登上 GitHub 热榜第一，声称免费在终端用 Claude Code，背后有点扯

有位朋友上周在群里分享了一个链接，说 GitHub 热榜第一，9500+ stars，能让你免费在终端和 VSCode 里用 Claude Code。

我当时的第一反应是：Anthropic 应该不会允许这种事。但看了一眼项目，发现这件事比我想象的复杂——这个工具既没有黑 Anthropic 的账号，也没有劫持 OAuth Token，它确实可以跑起来，确实是"免费的"。

但有一件事项目名字没告诉你：你实际运行的，根本不是 Claude。

热度是真的，但名字有点问题

free-claude-code（Alishahryar1/free-claude-code）在写这篇文章时已经超过 10,300 stars、1,500+ forks，仍在增长。README 的第一行写着：

“"Use claude-code for free in the terminal, VSCode extension or via discord like openclaw"

名字叫"free Claude Code"，对标 OpenClaw（一个被 Anthropic 封禁的 OAuth 劫持工具），项目标语里提到了"claude-code"。读者自然会认为：这是可以免费使用 Claude 的工具。

但事实是：这是一个把 Claude Code 的 API 请求转发给 NVIDIA NIM、OpenRouter、DeepSeek 或本地模型的代理服务器。它和"免费使用 Claude"没什么关系，它是"免费使用其他模型，但界面是 Claude Code"。

这不是技术问题，是命名上的认知欺骗。项目 README 的确在某个不起眼的地方提到了"第三方模型"，但工程师扫一眼大标题直接开始装，是完全可以预期的行为——毕竟名字就叫"free Claude Code"。

这个热度的背景值得交代一下。2026 年 3 月 31 日，Anthropic 发布 npm 包 @anthropic-ai/claude-code v2.1.88 时，意外打包了一个 59.8MB 的 JavaScript Source Map 文件，泄露了约 513,000 行 TypeScript 源码。这件事不仅引发了安全研究社区对 Claude Code 代码的大规模审计，也触发了一大批"免费 Claude Code"项目集中涌现。free-claude-code 恰好踩上这波热度，在 GitHub Trending 上连续霸榜，成为其中星数最多的一个。它出现在工程师的微信群、技术博客、B 站视频里，转发速度远快于任何质疑声音。

free-claude-code 架构图：Claude Code CLI 通过 ANTHROPIC_BASE_URL 环境变量将请求路由到本地 FastAPI 代理，代理再转发给 NVIDIA NIM、OpenRouter、DeepSeek 或 LM Studio

图：free-claude-code 技术架构全貌。你以为请求发给了 Anthropic，实际上被代理到了第三方模型。

它到底是怎么工作的

原理比大多数人猜测的要"干净"。这是一个本地 Python/FastAPI 代理服务器，监听 8082 端口。用户只需要设置两个环境变量：

export ANTHROPIC_BASE_URL="http://localhost:8082"
export ANTHROPIC_AUTH_TOKEN="freecc"

ANTHROPIC_BASE_URL 是 Anthropic 官方支持的环境变量，用于在企业部署场景下替换 API 端点。Claude Code CLI 启动时会读取这个变量，把所有 /v1/messages 请求发到这里，而不是 api.anthropic.com。

代理启动后的行为分三步：

第一步：拦截请求

所有从 Claude Code 发出的 Anthropic 格式请求（包括工具调用、多轮对话上下文）都被代理接收。同时，代理内置了一个优化：Claude Code 内部有 5 类"内务请求"——网络探测、对话标题生成、前缀补全、建议模式、文件路径提取——这些请求直接在本地伪造响应，不消耗任何 API quota。

第二步：格式转换并转发

代理根据环境变量 MODEL_OPUS、MODEL_SONNET、MODEL_HAIKU 决定用哪个后端、哪个模型，使用 provider_prefix/model_name 格式区分：

# .env 配置示例
MODEL_OPUS = "nvidia_nim/moonshotai/kimi-k2.5"        # 免费，40 次/分钟
MODEL_SONNET = "open_router/deepseek/deepseek-r1-0528:free"  # OpenRouter 免费模型
MODEL_HAIKU = "lmstudio/unsloth/GLM-4.7-Flash-GGUF"  # 本地推理，无限制

Anthropic 的消息格式被转换为目标 Provider 的 OpenAI 兼容格式，再转发出去。这个转换本身是标准操作，代码约 600 行，逻辑清晰。

第三步：响应反向转换

目标模型的响应被代理转换回 Anthropic 格式返回给 Claude Code。其中有一个细节：如果模型返回了 <think> 标签或 reasoning_content 字段（DeepSeek R1、Kimi 等支持的"思维链"输出），代理会把它转换成 Claude 原生的 thinking block 格式——所以在 Claude Code 的 UI 里，你能看到"扩展思考"的展开动画，跟真 Claude 完全一样。

顺便一提，NVIDIA 官方文档（docs.nvidia.com/nim）本身就记录了如何把 Claude Code 连接到 NIM 后端。这个集成方式是被官方支持的，不是旁门左道。

请求处理时序图：Claude Code 发出请求，代理判断是否为内务请求，否则转发给第三方模型，响应格式逆向转换后返回给 Claude Code

图：一条请求的真实旅程。内务请求被本地伪造，真实请求被转发给 Kimi/DeepSeek/GLM，但 Claude Code 的界面始终显示"正在处理"。

你跑的不是 Claude，这是核心问题

技术机制是清晰的，但这带来一个根本问题：你以为自己在用 Claude Code，但你的代码实际上发给了 Kimi K2.5 或 DeepSeek R1。

这不是玩笑。工程师在 Claude Code 里干的事情通常包括：

• 粘贴内部系统的核心业务逻辑让它重构
• 上传包含数据库 schema 的完整项目让它分析
• 描述公司产品的核心算法让它优化

如果你以为数据发给了 Anthropic（一家美国公司，有清晰的数据处理协议），但实际上数据发给了月之暗面（Kimi）或 DeepSeek（国内公司）——数据流向、隐私协议、合规约束全都不同。

对于有数据合规要求的团队（金融、医疗、ToB SaaS），这个差别是实质性的，不是"都差不多"。数据主权、跨境传输合规、AI 使用审计日志——这些要求在合同和监管文件里是写清楚的，不会因为"反正只是代码"就消失。

另一个问题是能力预期。Kimi K2.5 和 DeepSeek R1 是优秀的开源模型，但在复杂多文件编辑、工具调用可靠性、长上下文代码理解上，跟 Claude Sonnet/Opus 仍有差距。用户装了这个工具后可能归咎于"Claude Code 今天效果不好"，而实际上是模型切换导致的质量下降。

三层安全风险，每层都不轻

三层安全风险分析：第一层认知风险（数据发给 Kimi 而非 Anthropic），第二层代理漏洞（Issue #142，CVE-2025-59536 叠加），第三层供应链攻击（恶意克隆仓库分发 Vidar Stealer + GhostSocks）

图：三层风险从中到极高递增。第三层（恶意克隆仓库)已有真实受害者案例，Trend Micro 2026-04 报告记录了完整攻击链。

第一层：代理本身的未修复漏洞

2026 年 4 月 23 日，GitHub Issue #142 里有人报告发现了一个"medium-high 级别"安全漏洞，要求维护者提供私下联系渠道。截至本文写作时，该 issue 没有任何回应，漏洞细节未公开。

这个项目的维护活跃度也值得关注：15 个 open issue 里有多个 HTTP 503 错误、服务启动 AssertionError、协议错误等问题，回应不及时。一个有未修复安全漏洞的本地代理服务器，长期运行在你的开发机上，不是一件小事。

另一个细节：代理默认对局域网开放。如果你在公司网络或咖啡馆用这个工具，同网络下的其他设备可以直接调用你的代理，消耗你的 NVIDIA NIM quota，或者更糟。

第二层：与 Claude Code 已知 CVE 的叠加效应

Check Point Research 在 2026 年初披露了 CVE-2025-59536 和 CVE-2026-21852，攻击链大致是：

1. 攻击者在恶意仓库的 .claude/settings.json 里预置 Hooks（钩子命令）
2. 受害者克隆仓库后，Claude Code 自动执行钩子中的 shell 命令
3. 钩子命令可以读取 ANTHROPIC_BASE_URL、ANTHROPIC_AUTH_TOKEN 等环境变量并外泄

正常情况下，这个攻击面已经很危险。使用了 free-claude-code 的用户，因为习惯了修改 ANTHROPIC_BASE_URL，对该变量的警惕心天然降低——"哦这个变量就是指向代理的，没什么"——更容易在克隆未知仓库时忽视环境变量外泄风险。

第三层：恶意克隆仓库的供应链攻击

这是最危险的一层，而且已经有真实受害者。

Trend Micro 在 2026 年 4 月发布的研究报告记录了这一攻击模式：攻击者创建与 Alishahryar1/free-claude-code 高度相似的仓库（相同 README、相同代码，但 Releases 里额外附加了二进制文件），通过 GitHub 搜索曝光给用户。

受害者下载 Releases 里的"安装包"（ClaudeCode_x64.exe 等），实际执行的是：

• Vidar Stealer：窃取浏览器保存的密码、加密货币钱包、Session Cookie
• GhostSocks：在受害者机器上建立 SOCKS5 代理后门

已被记录的恶意克隆包括 Rishurajgautam24/free-claude-code、rishiskhare/free-claude-code 等。名字看起来完全合法，普通用户无法轻易分辨。

如果你是通过微信群、Telegram 转发的链接安装的这个工具，请回去确认一下链接指向的是哪个仓库。

法律灰色地带：它到底违不违规

这里有一个反直觉的结论：**free-claude-code 本身不直接违反 Anthropic 的消费者服务条款**。

2026 年 2 月，Anthropic 正式封禁 OpenClaw 等工具时，明确表态：

“"Using OAuth tokens obtained through Claude Free, Pro, or Max accounts in any other product, tool, or service — including the Agent SDK — is not permitted."

关键词是"OAuth tokens"。free-claude-code 完全不使用 Anthropic 的 OAuth Token，它根本不调用 Anthropic 的服务器（代理拦截了所有请求，转发给 NVIDIA/OpenRouter）。从这个角度，它和 Anthropic 的 ToS 没有直接冲突。

NVIDIA 官方甚至在文档里明确说明了如何把 Claude Code 接到 NIM，这让这个工具的合法性更清晰。

但有几个灰色地带值得注意：

Claude Code CLI 本身的初始认证仍然指向 Anthropic。 即使你设置了 ANTHROPIC_BASE_URL 重定向后续 API 请求，Claude Code 在首次启动时仍需要登录 Anthropic 账号完成 OAuth 认证。这意味着你依然消耗了 Anthropic 的 OAuth 资源，只是把后续推理请求转移到了别处。

"Claude Code"品牌使用。 项目名直接用了"claude-code"，可能存在商标方面的问题，但这是 Anthropic 和维护者之间的事，与用户无关。

对于企业用户来说，合规边界更清晰一些：如果你的公司有数据安全策略，把代码发给 NVIDIA NIM 或 OpenRouter 的第三方模型，可能本身就需要走内部审批流程，跟这个工具怎么实现的无关。

这类工具为什么会火，以及它说明了什么

坦白说，free-claude-code 的走红不完全是认知欺骗的结果，它反映了一个真实的市场需求：Claude Code 对个人开发者来说确实不便宜。

Claude Code 消耗的是 API 额度（按 Token 计费），重度使用一个月轻松花掉 $50-200，对于个人项目、学习用途、偶尔使用的工程师来说，这是一笔不小的支出。用户愿意接受"用 Kimi 而不是 Claude"来换取零成本，是完全理性的——前提是他们清楚地知道这个代价。

这个工具的问题不在于"它做了什么"，而在于"它叫什么"。如果它叫 nim-code-proxy 或 local-coding-agent，我对它没有任何意见——这是一个工程实现清晰、有 NVIDIA 官方背书的工具。叫"free Claude Code"，在没有足够显著的免责说明的情况下，就是在利用用户的认知偏差。

更值得警惕的是整个生态：每一个让 free-claude-code 热搜排名靠前的帖子、每一个转发群消息，都给恶意克隆仓库提供了藏身的流量。攻击者不需要克隆 10000 个仓库，只需要创建几个看起来像"官方版本"的仓库，等用户搜索时点进来。

什么时候可以用，什么时候别碰

这几种情况用起来风险可控：

• 个人学习项目，代码里没有任何敏感信息
• 你确认从官方仓库（Alishahryar1/free-claude-code）直接 clone，不下载任何预编译二进制文件
• 你明确知道数据发给了哪个模型，并接受这一点
• 你在本地运行 LM Studio 做纯本地推理，数据不离开机器

这几种情况建议别碰：

• 工作项目，涉及公司代码、内部业务逻辑、客户数据
• 你通过群聊转发链接或者搜索引擎随机安装，不确定链接来源
• 你下载了任何 Releases 里的 .exe 或二进制安装包（原版是纯 Python 项目，不需要预编译二进制）
• 你的团队有明确的数据安全策略
• 你不确定自己用的是哪个模型，也懒得去看 .env 配置

有一条实用建议：在 Claude Code 开一个 session，发一条 echo $MODEL_OPUS，如果代理返回了 nvidia_nim/moonshotai/kimi-k2.5，你就清楚了。知道数据去了哪里，比什么配置都重要。

如果你只是想要一个"便宜的 Claude Code 替代品"，其实 Anthropic 自己的 API 配合 Cursor 或 Cline 会是更清晰的选择——你知道钱花在了哪里，数据发给了谁，出了问题也有明确的责任方。

常见问题

Q: 这个工具违法吗？

A: 不违法，也不直接违反 Anthropic 的服务条款。它用的是 NVIDIA NIM 和 OpenRouter 等第三方 API，这些都是合规服务。法律灰色地带在于 Claude Code 初始登录仍需要 Anthropic OAuth，但这属于正常使用范围。

Q: 用这个工具，我的 NVIDIA NIM 免费额度够用吗？

A: NVIDIA NIM 的免费 Kimi K2.5 接口有 40 次/分钟的限速，对轻度使用够了。重度使用（大规模代码库分析、长时间 agentic 任务）会触发限速。项目内置了指数退避重试，但感知上会有卡顿。OpenRouter 的免费模型限制更严，本地 LM Studio 是唯一真正无限制的选项，但你需要一张不错的 GPU。

Q: 有没有真正"免费用 Claude"的方法？

A: 官方唯一真正免费的入口是 Claude.ai 的免费订阅，但那是对话 UI，不是 API。通过任何技术手段绕过 API 计费都会触发 Anthropic 的 ToS。如果你只需要偶尔使用，Claude Max/Pro 的月费比长期用 API 通常更划算。

Q: Issue #142 的安全漏洞有多严重？

A: 目前漏洞细节未公开，维护者也没有回应。在不了解具体内容的情况下，长期在开发机上运行这个本地服务需要谨慎。如果必须用，建议只在需要时启动，用完关掉，不要设置成开机自启。

Q: 我已经装了，现在怎么办？

A: 先确认你的安装来源是 Alishahryar1/free-claude-code（不是同名克隆）；如果是纯 Python clone 安装的，没有下载 Releases 里的二进制，安全风险相对可控；检查一下你过去用它处理了哪些代码，评估数据是否包含敏感内容。如果用了 Releases 里的安装包，建议做一次完整的杀毒扫描。

说到底，"免费"本身不是问题，问题是在什么条件下免费、代价是什么。一个把 Claude Code 接到开源模型的代理工具，是完全合理的需求，工程实现也没什么问题。但把它叫做"free Claude Code"，让用户以为自己在用 Claude、把代码发给了 Anthropic，这个认知差距是真实存在的风险。

你怎么选都行，但最好是清醒地选。

下一篇打算写 CVE-2025-59536 的完整攻击链复现——从恶意 .claude/settings.json 到 API Key 外泄，全程演示，感兴趣的话关注一下，发了会第一时间推送。

如果你身边有人正在考虑装这个工具，这篇可以直接转给他参考。