Anthropic 的 Claude Code 被揭發暗中嵌入隱藏標記,用來標記與 147 個中國網域及 AI 實驗室相關聯的用戶,消息本週由開發者披露。
重點摘要
- 開發者發現,Claude Code 會把代理伺服器和時區細節編碼成隱形的 Unicode 標記,藏在系統提示詞中
- 該機制會先將設定與 147 個中國網域及 11 個 AI 實驗室關鍵字比對,再修改提示詞中的日期行
- 開發者與研究人員提出警示後,Anthropic 表示將在下一版 Claude Code 中移除這段程式碼
隱藏的提示詞標記
一名開發者在還原已停用的遠端控制功能、對 Claude Code 2.1.196 版本進行逆向工程時,發現 自四月以來就悄悄存在的混淆程式碼。
這項發現於 6 月 30 日以暱稱身分首次出現在 Reddit,隨後在 GitHub 上發表的技術文章中遭到證實。
分析人士檢視了三個不同版本的 Claude Code,發現該機制在每一版中的運作方式完全相同,但幾個月來的版本紀錄中都未提及。它只會在使用者將 Claude Code 指向自訂伺服器位址、而非 Anthropic 自家伺服器時啟動。一旦被觸發,工具就會讀取系統時區,檢查是否吻合與中國大陸相關的兩個城市。
接著,代理地址會與一份隱藏的 147 個網域清單比對。這份清單經過混淆處理,避免被純文字搜尋直接找到,當中包括百度、阿里巴巴、螞蟻集團和字節跳動,以及 11 個與中國 AI 實驗室相關的關鍵字。比對結果會被折疊進一條看似普通的句子「Today's date is...」中:若為中國時區,句中的日期分隔符會由連字號改為斜線,而標準的撇號則會被三個幾乎相同的字元之一取代。
延伸閱讀:BitMine 在拋售潮中押下 4,300 萬美元以太幣,策略反其道而行
開發者信任危機
機制曝光後,開發者反應強烈,認為一個能存取原始碼與 shell 指令的工具,比起一般聊天視窗,更有義務對用戶充分揭露行為。有開發者在專案的程式碼儲存庫提交錯誤回報,批評這種做法屬於秘密指紋辨識,並質疑是否還有其他信號被隱藏未告知使用者。留言者也指出,這個檢查其實只要改一下主機名稱或系統時間就能輕易繞過。
這也意味著,它多半是在標記使用合法企業代理的普通開發者,而非原本想要鎖定的高階對手。Anthropic 先前曾指控包括 DeepSeek、Moonshot AI 和 MiniMax 在內的中國實驗室,今年稍早利用超過 24,000 個欺詐帳號與逾 1,600 萬次互動,試圖複製 Claude 的推理與寫程式行為。
一名 Anthropic 工程師在社群媒體上承認 這段程式碼的存在,並表示會在隔日發布的版本中移除,但公司尚未發出正式書面聲明。這起事件,也讓今年圍繞 Claude Code 的一連串安全質疑再添一筆。
Microsoft 的研究人員於 6 月披露其 GitHub 整合存在提示詞注入漏洞,Check Point 則在 2 月指出三個不同的安全弱點,而 Anthropic 本身的原始碼也在 4 月短暫外洩。





