者把它稱為"間諜軟件",認(rèn)為Anthropic在用戶不知情的情況下讀取系統(tǒng)和代理信息,又刻意混淆代碼、避開(kāi)發(fā)布說(shuō)明,破壞了開(kāi)發(fā)者對(duì)本地工具的信任。還有人指出,真正想繞過(guò)檢測(cè)的人可以改時(shí)區(qū)、改代理域名或改客戶端邏輯,受影響更大的反而是普通代理用戶。
![]()
支持或辯護(hù)一方則認(rèn)為,Anthropic面對(duì)的賬號(hào)轉(zhuǎn)售和蒸餾壓力是真實(shí)存在的,如果把檢測(cè)方法公開(kāi)寫(xiě)進(jìn)文檔,對(duì)手很容易繞過(guò)。也有人認(rèn)為,Claude Code本來(lái)就會(huì)把提示詞和項(xiàng)目上下文發(fā)給Anthropic服務(wù)器,把代理和時(shí)區(qū)檢測(cè)稱為"間諜軟件"過(guò)于夸張。
兩邊并不是完全對(duì)立。 Anthropic需要反濫用,尤其在訂閱制補(bǔ)貼、第三方代理和大規(guī)模蒸餾同時(shí)存在的情況下,完全不做識(shí)別并不現(xiàn)實(shí)。但Claude Code是一款高權(quán)限開(kāi)發(fā)者工具,它的透明度要求也比普通網(wǎng)頁(yè)產(chǎn)品更高。越是在本地運(yùn)行、越能讀寫(xiě)文件、越能執(zhí)行命令,越不能靠用戶看不見(jiàn)的提示詞細(xì)節(jié)傳遞額外狀態(tài)。
中國(guó)用戶現(xiàn)在該注意什么
截至7月1日發(fā)稿時(shí),Thariq提到的7月2日版本尚未發(fā)布。按Reddit逆向帖給出的版本范圍,2.1.91到2.1.196之間的Claude Code版本都需要被謹(jǐn)慎看待,尤其是在啟用代理、又給了倉(cāng)庫(kù)讀寫(xiě)和shell執(zhí)行權(quán)限的情況下。
短期最穩(wěn)妥的做法,是等7月2日更新落地并確認(rèn)相關(guān)代碼刪除后,再恢復(fù)高權(quán)限使用。 在此之前,如果必須使用Claude Code,至少應(yīng)避免讓它直接接觸敏感倉(cāng)庫(kù)、生產(chǎn)密鑰和可執(zhí)行危險(xiǎn)命令;已經(jīng)深度依賴它的用戶,也可以先把它放進(jìn)容器、虛擬機(jī)或受限目錄里跑。
![]()
降級(jí)未必是更好的辦法。舊版本可能缺少后續(xù)安全修復(fù),也可能影響Claude Code本身的功能。更穩(wěn)妥的處理方式,是先降低權(quán)限、隔離運(yùn)行環(huán)境,等新版發(fā)布后再核驗(yàn)。
中期影響會(huì)落到工具鏈信任上。 對(duì)于已經(jīng)深度依賴Claude Code的開(kāi)發(fā)者,遷移成本不只是換一個(gè)模型,還包括提示詞、技能文件、MCP配置、自動(dòng)化腳本、項(xiàng)目約定和日常工作流的重寫(xiě)。很多人未必會(huì)立刻離開(kāi)Claude Code,但會(huì)開(kāi)始準(zhǔn)備Codex、Cursor、DeepSeek、Kimi、GLM或本地開(kāi)源方案作為備用路線。
尤其對(duì)中國(guó)開(kāi)發(fā)者來(lái)說(shuō),這次不是"被限制訪問(wèn)"那么簡(jiǎn)單,而是本地工具被發(fā)現(xiàn)帶有針對(duì)中國(guó)時(shí)區(qū)和中國(guó)域名的隱藏標(biāo)記。 信任恢復(fù)不會(huì)只靠一次刪除代碼完成。
閉源Agent的透明度問(wèn)題被放大了
過(guò)去討論AI工具安全,大家主要看模型會(huì)不會(huì)亂刪文件、會(huì)不會(huì)執(zhí)行危險(xiǎn)命令、會(huì)不會(huì)泄露代碼。Claude Code這次把另一個(gè)問(wèn)題擺到臺(tái)面上:Agent工具本身會(huì)不會(huì)在用戶看不到的地方,替服務(wù)商做風(fēng)控、分類和標(biāo)記。
這和普通SaaS產(chǎn)品不同。編碼Agent既是云端模型的客戶端,也是本地開(kāi)發(fā)環(huán)境的一部分。它夾在用戶代碼、系統(tǒng)權(quán)限和云端服務(wù)之間,一旦有隱藏通道,用戶很難判斷自己到底把什么狀態(tài)交給了誰(shuí)。
反濫用機(jī)制可以有,對(duì)抗蒸餾也可以做,但高權(quán)限本地工具需要更清楚的安全說(shuō)明、審計(jì)機(jī)制和變更記錄。越閉源,透明度欠賬越不能靠"相信我們"來(lái)補(bǔ)。
Anthropic說(shuō)這段代碼會(huì)被刪掉。代碼刪除以后,技術(shù)問(wèn)題也許很快結(jié)束。但被提醒過(guò)一次的開(kāi)發(fā)者,以后會(huì)更習(xí)慣問(wèn)另一個(gè)問(wèn)題:
我讓一個(gè)AI Agent進(jìn)了我的終端,它到底還在替誰(shuí)工作?
