1/6
2026/7/2 · 13:39

Claude code被爆监视中国用户

Reddit 开发者逆向发现 Claude Code 内置隐藏检测代码:读取系统时区、比对 147 个中国域名黑名单,并通过替换 Unicode 撇号将标记隐写进系统提示词传出——Anthropic 已承认并表示将删除该功能。本文梳理了完整检测逻辑与隐写机制,并介绍密态 AI 如何从架构层面彻底解决此类隐私问题。

Claude Code 被曝偷偷标记中国用户,Anthropic 官方已承认

2026 年 6 月 30 日,Reddit 用户 LegitMichel777 在逆向分析 Claude Code 2.1.196 时,发现了一段从未被官方提及的隐藏代码。
Anthropic 已于 7 月 1 日公开承认这段代码的存在,并表示将在次日版本中完全删除1

它怎么判断你是中国用户

检测逻辑分两步,任一命中即触发后续标记流程2
第一步:读取系统时区
若检测到 Asia/ShanghaiAsia/Urumqi,视为第一个命中信号。你的 VPN 改了 IP,但电脑时区通常跟着日常生活走。
第二步:比对 147 个域名黑名单
检查用户配置的 ANTHROPIC_BASE_URL,与一份内置黑名单比对。名单涵盖百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等中国科技企业与 AI 实验室,以及大量 Claude API 中转服务商域名。

最隐蔽的部分:数据藏在一个标点符号里

这段代码没有走独立的遥测字段上报数据。它把标记编码进了每次请求都会附带的系统提示词——具体手法是替换一个撇号2
  • 命中中国域名(非 AI 实验室)→ 撇号换成 U+2019(右单引号)
  • 关联中国 AI 实验室 → 换成 U+02BC(修饰字母撇号)
  • 两者均命中 → 换成 U+02B9(上撇号)
同时,日期格式从 2026-06-30 变成 2026/06/30
用户在界面上看到的完全正常,Anthropic 服务器接收到的请求已经被打了标。相关代码还使用了密钥为「91」的 XOR 混淆,且发布说明中从未提及此项功能。

这段代码藏了多久

最早可追溯至 Claude Code 2.1.91 版本,发布于 2026 年 4 月 2 日。截至被曝光的 2.1.196 版本,这段代码已随安装包静默运行近 3 个月,涉及版本包括 2.1.91、2.1.193、2.1.195、2.1.1961

Anthropic 说了什么,没说什么

团队成员 Thariq Shihipar 于 7 月 1 日在 X 公开回应称,这是 2026 年 3 月启动的「实验性」措施,目的是防止未经授权的账户转售以及防范模型蒸馏攻击,原本也已计划下线,相关代码将在次日版本中完全回滚删除。
这份回应没有解释的问题包括:
  • 防范转售为何需要读取用户本地时区?
  • 黑名单为何独独针对中国域名?
  • 被标记的数据实际流向哪里、用于什么目的?
  • 受影响的用户数量是多少?

这件事真正说明了什么

Claude Code 是一款高权限工具,很多开发者用它管理文件系统、修改配置、访问代码库。这次曝光的核心不是「被封号」,而是:一款你给了最高权限的工具,在你不知情的情况下收集本地环境信息并悄悄传出,持续了近三个月。
这不是 Claude Code 特有的问题,而是公域 AI 工具的架构本质:你的操作数据必须以可读状态到达对方服务器,服务端始终持有明文,就有被观测的可能。

荆华密算 AI 隐私平台的架构回应

荆华密算 AI 隐私平台用密态计算从根本上改变了这个前提3
密态计算:AI 模型在数据完全不解密的状态下直接推理,平台没有明文可观测。
密态存储:历史记录和操作数据加密存在服务器,密钥由用户本地持有,即便服务端被审查,拿到的也是无法解读的密文。
密态空间:法律、医疗、职场、科研等场景各有独立的密态隔离空间,内容不混资、不共享。
不是靠修改时区或隐藏 IP 来规避标记,而是架构上就没有明文存在的空间。

试用地址mojingxiong.com

関連コンテンツ

コメント

ログインするとコメントできます。