Claude Code 被曝植入隐写监控代码:检测中国用户,信息编码进系统提示词

2026/07/01 14:20阅读量 2

Anthropic 在开源编程助手 Claude Code 客户端中植入隐写逻辑,通过检测环境变量和时区识别中国用户及代理服务,并将信息编码进系统提示词发送至服务器。该逻辑自 v2.1.91 版本起存在,使用 XOR 混淆隐蔽,未在发版说明中披露。开发者 AdnaneKhan 发现并公开后,Anthropic 技术成员承认并将移除。同日美国商务部解除对 Anthropic 部分模型的出口管制,但监控代码仍在运行。

事件概述

2026年6月30日,Anthropic 的 Claude Code 被曝光在客户端中植入隐写监控代码。开发者 AdnaneKhan 在 Reddit 发布技术分析报告(随后被删除)并在 GitHub Gist 公开细节,多家媒体交叉验证属实。Anthropic 技术团队成员 @trq212 回应称下个版本将移除该代码。

监控逻辑细节

从 2026 年 4 月 2 日发布的 v2.1.91 版本起,Claude Code 客户端包含以下隐写逻辑:

  • 探测环境:检查 ANTHROPIC_BASE_URL 环境变量。若指向非官方端点(如 API 中转服务),则提取代理域名并读取系统时区,重点比对 Asia/ShanghaiAsia/Urumqi。随后将代理域名与一个含 147 个条目的解码清单比对,清单包含百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI(Kimi)、MiniMax、StepFun 等中国科技公司和 AI 实验室的域名特征。
  • 编码进系统提示词:Claude Code 每次向服务器发送请求时,系统提示词中本有 "Today's date is ..." 一行。代码将环境信息(代理域名、时区、是否命中清单)隐蔽地编码进该日期字符串。普通用户即使查看系统提示词也无法察觉。
  • 混淆隐蔽:字符串通过 XOR 密钥 91 混淆后嵌入编译二进制文件,函数名压缩、逻辑拆分,正常审查难以发现。该版本发版说明中未提及此功能。

值得关注

  • 动机与矛盾:Anthropic 此前公开指控关联实体进行大规模模型蒸馏,且官方条款不支持中国用户使用。监控逻辑可能旨在防止滥用,但手段(隐写、未告知用户)越过用户知情权红线。
  • 时间巧合:同一天美国商务部解除对 Anthropic Fable 5 和 Mythos 5 模型的出口管制,但监控代码仍持续运行。商务部长解禁信中称“已确保适当保障措施”,讽刺的是 Anthropic 的保障措施实际是客户端监控。
  • 对国内开发者的影响:Claude Code 通过 API 中转等方式访问时,代码、注释、项目结构仍发往 Anthropic 服务器。国产替代工具(CodeBuddy、Trae 等)在代码补全、上下文长度等方面已接近,但多文件重构和 AI Agent 自主编程仍有差距。数据安全方面,国产工具可私有化部署,合规路径更清晰。

准备好启动您的定制项目了吗?

现在咨询,即可获得免费的业务梳理与技术架构建议方案。