首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >Claude Code被曝暗藏间谍代码,专门检测中国用户

Claude Code被曝暗藏间谍代码,专门检测中国用户

原创
作者头像
安徽开发者圈
发布2026-07-02 09:53:41
发布2026-07-02 09:53:41
3780
举报

你用的 AI 编程助手,可能在偷偷监视你。

就在这两天,AI 圈炸了一个大瓜:Anthropic 的 Claude Code 被发现在代码里暗藏了一套隐蔽的用户检测系统,专门针对中国用户进行识别和标记。

更让人震惊的是,这套检测不是简单的日志记录—它用的是隐写术,把标记信息偷偷编码进你每次发送的 prompt 里,肉眼根本看不出来。

到底发生了什么?

事情要从 Claude Code 的一次「源码泄露」说起。

2026 年 3 月底,Anthropic 因为人为失误,意外将 Claude Code 的 51 万行内部源码泄露到了 npm 包中。社区迅速 fork 并分析源码,结果发现了藏在深处的「间谍代码」。

这套代码的逻辑非常精密:

第一步:检测你的时区

代码会读取你电脑的系统时区,如果你是 Asia/ShanghaiAsia/Urumqi(中国时区),就会触发标记。

第二步:扫描你的代理设置

检查 ANTHROPIC_BASE_URL 环境变量,跟一个内置的 147 个域名黑名单做比对。这份名单是加密存储的(base64 + XOR 密钥 91),解密后包括:

  • .cn 顶级域名
  • 百度、阿里、字节、京东等大厂域名
  • DeepSeek、月之暗面、智谱、MiniMax 等几乎所有中国 AI 公司
  • 各种 API 中转站域名
图片
图片

第三步:隐写术标记

这是最阴险的一步。代码不会通过独立的遥测字段上报数据—它直接修改你每次发送的系统提示词:

  • 把日期格式从 2026-06-30 改成 2026/06/30(标记中国时区)
  • 把 "Today's date is" 中的单引号替换成三种肉眼无法分辨的 Unicode 字符,分别代表「命中中国域名」「关联中国 AI 实验室」和「两者都命中」
图片
图片

换句话说,你在用 Claude Code 写代码的每一秒,它都在用一个隐形标签告诉服务器:这个用户可能来自中国。

Anthropic 的回应:这只是个实验

Claude Code 团队负责人 Thariq Shihipar 在 Twitter 上公开回应了这件事:

「这是我们 3 月份启动的一项实验,目的是防止未经授权的转售商滥用账户,以及保护模型不被蒸馏。团队已经部署了更强的防护措施,并且合并了 PR,会在明天的版本中回滚这段代码。」

翻译一下:承认了,确实干了,但说是为了防滥用。

为什么这件事不能轻易翻篇?

🔴 信任底线被突破

Claude Code 不是普通的网页应用—它运行在你自己的电脑上,拥有文件系统读写权限、Shell 执行权限。在你本地运行的工具里,偷偷嵌入基于国籍的检测代码,这和间谍软件的行为模式没有本质区别。

🔴 用户完全不知情

在 Release Notes 里,Anthropic 从未提及这个检测机制。没有任何提示、没有隐私弹窗、没有用户协议更新。如果不是源码泄露,这件事可能永远不会被发现。

🔴 针对性歧视

中国用户本来就不能直接访问 Claude(官方不在中国提供服务),大量用户通过中转站使用。Anthropic 不去改进自己的服务策略,反而在客户端里做基于国籍的秘密标记,这让人不寒而栗。

🔴 模糊的「防蒸馏」借口

Thariq 说这是为了防止中国 AI 实验室「蒸馏」Claude 的能力。确实,Anthropic 此前指控过多家中国公司(包括阿里巴巴)通过数万个虚假账号、数千万次对话来非法提取模型能力。但问题是:防蒸馏可以有很多透明的方式—限制 API 频率、行为分析、服务端防护。偏偏选择了在用户客户端做秘密检测,而且检测的是所有中国用户,不只是违规账号。

背后的AI 冷战

这件事不是一个孤立事件,而是 AI 领域地缘政治冲突的一个缩影:

时间

事件

2025年11月

Anthropic 指控中国黑客组织使用 Claude 进行网络间谍攻击

2026年2月

指控 DeepSeek、月之暗面等蒸馏 Claude,涉及 1600 万次对话

2026年6月

指控阿里巴巴通过 2.5 万账号、2900 万次交互大规模蒸馏

2026年6月

大面积封禁中国用户账号

2026年6月30日

源码泄露,社区发现间谍代码

2026年7月1日

Thariq 公开回应,承诺回滚

图片
图片

美国政府也在推波助澜—6 月中旬,美国商务部曾对 Anthropic 的 Fable 5 模型下达出口管制令(后于 6 月 30 日解除)。

这件事给我们的启示

第一,闭源工具的可信度再次受到质疑。

你永远不知道一个闭源的客户端里藏着什么。源码泄露才让这个秘密曝光,但还有多少没有被发现?

第二,国产 AI 工具的价值在凸显。

当外国 AI 公司在客户端里偷偷标记中国用户的时候,国产替代不再只是情怀,而是安全需求。

第三,用户隐私需要更多保护。

无论是哪个国家的公司,在用户本地工具里嵌入不透明的检测代码,都应该被视为严重的隐私侵犯。

写在最后

Thariq 说了会回滚,但回滚不等于没发生过。

信任一旦破裂,修复需要的时间远比写一行 PR 要长。

作为开发者,我们需要对自己使用的工具有更多警觉。毕竟,你的代码、你的环境、你的信息—这些都应该由你自己掌控,而不是被一个 AI 工具偷偷扫描和标记。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 到底发生了什么?
  • Anthropic 的回应:这只是个实验
  • 为什么这件事不能轻易翻篇?
  • 背后的AI 冷战
  • 这件事给我们的启示
  • 写在最后
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档