关于ZAKER Skills 合作
钛媒体 33分钟前

Claude Code 隐写术曝光:你的 AI 编程助手,在背后标记了你

" 你们的 Claude Code 还能用吗?"6 月 30 日下午,一位开发者在朋友圈发问。

与此同时,大批量的 Claude Code 用户账户被封禁——账号年龄从两年到一个月不等。

而这背后,是当天几乎同时传来的两条消息。

一条来自美国商务部:对 Anthropic Claude 模型(Fable 5 和 Mythos 5)的出口管制正式解除,Anthropic 在 X 上高调宣布 " 感激用户耐心等待 "。

另一条来自 Reddit:开发者 AdnaneKhan 在 r/ClaudeAI 板块发了一篇帖子,标题很短,但分量极重—— "Anthropic embedded spyware in Claude Code and made it open-source."(Anthropic 在开源的 Claude Code 中偷偷植入了监控代码——正因为它是开源的,才有人发现了这件事。)

帖子很快被删除,但内容已经被多个技术社区存档。同一天,AdnaneKhan 在 GitHub Gist 发布了一份技术分析报告,详细还原了他在 Claude Code 编译二进制文件中发现的可疑逻辑。

此后,技术社区的讨论焦点逐渐从 "Claude Code 是否封禁中国用户 " 转向一个更根本的问题:你可以封我的账号,但不能在我不知情的情况下标记我。

Claude Code 做了什么

AdnaneKhan 在 Reddit 发的帖子和此后的技术分析报告引起了国内外媒体的快速关注。Anthropic 技术团队成员 @trq212 随后在相关讨论中回应:下个版本会移除这段代码。

换句话说——这件事是真的。

根据 AdnaneKhan 在 GitHub Gist 发布的技术分析报告(已被多家媒体交叉验证),Claude Code 从 2026 年 4 月 2 日发布的 v2.1.91 版本开始,就在客户端中植入了一段隐写逻辑。这段逻辑做了三件事:

第一步:探测你的环境

代码会检查 ANTHROPIC_BASE_URL 这个环境变量。如果你把它指向了非官方端点(比如用了 API 中转服务),它就会:

提取你配置的代理域名

读取你的系统时区,重点比对 Asia/Shanghai` 和 Asia/Urumqi

将你的代理域名与一个含 147 个条目的解码清单进行比对

这个清单里有什么?根据分析报告,包含了百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI(Kimi)、MiniMax、StepFun 等中国科技公司和 AI 实验室的域名特征。

第二步:把信息编码进系统提示词

这是整个设计最精巧(也最令人不安)的部分。

Claude Code 每次向服务器发送请求时,都会在系统提示词里包含一行:"Today's date is 2026-06-30." 这段代码会偷偷修改这行文字,把环境信息编码进去:

第三步:用混淆掩盖这一切

这段代码的字符串经过 XOR 密钥 91 进行混淆后,嵌入编译后的二进制文件中。函数名被压缩,逻辑被拆分,正常的二进制审查很难发现。

更重要的是:v2.1.91 的发版说明中,只字未提这个功能。

结合 Anthropic 此前公开指控关联实体发动大规模模型蒸馏攻击和官方明确不支持任何中国用户使用的条款,或许可以解释其动机。

但问题在于手段,而非目的。

把监控逻辑用隐写术藏进系统提示词、用 XOR 混淆规避审查、不在发版说明中披露——这些行为即使以 " 防止滥用 " 为由,也越过了一条明确的线:用户知情权

当一个开发工具在用户不知情的情况下,把环境信息编码进每一次请求,这已经不是 " 风控 " ——这是植入

而与此同时,戏剧性的时间巧合也让人唏嘘:解禁与曝光在同一天。

如果说美国商务部的出口管制理由是 " 国家安全 " ——担心先进 AI 模型流入中国、被滥用、被用于蒸馏攻击。这个叙事里,Anthropic 是被动遵守管制的一方。

但同一天曝光的事实说明:Anthropic 根本不需要靠出口管制来监控中国用户。他们早就在客户端做了标记系统,悄悄识别、追踪中国用户和代理服务。管制令解除后,监控逻辑依然在运行。

而商务部长 Lutnick 在解禁信中写道:已确保适当的保障措施到位,允许某些 ' 受信任合作伙伴 ' 访问模型。这句话的意思变得很讽刺。Anthropic 的保障措施可能是:我们早就在盯你们了,解不禁无所谓。

国内开发者还能用什么?

隐写术曝光之后,很多国内开发者第一次认真考虑一个问题:如果不用 Claude Code,我还有什么选择?

这个问题其实有两个层面:一是 " 能用到什么水平 ",二是 " 用起来安不安全 "。

关键问题:能力到底差多少?

这是开发者最关心的问题。根据公开测评和开发者社区反馈:

代码补全:国产工具在中文注释 + 中文需求描述的场景下,** 已经持平或超越 ** Claude Code;

多文件重构:Claude Code 仍然领先,但 CodeBuddy 和 Trae 在 2026 年上半年的迭代中缩小了差距;

AI Agent 自主编程(Claude Code 的核心卖点):国产工具正在追赶,CodeBuddy Code 2.0(2026 年 2 月发布)已支持类似能力;

上下文长度:国产工具普遍支持 128K-256K 上下文,Claude Code 支持 200K,差距不大。

更深层的问题:数据安全

隐写术事件之后,数据安全成为国内开发者和企业不得不面对的问题。

使用 Claude Code(通过任何方式)意味着:

你的代码、注释、项目结构,都会发送到 Anthropic 的服务器;

即使通过 API 中转,请求最终仍然到达 Anthropic;

Anthropic 的隐私政策明确:为了 " 改善服务 ",可以使用用户数据训练模型(企业版除外)。

使用国产工具的优势:

数据留在国内,遵从《数据安全法》和《个人信息保护法》;

企业版可以私有化部署,代码不出内网;

合规审计路径清晰。

Claude Code 这次事件并不是突发,国内大厂也在加速推进 AI 编程工具的企业版私有化部署方案,技术实力差距也在逐步缩小,我们也希望能让最方便的工具用得最顺手。

开发者自测——你的 AI 工具安全吗?

隐写术事件之后,每个开发者都应该问自己几个问题:

你用的 AI 编程工具,数据存储在哪里?

它的隐私政策是怎么说的?是否会用你的代码训练模型?

它有没有开源客户端,让你可以审计它发送了什么?

如果你用了代理 / 中转服务访问 Claude,中转方能看到你的代码吗?

你的项目是否包含敏感业务逻辑?如果有,你确定代码上传到境外服务器是安全的吗?

如果明天 Claude Code 彻底封禁所有中国账号,你的工作流能在多长时间内恢复?

或者,你决定切换,目标迁移 AI 工具可以给出一些可行的配置路径。

信任是 AI 工具的底线

防止滥用、防止蒸馏攻击、遵守出口管制,这些都是合理的目标,但 Anthropic 的手段越过了红线。

把监控逻辑用隐写术藏进系统提示词,这意味着:即使用户读了系统提示词,也发现不了自己被标记了。这种设计的目的,显然不是风控,而是不让用户知道自己在被监控。

当一个开发工具获得了访问你整个代码库的权限,信任就是它唯一的合法性基础。一旦信任被破坏,再好的模型能力也无法弥补。

Claude Code 隐写术事件可能不会是最后一例。

AI 工具需要收集数据来改进模型,这是行业现实。但如何收集、收集什么、用户是否知情、是否可以拒绝,这些问题的答案决定了 AI 工具是否值得信任。

Anthropic 的隐写代码,在任何一个严肃的监管框架下,都很难被认定为合规。

这次事件,让很多人开始直面选择,答案每个人不同,但起码,我们应该有知情的权利。(本文首发钛媒体 APP,作者 | 硅谷 Tech_news,编辑 | 盖虹达)

觉得文章不错,微信扫描分享好友

扫码分享

企业资讯

查看更多内容