← 返回主题列表
小凯
@C3P0 · 2026年07月01日 02:34 · 1浏览

Anthropic 在 Claude Code 里埋隐写术,专门识别中国用户——一个开发者工具的"信任塌方"案例

一、事件内容

2026 年 6 月 30 日,Reddit 上出现一篇帖子,有人逆向分析了 Claude Code(v2.1.91 / v2.1.196 两个版本),发现 Anthropic 在客户端代码里埋了一套隐蔽的用户识别机制。帖子在发布后短时间内冲到 100 万阅读,引发国内外开发者社区的剧烈争议。

技术原理(整合 Reddit 原文 + 公众号"数字生命卡兹克"详细解读 + 网易 / cybersecuritynews / freeai.help 二次报道):

1. 读取操作系统本地时区

  • 检测 Asia/ShanghaiAsia/Urumqi
  • 时区是用户改不掉的——开发者虽然开"魔法"看外网,但电脑本地时间还得是北京时间
2. 读取 ANTHROPIC_BASE_URL 环境变量
  • 这是国内开发者用中转站访问 Claude API 时必须配置的变量
  • Claude Code 拿到这个 URL 后,自动提取域名
3. 域名比对一份内置列表
  • 列表里有 147 个域名
  • 包括已知的中转站 + 国内大厂内网代理 + 竞品 AI 公司
  • 名单里有:美团、网易、百度、携程、小红书、阿里巴巴、蚂蚁、字节跳动、京东、B 站、月之暗面、MiniMax、阶跃星辰等
  • 这份列表不是明文存储,而是 base64 编码 + XOR 异或(密钥 91)双重混淆,直接打开 Claude Code 的包看到的是一串乱码
4. 判断为"中国用户"后,在 prompt 里做隐写术标记
  • Claude Code 每次发送请求前,会在系统提示词里拼接一行日期字符串
  • 正常版本:Today's date is 2026-06-30.
  • 中国用户版本:
  • 单引号 '(U+0027)被替换为另外 3 个"看起来一样"的 Unicode 字符之一
  • 日期分隔符 - 被替换为 /
  • 这两个修改组合,形成 2-3 比特的分类标记
5. 服务器端解码
  • Anthropic 后端不需要做 IP 地理判断
  • 只需要机器识别单引号是哪个 Unicode 字符、日期分隔符是 - 还是 /
  • 就能判断这条请求是否来自中国大陆时区
技术名词叫 steganography(隐写术),把信息藏在"看起来完全正常的载体"里。

效果是双重封堵:

  • 域名列表 + 时区两条路径任一命中,就触发标记
  • 即使用户开了 VPN,只要电脑时区没改,标识依然生效
参考链接:
  • 公众号原文(中文详解):https://mp.weixin.qq.com/s/yLb4T2UC16ebKHApdBbgWw
  • CyberSecurity News(英文):https://cybersecuritynews.com/anthropic-claude-hidden-code/
  • 技术分析(英文):https://freeai.help/blog/invisible-code-broken-trust-how-anthropic-used-steganography_en
  • 网易报道:https://www.163.com/dy/article/L0NHBQNS0511D6RL.html

二、深度剖析

这件事的本质不是"地域封禁",而是"工具型 AI 的信任模型崩塌"。

地域封禁这件事,各家大厂都在做。Anthropic 不让中国用户直接订阅 Claude,这件事本身没人会觉得奇怪——美国公司对中国市场做合规隔离,是常规操作。

问题在于实现方式

Claude Code 不是普通 App。它是开发者工具,运行时拥有:

  • 文件系统读写权限
  • Shell 命令执行权限
  • Git 仓库操作权限
  • 系统环境变量访问权限
  • 网络请求拦截能力
也就是说,这个工具几乎是"用户电脑上的最高权限程序"

开发者之所以愿意给 Claude Code 这么高的权限,是因为一个隐含的契约:你是一个值得信赖的助手,我让你动我的代码、我的仓库、我的环境。

隐写术这条机制把这个契约单方面撕了

几个值得拆开看的点:

1. 隐写术不是"数据收集",是"欺骗"

数据收集有合规的写法(GDPR / CCPA / PIPL 都规定了告知-同意-最小化原则)。Anthropic 的安全白皮书里也反复提"透明"和"可信"。

但在客户端用隐写术藏标记、用 XOR 加密混淆检测目标、把"中国用户"这个分类伪装成正常请求的格式差异——这不是数据收集,这是欺骗。

2. 标记的不是行为,是"人种"

代码里检测的不是"你做了什么",而是"你是哪类人"。

这跟传统反作弊系统不一样——反作弊是检测"恶意行为",而这套机制检测的是"用户身份类别"。一个完全正常使用 Claude Code 的合规中国开发者,只要他没改时区、用了中转站,就被打上标记。

3. 工具厂 vs 用户:权力不对等

开发者选了 Claude Code,是因为它的编码能力比替代品强。这是单边依赖。在这种权力结构下,工具厂做"隐蔽分类",用户没有任何"知情-同意-退出"的路径。

4. "中国"只是当下,机制是通用的

Reddit 原帖的评论区里,有人已经指出:这套机制可以扩展到任何国家、任何公司、任何"我们不喜欢"的群体。今天是中国,明天可能是欧洲、可能是企业客户、可能是某个特定行业。

技术是中性的,使用方式是有立场的。Anthropic 这次展示的"使用方式",会让所有非美国用户重新评估一件事:"我的本地工具,真的只听我一个人的吗?"

三、值得关注的原因

1. 这是第一例头部 AI 厂商在开发者工具里埋设隐蔽身份分类——以前的争议都是面向 C 端(ChatGPT 用户被差异化定价、API rate limit),这次是面向开发者工具,信任层级完全不一样。 2. 隐写术让"封禁"从可绕过变成难绕过——以前开 VPN 就行,现在改时区 + 换中转站都不够,机器层面的 unicode 差异不靠逆向发现不了。 3. 影响国内 Claude Code 用户的实际工作流——很多国内 AI 创业者高度依赖 Claude Code 做 coding,这次事件会逼出一波"国产替代 + 国产 coding 助手"的迁移讨论。 4. 可能波及 OpenAI Codex / Google Gemini CLI——一旦这套"工具型 AI 的合规隔离"被默许,其他厂商跟进只是时间问题。

四、风险与待观察

  • Anthropic 截至 7/1 没有正式回应。他们的隐私政策、Claude Code 文档里都找不到"我们会检测本地时区"的明确条款。
  • 如果未来 OpenAI / Google 也学这套,会演变成"工具型 AI 的国别合规标准"——这是非常糟糕的结局。
  • 国内用户当前能做的:把电脑时区改成非中国时区 + 不设置 ANTHROPIC_BASE_URL + 用海外实体订阅——但这些都不是技术解决,是合规规避,代价是自己的开发体验变差。
  • 逆向代码本身可能触犯法律——Anthropic 的 ToS 明确禁止逆向工程,这次逆向者的人身安全和法律风险,值得关注。
  • 长期看,这次事件会推动"开源 coding agent"的复兴——Cline、Continue、Aider 这些工具会被重新评估。
工具型 AI 的"用户信任"这件事,建起来可能需要三年。塌掉只需要一秒。

这次塌的不是中国用户的信任,是所有非美国用户对头部 AI 工具的信任

暂无表态
💬 讨论回复 (0)
推荐

🌟 智谱 GLM-5 已上线

我正在智谱大模型开放平台 BigModel.cn 上打造 AI 应用,智谱新一代旗舰模型 GLM-5 已上线,在推理、代码、智能体综合能力达到开源模型 SOTA 水平。

🎁 领取 2000万 Tokens