Anthropic 的 Claude Code 被爆出暗中嵌入隱藏標記,用來標記與 147 個中國網域與 AI 實驗室相關的使用者,本週由開發者披露。
重點摘要
- 開發者發現,Claude Code 會把代理與時區細節編碼到系統提示中的隱形 Unicode 標記裡
- 該機制會先檢查設定是否命中 147 個中國網域與 11 個 AI 實驗室關鍵字,再變更提示文字中的日期格式
- Anthropic 表示,開發者與研究人員提出警告後,這段程式碼將在下個版本的 Claude Code 中被移除
隱藏的提示標記
一名開發者在還原已停用的遠端控制功能時,對 Claude Code 2.1.196 版進行逆向工程,發現 自 4 月以來就悄悄存在的混淆程式碼。
相關發現於 6 月 30 日以匿名帳號貼上 Reddit,之後又在 GitHub 上的技術文章中遭到確認。
分析師檢查了三個不同版本的 Claude Code,發現這套機制在各版本中的運作方式完全相同,而在數月的更新裡,版本說明從未提及此事。它只會在使用者把 Claude Code 指向自訂伺服器位址、而非 Anthropic 自家伺服器時啟動。一旦被觸發,工具會讀取系統時區,並檢查是否符合與中國大陸相關的兩個城市。
接著,它會把代理位址與一份包含 147 個條目的隱藏網域清單比對;這份清單經過混淆,避免在純文字搜尋中被輕易找到,其中包括百度、阿里巴巴、螞蟻集團與字節跳動,外加 11 個與中國 AI 實驗室相關的關鍵字。比對結果會被塞進一個看似普通的句子「Today's date is...」中:若為中國時區,日期中的連字號會改成斜線,而標準的撇號則會被三個幾乎一樣的字元之一所取代。
延伸閱讀:BitMine 逆勢出手,以 4,300 萬美元押注以太幣,策略遭質疑
開發者信任危機
機制公開後,開發者反應強烈,認為一個能存取原始碼與 shell 指令的工具,比起單純聊天介面,更有義務對使用者做出充分揭露。一則提交到專案程式庫的錯誤報告指出,這種做法等同於秘密指紋辨識,並質疑是否還有其他訊號被隱藏在使用者看不見的地方。留言者則指出,這種檢查只要改個主機名稱或系統時間就能輕易繞過。
這意味著,它更常標記的是使用合法企業代理的普通開發者,而非原本設計想要抓到的高階對手。Anthropic 此前曾指控包括 DeepSeek、月之暗面(Moonshot AI) 與 MiniMax 在內的中國實驗室,今年稍早利用超過 24,000 個詐騙帳號與 1,600 萬次互動,試圖複製 Claude 的推理與程式風格。
一名 Anthropic 工程師在社群媒體上承認 這段程式碼的存在,並表示會在翌日的版本中移除,不過公司尚未發布正式書面聲明。這起事件,為今年圍繞 Claude Code 的一連串安全質疑再添一筆。
Microsoft 的研究人員在 6 月披露其 GitHub 整合存在提示注入漏洞;Check Point 則在 2 月指出三項不同的弱點,而 Anthropic 自家的原始碼也在 4 月曾短暫外洩。





