大数跨境

开发者爆料:Anthropic 在 Claude Code 中嵌入隐蔽检测代码引发争议

开发者爆料:Anthropic 在 Claude Code 中嵌入隐蔽检测代码引发争议 广东金融IT课程学习
2026-07-05
8
导读:真相还是夸大?

一位开发者坐在电脑前,正在对 Claude Code 进行逆向工程。

他的目的很简单——Anthropic 在最新的 2.1.196 版本中,一旦检测到用户启用了代理,就会禁用远程控制功能。这位开发者平时通过代理混合使用 GPT 与 Claude 模型,做精细化的上下文管理,这个改动直接打断了他的工作流。于是他决定把代码逆向出来,把限制撤销掉。

就是在这一过程中,他发现了一些非常不寻常的东西。

一段藏了三个月的代码

事情要从 2026 年 4 月 2 日说起。那一天,Anthropic 发布了 Claude Code 的 2.1.91 版本。在发布说明中,没有任何异常。但在这个版本的二进制文件中,Anthropic 悄悄加入了一段检测逻辑,此后一直保留至今,直到被这位开发者发现。

这段逻辑做了什么?

简单来说,当 Claude Code 检测到用户启用了代理时,它会执行两项检查:第一,检查系统时区是否匹配“Asia/Shanghai”或“Asia/Urumqi”;第二,检查代理 URL 是否为中国域名、是否匹配特定域名列表、以及是否关联中国 AI 实验室。

但真正令人意外的是信息传输的方式。这些检测结果并不会以日志、弹窗或任何可见形式呈现给用户。Anthropic 选择了一种几乎不会被任何人察觉的手段:修改系统提示词中的日期部分。

如果系统时区被判定为中国时区,日期格式会从“2026-06-30”变为“2026/06/30”。而代理 URL 的检测结果,则通过系统提示词中“Today‘s date is”这句话里撇号字符的微妙变化来编码。具体对应关系是:

  • 代理 URL 为中国域名或匹配域名白名单,但并非 AI 实验室:撇号使用 \u2019(右单引号——‘);
  • 代理 URL 非中国域名或不匹配白名单,但关联中国 AI 实验室:撇号使用 \u02BC(修饰字母撇号——ʼ);
  • 代理 URL 既为中国域名又关联中国 AI 实验室:撇号使用 \u02B9(修饰字母上撇号——ʹ)。

这些字符在屏幕上肉眼几乎无法分辨,但对 Anthropic 来说,每一个变体都代表了一条清晰的信号:这位用户是否在中国、是否通过中国代理连接、是否与中国 AI 实验室有关联。

在 2.1.196 版本中,实现这些检测逻辑的函数名为 Crt()Rrt(e)e0t()Zup()edp 和 Vla。由于是经过压缩混淆后的名称,不同版本间可能有所变化,但逻辑结构一致。文章作者表示,使用 Claude Code 或 Codex 对这些函数进行逆向分析,可以轻松定位到这段逻辑。

刻意隐藏的痕迹

更令发现者感到不安的,是 Anthropic 对这段代码的处理方式。

大部分检测逻辑使用了密钥为“91”的 XOR 混淆,目的很明确——防止它在普通的 strings 命令扫描中直接暴露。此外,2.1.91 版本的发布说明对这个检测机制只字未提。

在发现者看来,这种将信息以隐写术方式嵌入系统提示词的做法,意图指向了一个清晰的结论:Anthropic 试图在不被用户察觉的情况下,检测 Claude 在中国的未经授权转售行为,以及中国 AI 实验室可能进行的模型蒸馏尝试。

发现者写道:“虽然这个用例——试图检测未经授权的转售和蒸馏——是可以理解的,但 Anthropic 在你不知情或未同意的情况下秘密传输你系统和代理设置信息的事实,是对用户信任的根本性违背。”

他进一步提出了一个更深层的担忧:“如果 Anthropic 愿意仅仅因为你是中国人就秘密传输你的系统信息,那么有什么能阻止他们秘密操纵模型故意表现更差——或者更糟,进行恶意操作?”

这个担忧并非凭空而来。发现者指出,像他这样的开发者给 Claude Code 授予了完整的文件系统权限和显著的 shell 访问权限,以便它完成工作。但这也意味着,没有任何东西能够阻止 Anthropic 利用这些权限在用户系统上执行远程代码。“今天是时区检查,明天就可能是系统破坏或数据窃取。”

与此同时,发现者也坦率地承认了一个事实:这种检测对于任何有一定技术能力的对手而言,都是“微不足道即可绕过的”。因此,这种做法是否真的能达到其防止未经授权转售或蒸馏的预期目的,“值得商榷”,而它对合法用户隐私的侵犯却是实实在在的。

社区的分歧

这篇文章在发布后引发了激烈的讨论,评论区的观点出现了明显的分化。

一部分评论者认为这不过是常规的遥测行为,与浏览器、DNS 等应用程序收集的信息没有本质区别。有评论者直言:“你对 Claude 获取你的位置信息感到震惊?你电脑上有上百种东西在监视和追踪你。”还有人称,发现者“以为自己发现了一个重大的数据隐私灾难,实际上这不过是每个应用程序都在收集的基本遥测数据。”

但争议的核心并不在于是否收集信息,而在于收集的方式。批评者指出,如果 Anthropic 的意图是正当的 IP 保护,它就应当在发布说明中明确告知用户,使用户知情。将代码进行 XOR 混淆、用隐写术在系统提示词中藏匿信号、在发布说明中完全忽略——这一系列操作组合在一起,很难被简单地归类为“常规遥测”。

还有评论提醒,给 Claude Code 授予完整系统权限本身就是一种高风险行为。多位开发者表示,他们从不给任何 AI 工具完整的文件系统和 shell 访问权限,至少会使用沙箱隔离。

发现者在文章结尾呼吁 Anthropic 提高透明度:“虽然 IP 保护是合理的,但它不应该以在每位开发者的系统上嵌入实质上的间谍软件为代价。”而一位评论者的回复或许概括了整件事最核心的矛盾——将这个发现定性为间谍软件是“过于夸大了”,但同时也承认:“永远不要过于夸大。”

原文链接:

https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/

【声明】内容源于网络
0
0
广东金融IT课程学习
服务于IT课程学习者
内容 1335
粉丝 0
广东金融IT课程学习 服务于IT课程学习者
总阅读9.2k
粉丝0
内容1.3k