Anthropic被曝在Claude Code中嵌入「间谍软件」,用隐写术监控中国用户

导语:近日,一位逆向工程师在Reddit上发布重磅爆料,直指Anthropic自2026年4月2日发布的v2.1.91版本起,在Claude Code中秘密嵌入了针对中国用户的”间谍级”监控逻辑。该程序利用Unicode隐写术和二进制混淆技术,将用户地理位置、代理设置及AI实验室关联等敏感信息悄然回传。消息一出,开源安全社区一片哗然,开发者信任危机骤然升温。


一、爆料核心:涉事版本与指控内容

此次爆料涉及的Claude Code版本范围广泛,从v2.1.91持续至最新的v2.1.196。据逆向工程师分析,Anthropic在代码中植入了针对中国用户的静默检测机制:当用户启用自定义代理(Proxy)时,程序会自动读取系统信息,并通过肉眼完全不可见的方式修改系统提示词(System Prompt),将用户的多项敏感属性暗中上传。

逆向工程分析图

这种做法的隐蔽程度令人咋舌——对普通用户完全不可见,对大模型本身的语义理解也毫无影响,但Anthropic服务端只需用正则表达式比对一下接收到的字符,就能瞬间给该请求打上”中国用户/中国实验室在用代理”的标签。


二、隐写术大起底:三个维度的秘密检测

爆料者将Anthropic的技术手段拆解得非常清晰,核心就是利用Unicode字符的视觉混淆实现”隐写术”(Steganography)。具体分为三个维度:

2.1 时区检测:日期格式暗藏玄机

程序会检查用户系统时区是否为Asia/Shanghai(上海)或Asia/Urumqi(乌鲁木齐),据此在系统提示词中悄悄替换日期格式:

  • 普通用户:日期格式为标准ISO格式 2026-06-30
  • 目标时区用户:日期格式被替换为 2026/06/30

一个斜杠的差异,在人类肉眼和大模型语义层面完全无感,但服务端只需检测到这个细微变化,就能判断用户是否位于国内。

2.2 标点符号微调:标记代理与AI实验室属性

更精妙的操作在于对单引号/撇号(Apostrophe, ')的处理。系统提示词中通常包含”Today’s date is…”这样的表述,而代码会根据混淆名单的匹配结果,将这个单引号悄悄替换成不同的Unicode变体字符:

检测场景替换的Unicode字符名称
是中国域名/白名单,但不是AI实验室u2019右单引号(Right single quotation mark)— ‘
不是中国域名,但是中国AI实验室u02BC修饰用撇号(Modifier letter apostrophe)— ʼ
既是中国域名,又是中国AI实验室u02B9修饰用角分号(Modifier letter prime)— ʹ

这种字符级别的微调,在视觉呈现上与原始单引号几乎无法区分,却精准地将用户的代理状态和AI实验室背景编码进了每一次请求里。


三、XOR混淆与合规瞒报:故意掩盖的证据链

3.1 固定Key混淆:防止静态分析暴露

为了防止这些检测逻辑和目标域名/实验室列表在strings静态扫描时暴露,Anthropic对相关数据和逻辑进行了XOR加密。逆向工程师发现,其使用的固定Key是91——恰好对应首次引入该功能的版本号v2.1.91。这种”用版本号做密钥”的细节,颇有几分此地无银三百两的意味。

3.2 版本更新日志只字未提

在v2.1.91的官方Release Notes中,Anthropic对这一激进的审查机制只字未提,将其伪装成一次普通的版本迭代。这种刻意隐瞒的态度,成为引发”间谍软件”指控的关键证据。

3.3 最新版本强制限制触发逆向

真正让这件事曝光的导火索,是Anthropic在最新发布的v2.1.196中加入了更激进的限制——一旦检测到用户启用Proxy,就直接禁用远程控制(Remote Control)功能。这一强硬限制直接动了第三方开发者的蛋糕,逼得他们不得不去逆向Claude Code,结果拔出萝卜带出泥,将整条隐秘的监控链条暴露在阳光之下。


四、行业争议:开发者信任遭遇系统性危机

4.1 信任的彻底破产

Claude Code作为一款Agent级开发工具,通常被授予完整的本地文件系统读写权限和Shell执行权限。开发者将如此高度的系统控制权交给它,本质上是一种极高的信任。

而现在,Anthropic被曝出在用户毫不知情的情况下,利用隐写术秘密回传敏感信息——这意味着他们今天敢这样做,明天就完全有能力在本地执行任意代码、破坏系统或窃取开发者的代码资产。这种行为对开发者信任的打击,是系统性的、不可逆的。

4.2 “防盗”初衷能否为”间谍”手段正名?

客观来看,Anthropic此举的动机并不难理解——无非是想打击国内的非法代理解密转售行为,以及防止国内AI实验室利用Claude的数据进行知识蒸馏(Distillation)。

但安全社区的普遍共识是:这种”为了抓贼,把所有人都当成潜在嫌疑人暗中监控”的行径,本质上就是一种Spyware作风。它不仅不能有效阻止真正有动机的破解者,反而会误伤那些为了合规做上下文管理而正常使用的开发者。

4.3 安全防御形同虚设

更讽刺的是,这种依靠Unicode字符混淆和XOR加密的保护机制,对于稍微具备逆向能力的安全研究员来说,几乎形同虚设。只需Hook几个关键函数(如Zup()、Vla()等),就能轻松绕过这些检测。

这意味着,真正需要防范的人根本防不住,而那些老老实实使用代理的正常开发者,却成了被监控的主要对象。


五、社区反应:各方声音一览

5.1 安全社区:愤怒与质疑并存

在Hacker News的讨论帖中,这一爆料迅速引发热议。一位网友直言:“一边对用户隐瞒,一边还可能对(中国用户)额外收取费用。想象一下,如果他们用同样的手段针对犹太人,会引发多大的愤怒。”另一位用户则更犀利地指出:“你们百分之百接受了Anthropic用我们的数据来训练模型的事实,包括受版权保护的数据。至少中国公司还付费了,谁给Anthropic特权白嫖?”

Reddit上的讨论同样激烈。有用户指出,这种行为本质上是在把每个用户都当成”潜在嫌疑人”来监控,是典型的间谍软件思维。也有开发者表示,Claude Code作为拥有完整文件系统读写和Shell执行权限的Agent工具,理应受到最严格的信任标准,而非背地里从事隐蔽的数据收集。

5.2 媒体报道:独立分析确认漏洞真实存在

独立网络安全媒体International Cyber Digest(ICD)在获取原始爆料后进行了独立验证,并联系了相关专家。ICD的分析报告确认了该机制的真实存在,并详细梳理了其工作原理:

“程序会检查环境变量ANTHROPIC_BASE_URL——即用户将Claude Code指向自定义API路由时使用的变量。如果该路由不是官方地址api.anthropic.com,代码就会提取代理主机名并检查用户系统时区。检测到的147个目标条目中,包括百度、阿里巴巴、蚂蚁集团、字节跳动、月之暗面(Moonshot AI)、MiniMax、阶跃函数(Stepfun)以及大量代理或镜像域名。”(来源:International Cyber Digest

5.3 官方回应:Anthropic工程师确认将回滚

值得关注的是,事态似乎出现了转机。ICD报道,Anthropic技术团队成员@trq212在X平台上发声,透露该功能将在次日版本更新中被回滚(rolled back)。尽管如此,这一回应并未解释为何当初要采用如此隐蔽的方式来实现这一检测机制,也未能平息开发者社区的信任焦虑。

5.4 争议焦点:防盗动机与监控手段的边界

社区讨论中一个反复出现的核心争议点是:Anthropic打击非法转售和模型蒸馏的动机本身或许合理,但其实现手段严重越界。正如ICD在报道中所指出的:

“软件供应商通常会收集遥测数据,这是可以理解的。但问题是方式。普通用户可以理解并评估公开的遥测数据——他们可以屏蔽文档化的端点、检查配置文件,或就工具的数据收集范围做出政策决策。但这种暗中修改不可见提示字符的行为,将信任模型从’这个工具发送的是我预期的数据’转变为’这个工具可能在隐藏我无法轻易检查的环境信号’。”(来源:International Cyber Digest

这一观点在Hacker News上获得了大量认同:Claude Code不仅仅是一个聊天窗口,它能访问源代码、文件名、项目结构、密钥和工作流程。信任是它的产品基础。一旦这个基础被动摇,代价将远超Anthropic的想象。


六、总结

Anthropic与Claude Code的这次风波,本质上是一场”以安全之名行监控之实”的典型案例。隐写术的运用虽然技术含量极高,但其目的并非保护用户安全,而是在用户毫不知情的情况下给他们打上各种敏感标签。

这种行为的危害不仅在于隐私侵犯,更在于对整个开发生态信任基础的腐蚀。当一款被全球开发者广泛使用的工具,开始利用其对系统的深度信任来从事隐蔽的数据收集,行业需要认真思考:我们在赋予AI工具多大权限的同时,应该对其背后企业的行为抱有多大的信任?

图片版权 华盟网

© 版权声明
THE END
喜欢就支持一下吧
点赞5 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容