网易首页 > 网易科技 > 网易科技 > 正文

Claude Code被曝“植入木马”识别中国用户,Anthropic称明天删除

0
分享至

出品 | 网易智能

作者 | 小爪

编辑 | 王凤枝

Claude Code被曝在本地命令行里塞进一段隐藏检测代码:只要你开着代理,它就会判断你是不是中国用户。

按Reddit用户LegitMichel777的逆向结果,从4月2日发布的2.1.91版本起,Claude Code会检查系统时区是否为Asia/Shanghai或Asia/Urumqi,也会检查代理URL是否命中中国域名、白名单域名,或中国AI实验室相关域名。

Claude Code团队成员Thariq Shihipar随后在X上回应称,这是3月启动的一项反转售、反蒸馏实验;相关PR已合并,会在下一版中回滚删除。

但在开发者社区中,已经有人把Claude Code骂成"间谍软件"。它跑在本地终端里,能读写文件、执行shell命令,很多人还会让它进入真实代码库。这样一个工具,如果在用户不知情的情况下给请求打暗标,争议就不只是 “Anthropic做了风控” 这么简单。

这件事也不是突然冒出来的单点爆料。6月27日至今,小红书上已经陆续出现 “Claude今天大面积封号”的帖子。这说明,在逆向帖刷屏前,中国用户圈里已经有明显的封号体感。

社区发现了什么

按这名用户的逆向结果,Claude Code没有通过一个显眼的遥测字段上报状态,而是改动系统提示词中日期和标点的写法。

识别到中国时区时,日期分隔符会从短横线变成斜杠;代理域名命中不同类别时,"Today's date is"里的撇号会被替换成外观很接近的Unicode字符。普通用户几乎不会注意到这些差异,但服务端可以据此识别请求状态。

帖子列出的技术细节还包括:相关逻辑从2.1.91版本开始存在;部分内容经过异或混淆,密钥为91;函数名经过压缩,普通字符串扫描不容易直接发现;2.1.91的发布说明没有提到这项变化。

LegitMichel777在帖子里说,他原本并不是冲着这段代码去的。他是在处理Claude Code 2.1.196启用代理时禁用远程控制的问题,想逆向修掉这个限制,结果挖出了隐藏检测逻辑。

Reddit帖把这套机制与两类风险联系在一起:未授权账号转售,以及中国AI实验室可能进行的模型蒸馏。后者也是Anthropic过去几个月反复强调的风险。

蒸馏压力是真实背景

今年2月,Anthropic发布文章称,公司识别出DeepSeek、Moonshot和MiniMax等实验室的大规模蒸馏活动。这些实验室通过约2.4万个虚假账号,与Claude发生超过1600万次交互,违反服务条款和地区访问限制。

Anthropic在那篇文章里说,这类活动会针对Claude的智能体推理、工具使用、编码等差异化能力,并通过代理服务、虚假账号和协调流量绕过限制。

6月下旬,这条背景又加重了一层。据Business Insider、Tom's Hardware等媒体报道,Anthropic在致美国参议员的信中指控,阿里巴巴相关操作者在4月至6月期间通过近2.5万个虚假账号,与Claude进行约2880万次交互。Anthropic将其称为已知最大规模的Claude蒸馏攻击之一。 阿里方面尚未直接回应。

放在这个背景下,Anthropic想识别代理、转售和蒸馏流量,并不意外。前沿模型的输出本身就是高价值资产,Claude Code又是最容易被用于大规模编码和智能体任务的入口之一。

争议集中在实现方式上。

很多软件都会做风控、反滥用和遥测。如果Anthropic在文档里明确说明:Claude Code会在代理环境下收集必要的反滥用信号,用户可以查看收集项、用途和保留方式,争议会小很多。但这次被曝光的是另一种做法:本地命令行工具读取时区和代理环境,把结果编码进系统提示词,再发到云端。

对开发者来说,这越过了普通风控和高权限工具之间的信任边界。社区反应之所以激烈,不只是因为Anthropic可能知道用户在哪个时区。更敏感的是:系统提示词既然可以被用于隐蔽传递风控标记,开发者就会追问,它将来是否还可能被用于改变模型行为、区分用户体验,或传递更敏感的状态。

目前没有证据显示Claude Code借这段机制窃取仓库内容,也没有证据显示它已经用这些标记操控模型输出。但"不透明隐写"本身已经足够伤害一款高权限本地工具的可信度。

Anthropic团队成员怎么回应

6月30日,Claude Code团队成员Thariq Shihipar在X上回应称,这是3月启动的一项实验,目的是阻止未授权转售并防范模型蒸馏。

按他的说法,Anthropic后来已经部署了更强的缓解措施,本来就计划撤下这段代码;相关PR已经合并,会在下一版发布中回滚删除。

这不是Anthropic官网公告,也不是正式道歉。它更像团队成员在舆论发酵后给出的工程解释:承认有这个实验,解释动机,并承诺很快删除。

这个回应没有完全平息争议。批评者最在意的并不是Anthropic是否有反滥用理由,而是这种实验为何没有写进发布说明,为何采用混淆和隐写方式,以及如果没有被逆向发现,它会不会继续存在。

社区争议:必要风控,还是越界监控

Reddit讨论里有两种声音。

批评者把它称为"间谍软件",认为Anthropic在用户不知情的情况下读取系统和代理信息,又刻意混淆代码、避开发布说明,破坏了开发者对本地工具的信任。还有人指出,真正想绕过检测的人可以改时区、改代理域名或改客户端逻辑,受影响更大的反而是普通代理用户。

支持或辩护一方则认为,Anthropic面对的账号转售和蒸馏压力是真实存在的,如果把检测方法公开写进文档,对手很容易绕过。也有人认为,Claude Code本来就会把提示词和项目上下文发给Anthropic服务器,把代理和时区检测称为"间谍软件"过于夸张。

两边并不是完全对立。 Anthropic需要反滥用,尤其在订阅制补贴、第三方代理和大规模蒸馏同时存在的情况下,完全不做识别并不现实。但Claude Code是一款高权限开发者工具,它的透明度要求也比普通网页产品更高。越是在本地运行、越能读写文件、越能执行命令,越不能靠用户看不见的提示词细节传递额外状态。

中国用户现在该注意什么

截至7月1日发稿时,Thariq提到的7月2日版本尚未发布。按Reddit逆向帖给出的版本范围,2.1.91到2.1.196之间的Claude Code版本都需要被谨慎看待,尤其是在启用代理、又给了仓库读写和shell执行权限的情况下。

短期最稳妥的做法,是等7月2日更新落地并确认相关代码删除后,再恢复高权限使用。 在此之前,如果必须使用Claude Code,至少应避免让它直接接触敏感仓库、生产密钥和可执行危险命令;已经深度依赖它的用户,也可以先把它放进容器、虚拟机或受限目录里跑。

降级未必是更好的办法。旧版本可能缺少后续安全修复,也可能影响Claude Code本身的功能。更稳妥的处理方式,是先降低权限、隔离运行环境,等新版发布后再核验。

中期影响会落到工具链信任上。 对于已经深度依赖Claude Code的开发者,迁移成本不只是换一个模型,还包括提示词、技能文件、MCP配置、自动化脚本、项目约定和日常工作流的重写。很多人未必会立刻离开Claude Code,但会开始准备Codex、Cursor、DeepSeek、Kimi、GLM或本地开源方案作为备用路线。

尤其对中国开发者来说,这次不是"被限制访问"那么简单,而是本地工具被发现带有针对中国时区和中国域名的隐藏标记。 信任恢复不会只靠一次删除代码完成。

闭源Agent的透明度问题被放大了

过去讨论AI工具安全,大家主要看模型会不会乱删文件、会不会执行危险命令、会不会泄露代码。Claude Code这次把另一个问题摆到台面上:Agent工具本身会不会在用户看不到的地方,替服务商做风控、分类和标记。

这和普通SaaS产品不同。编码Agent既是云端模型的客户端,也是本地开发环境的一部分。它夹在用户代码、系统权限和云端服务之间,一旦有隐藏通道,用户很难判断自己到底把什么状态交给了谁。

反滥用机制可以有,对抗蒸馏也可以做,但高权限本地工具需要更清楚的安全说明、审计机制和变更记录。越闭源,透明度欠账越不能靠"相信我们"来补。

Anthropic说这段代码会被删掉。代码删除以后,技术问题也许很快结束。但被提醒过一次的开发者,以后会更习惯问另一个问题:

我让一个AI Agent进了我的终端,它到底还在替谁工作?

相关推荐
热点推荐
2026高考成绩公布后,张桂梅式教育被批,再次证明:父母放任不管的代价,远比想象中更残酷......

2026高考成绩公布后,张桂梅式教育被批,再次证明:父母放任不管的代价,远比想象中更残酷......

LULU生活家
2026-06-27 18:18:30
头号帮手已被中国镇住!日高层暴怒,送中国5个字:绝不能容许!

头号帮手已被中国镇住!日高层暴怒,送中国5个字:绝不能容许!

青烟小先生
2026-07-01 16:50:32
如果没有七八年取消成分论,地主富农可能就没后代了

如果没有七八年取消成分论,地主富农可能就没后代了

匹夫来搞笑
2026-06-28 19:45:48
噩耗突宣!澳洲全体PR遭殃!这是逼华人入澳籍啊…

噩耗突宣!澳洲全体PR遭殃!这是逼华人入澳籍啊…

澳洲红领巾
2026-07-01 13:44:34
杨颖也没想到,黄晓明会因一句“客套话”,意外揭露两人离婚真相

杨颖也没想到,黄晓明会因一句“客套话”,意外揭露两人离婚真相

萧狡科普解说
2026-07-01 17:15:29
“机器人伴侣”订单破1万台,仅限成人购买!Pro版16.98万,Ultra男女版各99万、88万,公司CEO回应:量产、技术难度较高

“机器人伴侣”订单破1万台,仅限成人购买!Pro版16.98万,Ultra男女版各99万、88万,公司CEO回应:量产、技术难度较高

每日经济新闻
2026-06-30 21:08:04
太离谱!老詹成自由球员遭NBA哄抢,更引发全美体育联盟大混战!

太离谱!老詹成自由球员遭NBA哄抢,更引发全美体育联盟大混战!

林子说事
2026-07-01 10:59:47
英格兰VS民主刚果前瞻:英超内战!黑马或再造冷门 凯恩冲2大纪录

英格兰VS民主刚果前瞻:英超内战!黑马或再造冷门 凯恩冲2大纪录

我爱英超
2026-07-01 10:04:26
保护东北虎50年,中俄东北虎数量差距断崖,俄罗斯700只,中国呢

保护东北虎50年,中俄东北虎数量差距断崖,俄罗斯700只,中国呢

掠影后有感
2026-06-15 09:45:27
爆雷!日本航空出事了

爆雷!日本航空出事了

今日日本
2026-06-30 15:17:25
詹皇离队彻底崩盘!马刺火箭相继挖走核心轮换,湖人丢金换铁太惨

詹皇离队彻底崩盘!马刺火箭相继挖走核心轮换,湖人丢金换铁太惨

宝哥精彩赛事
2026-07-01 16:38:27
当欧洲的足球精英穿上非洲战袍:旧秩序的崩塌,从一场淘汰赛开始

当欧洲的足球精英穿上非洲战袍:旧秩序的崩塌,从一场淘汰赛开始

落夜足球
2026-06-30 23:12:40
阿媒:斯卡洛尼仍在劳塔罗和阿尔瓦雷斯之间犹豫

阿媒:斯卡洛尼仍在劳塔罗和阿尔瓦雷斯之间犹豫

懂球帝
2026-07-01 10:34:17
郑州市人民政府关于吴孝刚等13人职务任免的通知

郑州市人民政府关于吴孝刚等13人职务任免的通知

郑州新闻广播
2026-07-01 10:29:11
58年岑云端为毛主席伴舞,毛主席:你家和清朝那个大官什么关系?

58年岑云端为毛主席伴舞,毛主席:你家和清朝那个大官什么关系?

舆图看世界
2026-06-17 13:45:03
藏太深!杨紫幕后操盘手是身家上亿的娱乐大佬,难怪资源一路开挂

藏太深!杨紫幕后操盘手是身家上亿的娱乐大佬,难怪资源一路开挂

动物奇奇怪怪
2026-07-01 16:55:23
阿三又作妖!张家界玻璃栈道堵死!印度游客霸占通道不肯走

阿三又作妖!张家界玻璃栈道堵死!印度游客霸占通道不肯走

行者聊官
2026-06-28 17:29:16
世界杯超保真死亡之组!4队全死完了:3队进32强 短短2天都被淘汰

世界杯超保真死亡之组!4队全死完了:3队进32强 短短2天都被淘汰

风过乡
2026-07-01 07:11:43
25只股即将实施分红(名单)

25只股即将实施分红(名单)

证券时报
2026-07-01 10:05:03
一吃就“拉屎”的菜!清肠通便,便便一通到底,整个人都得劲了!

一吃就“拉屎”的菜!清肠通便,便便一通到底,整个人都得劲了!

房产衫哥
2026-07-01 15:35:38
2026-07-01 17:52:51

科技要闻

Claude Code被曝“植入木马”识别中国用户

头条要闻

"霉霉"婚礼庆典细节披露:千人出席禁用手机 封街3天

头条要闻

"霉霉"婚礼庆典细节披露:千人出席禁用手机 封街3天

体育要闻

卖球衣救子的门将,把德国扑出了世界杯

娱乐要闻

张凌赫:我连心疼你都隔着时差

财经要闻

新氧贷款:宣传年化15%,实际顶格24%

汽车要闻

半程收官 上汽集团销量突破200万辆

态度原创

游戏
健康
手机
艺术
时尚

XSS成主机游戏最大阻碍?知名制作人:也就手机性能

年糕汤圆别油炸,水煮清蒸更健康

手机要闻

消息称新一轮涨价AOVMHh都逃不掉,骁龙8E6旗舰预计起步6K+

艺术要闻

这5件2026届毕业油画作品,被中国美术学院美术馆收藏

Meiinpsn的穿衣风格,清新又叛逆

无障碍浏览 进入关怀版
×