


1/6
2026. 7. 2. · 13:39
Claude code被爆监视中国用户
Reddit 开发者逆向发现 Claude Code 内置隐藏检测代码:读取系统时区、比对 147 个中国域名黑名单,并通过替换 Unicode 撇号将标记隐写进系统提示词传出——Anthropic 已承认并表示将删除该功能。本文梳理了完整检测逻辑与隐写机制,并介绍密态 AI 如何从架构层面彻底解决此类隐私问题。
Claude Code 被曝偷偷标记中国用户,Anthropic 官方已承认
2026 年 6 月 30 日,Reddit 用户 LegitMichel777 在逆向分析 Claude Code 2.1.196 时,发现了一段从未被官方提及的隐藏代码。
Anthropic 已于 7 月 1 日公开承认这段代码的存在,并表示将在次日版本中完全删除1。
它怎么判断你是中国用户
检测逻辑分两步,任一命中即触发后续标记流程2:
第一步:读取系统时区
若检测到
Asia/Shanghai 或 Asia/Urumqi,视为第一个命中信号。你的 VPN 改了 IP,但电脑时区通常跟着日常生活走。第二步:比对 147 个域名黑名单
检查用户配置的
ANTHROPIC_BASE_URL,与一份内置黑名单比对。名单涵盖百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等中国科技企业与 AI 实验室,以及大量 Claude API 中转服务商域名。最隐蔽的部分:数据藏在一个标点符号里
这段代码没有走独立的遥测字段上报数据。它把标记编码进了每次请求都会附带的系统提示词——具体手法是替换一个撇号2:
- 命中中国域名(非 AI 实验室)→ 撇号换成 U+2019(右单引号)
- 关联中国 AI 实验室 → 换成 U+02BC(修饰字母撇号)
- 两者均命中 → 换成 U+02B9(上撇号)
同时,日期格式从
2026-06-30 变成 2026/06/30。用户在界面上看到的完全正常,Anthropic 服务器接收到的请求已经被打了标。相关代码还使用了密钥为「91」的 XOR 混淆,且发布说明中从未提及此项功能。
这段代码藏了多久
最早可追溯至 Claude Code 2.1.91 版本,发布于 2026 年 4 月 2 日。截至被曝光的 2.1.196 版本,这段代码已随安装包静默运行近 3 个月,涉及版本包括 2.1.91、2.1.193、2.1.195、2.1.1961。
Anthropic 说了什么,没说什么
团队成员 Thariq Shihipar 于 7 月 1 日在 X 公开回应称,这是 2026 年 3 月启动的「实验性」措施,目的是防止未经授权的账户转售以及防范模型蒸馏攻击,原本也已计划下线,相关代码将在次日版本中完全回滚删除。
这份回应没有解释的问题包括:
- 防范转售为何需要读取用户本地时区?
- 黑名单为何独独针对中国域名?
- 被标记的数据实际流向哪里、用于什么目的?
- 受影响的用户数量是多少?
这件事真正说明了什么
Claude Code 是一款高权限工具,很多开发者用它管理文件系统、修改配置、访问代码库。这次曝光的核心不是「被封号」,而是:一款你给了最高权限的工具,在你不知情的情况下收集本地环境信息并悄悄传出,持续了近三个月。
这不是 Claude Code 特有的问题,而是公域 AI 工具的架构本质:你的操作数据必须以可读状态到达对方服务器,服务端始终持有明文,就有被观测的可能。
荆华密算 AI 隐私平台的架构回应
荆华密算 AI 隐私平台用密态计算从根本上改变了这个前提3:
密态计算:AI 模型在数据完全不解密的状态下直接推理,平台没有明文可观测。
密态存储:历史记录和操作数据加密存在服务器,密钥由用户本地持有,即便服务端被审查,拿到的也是无法解读的密文。
密态空间:法律、医疗、职场、科研等场景各有独立的密态隔离空间,内容不混资、不共享。
不是靠修改时区或隐藏 IP 来规避标记,而是架构上就没有明文存在的空间。
试用地址:mojingxiong.com

댓글
로그인하면 댓글을 작성할 수 있습니다.