Claude Code 被曝内置隐蔽检测中国用户代码,Anthropic 已回滚
阅读原文· the-decoder.com网友发现,Claude Code 从 2.1.91 版本起,通过系统提示词中的隐写术(比对时区、代理 URL 及中国 AI 实验室域名)秘密判别用户是否位于中国,结果通过不易察觉的格式差异传输。代码使用 XOR 加密(密钥 91)隐藏,未出现在发布说明中。发现者称此举“根本性违反用户信任”。Anthropic 员工解释这是 3 月启动的实验,旨在防止账户滥用和知识蒸馏,团队已合并回滚请求,次日版本完全移除。Anthropic 因国家安全原因未在中国提供模型,此前曾指控 DeepSeek、月之暗面、MiniMax 和阿里巴巴未经授权使用 Claude 输出训练模型。
Claude Code 中的隐藏代码秘密标记了中国用户
在其编码工具 Claude Code 的一项秘密监控功能在社交媒体上引发愤怒后,Anthropic 正在撤回该功能。
Reddit 用户 LegitMichel777 的一篇帖子首次曝光了这一功能。据该帖子称,自 2026 年 4 月 2 日发布的版本 2.1.91 起,Claude Code 一直在秘密检查使用代理的用户是否位于中国、通过中国 URL 路由,或连接到中国 AI 实验室。
隐藏在系统提示词中的隐藏信号
数据通过系统提示词中几乎不可察觉的改动来传输,这是一种隐写术。Claude Code 将系统时区与 "Asia/Shanghai" 或 "Asia/Urumqi" 进行比对,并扫描代理 URL 中的中国域名和 AI 实验室。根据结果,该软件会调整日期格式,并在 "Today's date is." 短语中替换为一个细微不同的撇号字符。用户无法察觉这一差异。Anthropic 可以立即读取。
据 LegitMichel777 称,Anthropic 还使用了密钥 91 的 XOR 加密来混淆代码,使其不会在简单的文本转储中显示。版本 2.1.91 的发布说明中未提及此项检查。
发现者称,在用户不知情的情况下秘密传输系统和代理数据是"对用户信任的根本性违背"。由于 Claude Code 拥有完整的文件系统和 shell 访问权限,这为从远程控制到数据窃取等各种滥用行为打开了大门。他还认为,对于熟练的攻击者来说,绕过这项检查是微不足道的,因此对其实际用途提出了质疑。
Anthropic 称其为一项实验
Anthropic 员工 Thariq Shihipar 在 Claude Code 团队工作,他在 X 平台上将该功能描述为“我们在三月份推出的一项实验,旨在防止来自未经授权转售商的账户滥用,并防范知识蒸馏。”团队此后已实施了更强的防护措施:“自那以后,团队已经落地了更有效的缓解方案,而且我们其实早就打算把这个功能下线了。”他们还合并了相应的拉取请求:“我们合并了 PR,这将在明天的版本中完全回滚。”
出于国家安全原因,Anthropic 没有在中国提供其模型。尽管如此,许多中国开发者仍通过国外手机号和信用卡访问 Claude。Anthropic 此前曾指控深度求索、月之暗面、MiniMax 和阿里巴巴未经许可使用 Claude 模型的输出结果来训练它们自己的语言模型。