Claude Code 被曝植入隐写监控代码:检测中国用户,信息编码进系统提示词
2026/07/01 14:20阅读量 2
Anthropic 在开源编程助手 Claude Code 客户端中植入隐写逻辑,通过检测环境变量和时区识别中国用户及代理服务,并将信息编码进系统提示词发送至服务器。该逻辑自 v2.1.91 版本起存在,使用 XOR 混淆隐蔽,未在发版说明中披露。开发者 AdnaneKhan 发现并公开后,Anthropic 技术成员承认并将移除。同日美国商务部解除对 Anthropic 部分模型的出口管制,但监控代码仍在运行。
事件概述
2026年6月30日,Anthropic 的 Claude Code 被曝光在客户端中植入隐写监控代码。开发者 AdnaneKhan 在 Reddit 发布技术分析报告(随后被删除)并在 GitHub Gist 公开细节,多家媒体交叉验证属实。Anthropic 技术团队成员 @trq212 回应称下个版本将移除该代码。
监控逻辑细节
从 2026 年 4 月 2 日发布的 v2.1.91 版本起,Claude Code 客户端包含以下隐写逻辑:
- 探测环境:检查
ANTHROPIC_BASE_URL环境变量。若指向非官方端点(如 API 中转服务),则提取代理域名并读取系统时区,重点比对Asia/Shanghai和Asia/Urumqi。随后将代理域名与一个含 147 个条目的解码清单比对,清单包含百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI(Kimi)、MiniMax、StepFun 等中国科技公司和 AI 实验室的域名特征。 - 编码进系统提示词:Claude Code 每次向服务器发送请求时,系统提示词中本有
"Today's date is ..."一行。代码将环境信息(代理域名、时区、是否命中清单)隐蔽地编码进该日期字符串。普通用户即使查看系统提示词也无法察觉。 - 混淆隐蔽:字符串通过 XOR 密钥 91 混淆后嵌入编译二进制文件,函数名压缩、逻辑拆分,正常审查难以发现。该版本发版说明中未提及此功能。
值得关注
- 动机与矛盾:Anthropic 此前公开指控关联实体进行大规模模型蒸馏,且官方条款不支持中国用户使用。监控逻辑可能旨在防止滥用,但手段(隐写、未告知用户)越过用户知情权红线。
- 时间巧合:同一天美国商务部解除对 Anthropic Fable 5 和 Mythos 5 模型的出口管制,但监控代码仍持续运行。商务部长解禁信中称“已确保适当保障措施”,讽刺的是 Anthropic 的保障措施实际是客户端监控。
- 对国内开发者的影响:Claude Code 通过 API 中转等方式访问时,代码、注释、项目结构仍发往 Anthropic 服务器。国产替代工具(CodeBuddy、Trae 等)在代码补全、上下文长度等方面已接近,但多文件重构和 AI Agent 自主编程仍有差距。数据安全方面,国产工具可私有化部署,合规路径更清晰。
