刘昊霖 发表于 2026-7-1 06:13

Claude Code 被指在系统提示词里偷偷给中国代理用户“打水印”

Claude Code 被指在系统提示词里偷偷给中国代理用户“打水印”

一份 Reddit 帖子和一份 GitHub 上的独立验证报告指控:Anthropic 的编程工具 Claude Code 会悄悄检查用户是否通过中国相关的代理服务器访问,如果是,就在发给 Anthropic 的系统提示词里用几乎肉眼不可见的 Unicode 字符差异来“标记”这些用户。

具体怎么做的?安全研究员 Adnane Khan 在 GitHub 上发布了针对 Claude Code v2.1.193 到 v2.1.196 的逆向分析报告。他从二进制文件中提取出了完整的 JavaScript 代码,还原了整个机制。

Claude Code 在每次请求时都会在系统提示词中写入一行“Today's date is 2026-06-30.”之类的日期信息。报告称,当用户设置了 ANTHROPIC_BASE_URL 环境变量(用来把请求转发到非 Anthropic 官方的代理服务器时),Claude Code 会执行以下检查:

第一,看你的代理服务器域名是否在一个包含 147 个条目的列表里。这个列表用 XOR-91 编码做了简单混淆,解码后包含百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI、MiniMax、阶跃星辰等中国大厂和 AI 实验室的域名,以及大量中国开发者社区熟知的 Claude API 中转站域名。

第二,看你的系统时区是不是 Asia/Shanghai 或 Asia/Urumqi。

然后,它用两种方式把检测结果“编码”进系统提示词。一是日期分隔符:如果命中中国时区,日期格式从 2026-06-30 变成 2026/06/30。二是“Today's”里那个撇号,用四种视觉上几乎一模一样的 Unicode 字符来区分四种状态:普通 ASCII 撇号表示“啥也没命中”,U+2019(右单引号)表示“域名在列表里”,U+02BC(修饰字母撇号)表示“域名包含 AI 实验室关键词”,U+02B9(修饰字母 prime)表示“两者都命中”。

Adnane Khan 的报告用了一个精确的词来描述这个机制:隐蔽信道(covert channel)。

这些字符差异,正常用户几乎不可能注意到。它们不会以单独的遥测数据包发出,而是搭便车藏在每次请求都会发送的系统提示词里。

验证报告的作者在结论部分做了一个关键区分:这个机制是代理触发的(proxy-gated),只有在用户主动设置了非 Anthropic 官方 API 端点时才会激活。正常通过 api.anthropic. com 使用 Claude Code 的绝大多数用户不受影响。它也不是数据外泄,没有额外的网络请求或文件访问,只是在已有的系统提示词里做了字符替换。

但报告也指出了两个问题。

第一,它是未公开的。如果 Anthropic 在文档里写明“当你使用第三方代理时,我们会在系统提示词中嵌入路由元数据以检测滥用”,这就是一个开发者可以评估、接受或拒绝的遥测策略。但把信号藏在肉眼不可见的 Unicode 字符里,用 XOR 混淆域名列表,这让人没法审计。

第二,它误伤范围太广。很多用户使用 ANTHROPIC_BASE_URL 是为了完全合法的目的,比如通过企业网关路由、混用不同模型、或者在网络受限环境下工作。这些用户会被一视同仁地打上标记。而真正的专业转售商,看到这种机制后绕过它只需要几秒钟。报告原文的说法是:作为反滥用手段它很弱,作为隐私问题它标记了不该标记的人群。

Claude Code 不是一个普通的聊天窗口。它能读你的代码仓库、运行终端命令、修改文件。Anthropic 自己的工程文档里都举过 Claude Code 误操作的例子:删除远程 git 分支、上传 GitHub token、对生产数据库执行迁移。对于这样一个需要深度信任才能使用的工具,用户有权知道它在背后做了什么。

截至发稿时,Anthropic 尚未对这一指控做出公开回应。这个故事今天(6 月 30 日)刚刚曝出,相关指控来自 Reddit 帖子和一份独立安全研究员的逆向工程报告,还需要更多独立验证。代码已经被提取并公开,任何有能力的开发者都可以自行检查 Claude Code 的二进制文件来确认或否认这些发现。

买码!注册! 发表于 2026-7-1 06:24

A÷之变诈几何哉?止增笑耳。

泰坦失足 发表于 2026-7-1 06:32

这几年来OpenAI在行为不变的情况下,良心等级不断提高。当年O1不显示推理链防止蒸馏还被人批评,现在一比都是活圣人了。

半江瑟瑟半江红 发表于 2026-7-1 07:10

傻逼玩意在邮件里加位置追踪器,打开邮件就检查你的位置,我年初注册的claude账号用都没用过,前几天开了个封A畜发的邮件就给我封了

—— 来自 HUAWEI SGU-AL10, Android 12, 鹅球 v3.5.99

apefrank 发表于 2026-7-1 07:10

中国人就别去贴A➗的冷屁股了

发呆的龙虾 发表于 2026-7-1 07:18

apefrank 发表于 2026-7-1 07:10
中国人就别去贴A➗的冷屁股了

没办法,现在很多程序员离了Claude就不会写代码了。

—— 来自 HUAWEI HOP-AL10, Android 12, 鹅球 v4.0.100-alpha

无尽的牙刷 发表于 2026-7-1 07:29

所以我把我的工作流都换成国内模型了,虽然质量稍微差点,甚至价钱也比中转站高点,但又不是不能用

kingsin 发表于 2026-7-1 07:31

引用第5楼发呆的龙虾于2026-07-01 07:18发表的:
apefrank 发表于 2026-7-1 07:10中国人就别去贴A➗的冷屁股了没办法,现在很多程......

@发呆的龙虾
真的是程序员吗,我印象中的程序员起码自己能创造出一些工具,而不是现在这些MD2只会复制粘贴

----发送自 STAGE1 App for Android.

发呆的龙虾 发表于 2026-7-1 07:35

kingsin 发表于 2026-7-1 07:31
@发呆的龙虾
真的是程序员吗,我印象中的程序员起码自己能创造出一些工具,而不是现在这些MD2只会复制粘贴 ...

用过之后就回不去了,就像XD一样。

—— 来自 HUAWEI HOP-AL10, Android 12, 鹅球 v4.0.100-alpha

很久就在那边l 发表于 2026-7-1 07:38

看来很多人至今分不清claude和claude code,这个新闻说的就是claude code客户端,用国产ai和国内中转站接入一样会中招,你先问问为什么国产ai厂商都要提供a/家的messages格式吧

hunger 发表于 2026-7-1 08:36

所以用Anthropic模型的岂不更危险,天知道它服务器那边做了什么处理

tk553521 发表于 2026-7-1 08:40

有glm5.2了就不用claude了

—— 来自 nubia NX809J, Android 16, 鹅球 v3.5.99-alpha

colice 发表于 2026-7-1 08:41

不辱不用是这样的,无论A÷接下来怎么干,某些程序员都能当做没看到嗷

—— 来自 HUAWEI HBN-AL00, Android 12, 鹅球 v3.4.98

wpwing 发表于 2026-7-1 08:45

该换open code了吗?

Van夫膜开 发表于 2026-7-1 08:45

明明有codex,加上中转站甚至更便宜。还在说没有claude不会写代码的,真的是程序员吗?就这个嗅觉还能当程序员吗?

酱狐狸 发表于 2026-7-1 08:47

不知道算不算身边统计学,但见过好多程序员真的是不辱不用

jjmint123 发表于 2026-7-1 08:52

打开邮箱果然看到一封Anthropic发来的邮件,我注册了Anthropic的账号以后用都没用过,果断把邮件删了,已经转投opencode了
平时只是办公使用,处理文档居多,对claude code不是刚需

库德里尔 发表于 2026-7-1 08:53

cc会把检测信息写进对话的prompt里
中转站把带隐标志的prompt一路带到源头claude模型去
模型读到标志之后的表现…………

codex opencode reasonix pi之类的轮着玩吧

—— 来自 鹅球 v3.5.99

80后卢瑟 发表于 2026-7-1 08:53

OpenAI:谢谢谢谢,全靠同行衬托

ymm1030 发表于 2026-7-1 08:57

发呆的龙虾 发表于 2026-7-1 07:35
用过之后就回不去了,就像XD一样。

—— 来自 HUAWEI HOP-AL10, Android 12, 鹅球 v4.0.100-alpha ...

那倒也不至于,用了就回不去的以前估计也不会写。

赤星ビスコ 发表于 2026-7-1 08:58

发呆的龙虾 发表于 2026-7-1 07:35
用过之后就回不去了,就像XD一样。

—— 来自 HUAWEI HOP-AL10, Android 12, 鹅球 v4.0.100-alpha ...

倒不至于,codex+gpt5.5对我来说体验还更好点

Nanachi 发表于 2026-7-1 09:05

如何看待「Anthropic 呼吁全员停止 AI 研究」的行为?
https://zhihu.com/question/2046150253192206018/answer/2046227363709597387

从百度学到真本事了,A/一直都是一个营销天才公司。走“不乳不用”赛道打开闹钟市场,这个妙手谁能想得到?

论坛助手,iPhone

有大头 发表于 2026-7-1 09:05

A÷名副其实

chuchoselph 发表于 2026-7-1 09:08

colice 发表于 2026-7-1 08:41
不辱不用是这样的,无论A÷接下来怎么干,某些程序员都能当做没看到嗷

—— 来自 HUAWEI HBN-AL00, Androi ...

说反了,越乳越兴奋捏
页: [1]
查看完整版本: Claude Code 被指在系统提示词里偷偷给中国代理用户“打水印”