曝Anthropic在Claude Code中嵌入隐蔽代码,无声标记中国用户路由信息
北京时间6月30日晚间,X(原Twitter)上一条推文在安全圈和AI开发者社区迅速引爆。认证账号 @IntCyberDigest 公开指控 Anthropic 在 Claude Code CLI 工具中嵌入了针对中国用户的隐蔽检测代码,称其行为等同于类间谍软件代码「spyware-like code」。

这条帖子在不到24小时内获得了超过150万次浏览、1.3万次转发和近万次点赞。其指控的核心包括三点:一是 Claude Code 无声地读取用户的时区、代理路由和可能的 AI 实验室关联信息;二是将这些信息通过修改系统提示(system prompt)的方式注入到用户的每次对话中;三是整个过程对用户完全不可见。

技术细节:Unicode 换字 + 日期格式变化的隐写术
这场风波最早源自 Reddit 用户 LegitMichel777在 r/ClaudeAI 子版块发布的一篇深度分析。该用户称,他在尝试恢复 Claude Code 2.1.196版本中被禁用的远程控制功能时,逆向工程了代码包,结果发现了自2.1.91版(2026年4月2日发布)就已存在的一套检测逻辑,且该更新在发布说明中只字未提。
据披露,Claude Code 在执行时会检查用户是否设置了 ANTHROPIC_BASE_URL 环境变量——即开发者用于对接自定义 API 端点(公司网关、第三方代理、OpenAI 兼容路由等)的配置项。一旦检测到非默认端点,代码便开始「指纹识别」:
第一层,检查系统时区是否为 Asia/Shanghai 或 Asia/Urumqi。第二层,将代理 URL 的主机名与一个硬编码的域名列表进行比对。这个域名列表经过了 Base64 + XOR(密钥91)混淆处理——并非强加密,但足以避免被普通的字符串搜索工具直接找到。据研究团队 vince ntschmalbach 的独立分析,该列表包含约147个域名条目,涵盖了中国主流互联网和云计算厂商的域名——cn、baidu.com(百度)、alibaba-inc.com(阿里巴巴)、bytedance.net(字节跳动)、netease.com(网易)、kuaishou.com(快手)、xiaohongshu.com(小红书)、jd.com(京东)等,还包括 claude-code-hub.app、openclaude.me、deeprouter.top 等与 Claude 代理相关的域名。同时,代码中还包含一个关键词列表,涉及 deepseek(深度求索)、moonshot(月之暗面)、minimax(稀宇)、zhipu(智谱)、baichuan(百川)、stepfun(阶跃星辰)、01ai(零一万物)、dashscope(阿里百炼)、volces(火山引擎)等中国 AI 模型厂商。
最令人震惊的是信息回传的方式。代码并不发送任何网络请求,而是直接在发给模型的系统提示里动了手脚——「Today's date is...」这一行看似普通的信息,实际上根据检测结果会发生三种变化:日期格式从「2026-06-30」变成「2026/06/30」;更精妙的是,引号字符被替换为 Unicode 中三种肉眼无法区分但机器可精准解析的变体——'\u2019'(右单引号)、'\u02BC'(修饰字母撇号)或 '\u02B9'(修饰字母重音符),分别对应时区、代理域名和 AI 实验室的不同组合。
这意味着,每一名使用非官方端点连接 Claude Code 的中国用户,其每一次对话请求中,都携带着一份「隐形身份证」——Anthropic 的服务器端可以轻松解析这些信号,而用户甚至模型本身都不会察觉。
安全社区为何愤怒:信任的严重破裂
安全研究社区对此的反应远比一般人想象的要强烈。原因很简单:Claude Code 是一个被授予了仓库读写权限和命令执行权限的编码代理工具。这意味着它可以读取用户的文件系统、执行 shell 命令、修改代码仓库。
「一个拥有 repo 和命令权限的编码代理,不应该在提示中无声地隐藏路由元数据。这是对用户信任的严重破坏。」@IntCyberDigest 在推文中写道。
更令开发者不安的是代码的反侦查手段。XOR 混淆虽然不构成强加密,但它表明 Anthropic 的工程团队有意不让他人轻易发现这些逻辑。如果一个工具运行在你的本地机器上、能够读取你的文件、执行你的命令,同时又在背后对你的身份进行归类标记——并且还刻意隐藏这些操作——这已经跨越了普通遥测和秘密监控之间的红线。
背景:Anthropic 与中国 AI 实验室的猫鼠游戏
此次事件的爆发并非孤立。过去一年中,Anthropic 与中国 AI 实验室之间的摩擦持续升级。
2026年5月,Anthropic 高调发布了一篇题为《Disrupting the first reported AI-orchestrated cyber espionage campaign》的博客文章,称一个有「高置信度」的中国国家支持的黑客组织利用被操纵的 Claude Code 工具,对约30个全球目标进行了渗透尝试,并在少数案例中取得了成功。
更早之前,Anthropic 还指控阿里巴巴等中国科技公司通过其 API 进行所谓的「模型蒸馏」(model distillation)——即利用 API 对话数据来训练竞争模型。美国商务部近期也进一步收紧了面向中国的 AI 芯片出口管控。
在这一背景下,Claude Code 中针对中国用户路由的隐蔽检测代码,更像是一张大国科技博弈棋盘上的又一步棋。但问题在于——这步棋是在用户的电脑上、以用户不知情的方式落下的。
Anthropic 尚未回应
截至发稿(北京时间7月1日下午),Anthropic 官方尚未就此事发表任何声明。X 平台上,大量开发者要求 Anthropic 给出解释,核心问题包括:这套检测逻辑是否存在风险评估和合规审查、哪些用户数据被收集和传输、Anthropic 是否会立即移除该功能。
对于数十万使用 Claude Code 的中国开发者来说,在 Anthropic 回应之前,每一次运行命令都可能意味着——你的时区、你的网络路由、你的 AI 供应商偏好,正在成为一封你从未签署的情报。
+61
+86
+886
+852
+853
+64
