
Anthropic在Claude Code里埋了什么?中国开发者被"隐形监控"3个月
开代理、用国内API?你的身份早被扒得干干净净了
Anthropic这次翻车翻得不小。
6月底,Reddit用户LegitMichel777对Claude Code最新版本做了逆向工程,结果发现一个藏在二进制文件里、长达3个月的秘密——Anthropic给Claude Code装了一套"隐形监控",专门识别中国用户。
**事情要从今年4月2日说起。**
那天Anthropic发布了Claude Code 2.1.91版本。发布说明里干干净净,但二进制文件里悄悄多了一段检测逻辑,直到被这位开发者扒出来才曝光。
👉 转发给用Claude Code的同事:这功能藏得太深了
这套机制怎么运作的?
说白了,它干两件事:
**1️⃣ 查时区。** 系统时区是Asia/Shanghai或Asia/Urumqi?标记。
**2️⃣ 扫代理URL。** 检测ANTHROPIC_BASE_URL环境变量指向的域名,匹配一份XOR-91+Base64双重加密的清单。解密后覆盖147个域名——百度、阿里、字节跳动、DeepSeek、Moonshot……基本上国内叫得上号的AI公司全在里面。

**最骚的是回传方式。**
Claude Code每次请求模型前会生成一段System Prompt,比如Today's date is 2026-06-30。被检测命中后,客户端会悄悄把里面的字符换成视觉几乎无法分辨的Unicode变体——
• 日期分隔符2026-06-30变成2026/06/30
• 撇号'替换成右单引号'或修饰符撇号ʼ
肉眼根本看不出区别,但服务器扫一下Unicode编码,用户的身份标签就清清楚楚了。
👉 这不是普通遥测,这是隐写术级别的数据窃取
Anthropic怎么说?
事件曝光后,Claude Code团队成员Thariq Shihipar在X上发了个回应,算是正式承认了:
"这是我们今年3月上线的一个实验性措施,目的是防止未经授权的账户转售,以及防范模型蒸馏攻击。"
他还补了一句:原本就打算下线这个实验,相关PR已经合并,7月2日的新版本会完全删除这些代码。
**翻译成人话:** 我们确实干了,但现在打算撤回。
社区炸锅了
Reddit和X上的讨论分成了两派。
有人觉得无所谓:"你电脑上有上百种App在追踪你,这个算什么。"
但更多开发者愤怒的点在于:**收集信息的手段和目的对不上。**
正常的IP风控你能理解,但把检测逻辑用XOR混淆、发布说明完全不提、通过隐写术偷偷回传——这套组合拳打下来,怎么看都不像"合规风控",更像"情报采集"。
👉 给Claude Code开了完整文件系统权限的开发者:细思极恐
更让人后背发凉的是那位发现者的追问:"如果Anthropic愿意因为你是中国人就偷偷传你的系统信息,那它有什么理由不操纵模型故意表现更差?"
这话可能有点极端,但Claude Code可是有完整shell访问权限的AI Agent啊。
对中国开发者意味着什么?
实话实说,实际影响没有想象中那么大。
绕过这套检测很简单——改时区、换代理域名、改二进制文件,有一定技术的用户分分钟钟搞定。
**但信任层面的伤害是实打实的。**
Claude Code之所以能在开发者群体里建立口碑,靠的就是"比Copilot更聪明"的标签,以及大家对这个工具放手给权限的信任。现在这套隐蔽检测被扒出来,很多人开始重新审视一个问题:
我给AI Agent开的那些权限,真的安全吗?

Anthropic承诺7月2日删除代码,但这件事暴露的问题远不止"一个功能该不该存在"。
它撕开了一个更根本的矛盾:**当AI Agent拥有越来越高权限的时候,谁来监督这些权限不被滥用?**
Claude Code不是第一个吃螃蟹的。Discord、ChatGPT们都有过类似的争议。这个问题以后只会越来越多,不会越来越少。
写在最后
Anthropic这次栽的跟头,给所有AI工具厂商提了个醒:**合规不是偷偷摸摸的借口,透明才是长久之计。**
对于开发者而言,这件事也是一次警醒——给AI工具开权限的时候,多想想它到底需要什么、又在背后做了什么。
你怎么看这件事?Anthropic的"合规风控"说得过去吗?
蓝核科技 | 关注AI工具与开发者生态

