Anthropic 快报:Claude Code 暗标中国用户,团队承诺回滚
2026/7/2 · 0:59

Anthropic 快报:Claude Code 暗标中国用户,团队承诺回滚

Claude Code 被曝在系统提示词中用时区、代理域名和 Unicode 细节标记中国相关用户;Claude Code 团队成员回应称这是反转售和反蒸馏实验,并承诺在 7 月 2 日版本回滚。本文梳理已经能确认的事实、仍未回答的问题,以及企业采购和开发者接下来该盯什么。

如果你把 Claude Code 当成一个能读项目、改文件、跑命令的开发同事,这次争议就不只是「用户区域识别」这么简单。Reddit 用户 LegitMichel777 逆向分析后称,从 2.1.91 版本开始,Claude Code 在用户启用代理时会检查系统时区、代理域名,并把命中结果藏进发送给模型的系统提示词里;发帖时间是北京时间 6 月 30 日 15:41。1
更关键的是,Claude Code 团队成员 Thariq Shihipar 没有否认这套机制。北京时间 7 月 1 日 06:07,他在 X 上回应称,这是 3 月上线的实验,目的是防止未授权转售和模型蒸馏;团队已经合并回滚 PR,预计在「明天的版本」里完全移除。2

已经能确认的三件事

**第一,争议点不在于是否收集技术环境信息,而在于信息传输方式。**原帖称,Claude Code 在检测到代理后,会检查系统时区是否为 Asia/ShanghaiAsia/Urumqi,还会把代理 URL 与中国域名、中国 AI 实验室域名清单匹配。命中后,它并不是通过显眼的遥测字段上报,而是改变系统提示词里的日期格式和撇号字符。1
原帖给出的例子是:如果系统时区命中中国时区,日期会从 2026-06-30 变成 2026/06/30;如果代理域名命中不同类别,Today's date is 里的撇号会被替换成肉眼很难分辨的 Unicode 字符。原帖还称,相关逻辑在 2.1.196 版本中可定位到若干压缩后的函数名,并使用 key 为 91 的 XOR 混淆。1
**第二,Anthropic 员工给出的解释是反滥用,不是产品功能。**Thariq Shihipar 的回应把这套机制定义为 3 月启动的实验,用来处理未授权转售和蒸馏风险。模型蒸馏指用一个更强模型的输出训练或校准另一个模型。对 Anthropic 来说,这条线最近很敏感:Fable/Mythos 的出口限制刚经历解除与恢复,Claude Code 又是很多开发者日常接触本地项目的入口。2
**第三,回滚承诺还需要版本层面的验证。**这条 X 回应说「tomorrow's release」会完全回滚,但它没有展开说明:哪些字段曾被记录、命中信号是否被保存、影响多少用户、是否还有类似机制存在于其他产品。AI Weekly 对这次争议的整理也把结论落在同一个位置:目前有原始逆向帖和 Anthropic 员工回应,但买方真正会追问的问题还没有被完整回答。3

这为什么算重大事件

Claude Code 不是普通网页服务。它经常被放进代码仓库,拿到文件系统和命令行权限,帮开发者改代码、跑测试、生成提交。对这类工具,企业采购和安全团队最在意的不是「有没有做反滥用」,而是「做了什么、如何披露、能否审计」。
这次争议把两个问题推到台前:
  • **反蒸馏与开发者信任发生冲突。**Anthropic 有动机防止账号转售和模型能力被批量抽取,但把信号藏进系统提示词,会让正常用户怀疑自己看不到完整的数据路径。
  • **区域识别会放大合规风险。**时区和代理域名本身不等于身份,但它们被用来推断地区或机构归属。对跨国公司、远程团队、外包开发者来说,这会直接进入安全评审和供应商问卷。
  • **闭源开发工具的审计压力上升。**这次不是公司主动公告,而是用户逆向二进制后引发公开回应。以后企业买 AI 编程工具,可能不会只问模型能力,还会要求解释本地客户端如何采集、编码和传输环境信号。

接下来该盯什么

企业和重度开发者不用急着把这件事扩大成「Claude Code 一定不安全」。目前公开材料只指向一套针对代理、时区和域名的识别实验,尚未证明它读取业务代码或执行额外本地操作。真正该盯的是四个可验证点:
  1. 7 月 2 日之后的 Claude Code 版本说明:是否明确写出移除了哪些检测逻辑,而不是只说「bug fixes」。
  2. Anthropic 是否发布正式说明:员工 X 回应解决了「有没有这回事」,但没有解决「数据如何处理」。
  3. 企业版是否有更清楚的控制项:例如关闭特定遥测、查看本地客户端发送的系统提示词、审计代理与区域信号。
  4. 后续是否出现独立复测:如果 2.1.197 或后续版本被确认移除 Unicode 标记,这次会收束成一次反滥用实验的披露事故;如果还有类似路径,事情会转向产品信任问题。
对 Anthropic 来说,最好的收尾不是再强调反蒸馏有多合理,而是把客户端到底发了什么讲清楚。Claude Code 的卖点是让开发者把更多本地工作交给它;一旦用户需要先猜它在系统提示词里藏了什么,这个卖点就会被自己削弱。

相似内容

围绕这条内容继续补充观点或上下文。

  • 登录后可发表评论。