Anthropic 的 Claude Code 被揭露秘密嵌入隱藏標記,用來標記與 147 個中國網域和 AI 實驗室相關聯的使用者,相關情況於本週由開發者披露。
重點摘要
- 開發者發現,Claude Code 將代理與時區細節編碼為隱形的 Unicode 標記,藏在系統提示詞中
- 此機制會先將設定與 147 個中國網域與 11 個 AI 實驗室關鍵字比對,之後再悄悄修改提示中的日期行
- Anthropic 表示,在開發者與研究人員提出警告後,這段程式碼將在下個版本的 Claude Code 中移除
隱藏的提示詞標記
一名開發者在對 Claude Code 2.1.196 版進行逆向工程、嘗試恢復一個被停用的遠端控制功能時,發現 從 4 月起就悄悄存在的混淆程式碼。
這項發現於 6 月 30 日在 Reddit 上以匿名帳號曝光,隨後在 GitHub 上發布的技術文章中遭到證實。
分析人士檢查了 Claude Code 的三個不同版本,發現這套機制在每一版中運作方式都完全相同,儘管歷經數月更新,卻從未在更新記錄中被提及。它只會在使用者將 Claude Code 指向自訂伺服器位址、而非 Anthropic 自家伺服器時啟動。一旦被觸發,工具會讀取系統時區,檢查是否與兩個與中國大陸相關的城市相符。
接著,它會將代理伺服器位址與一份包含 147 個條目的隱藏網域清單比對。這份清單經過混淆處理,以避免在純文字搜尋中被輕易找到,內容包括百度、阿里巴巴、螞蟻集團和字節跳動,以及 11 個與中國 AI 實驗室相關的關鍵字。比對結果會被悄悄折疊進看似普通的一句話「Today's date is...」中:若為中國時區,日期中的連字號會改成斜線,而標準單引號則會被三種幾乎相同的字元之一所取代。
延伸閱讀: BitMine 逆勢操作:砸 4,300 萬美元重押以太幣,策略開始動搖
開發者信任受損
機制曝光後,開發者紛紛表示震驚,認為一個能存取原始碼與 shell 指令的工具,應該比單純的聊天視窗承擔更高程度的揭露義務。在專案程式碼儲存庫中,一則 錯誤回報 將這種作法稱為祕密指紋辨識,並追問是否還有其他信號被隱藏於使用者視線之外。評論者則指出,這項檢查其實只要改一下主機名稱或系統時間就可輕易躲過。
這意味著,它多半標記到的是使用合法企業代理的一般開發者,而非其原本鎖定的高階對手。Anthropic 先前曾指控包括 DeepSeek、Moonshot AI 和 MiniMax 在內的中國實驗室,今年稍早利用超過 2.4 萬個詐騙帳號與逾 1,600 萬次互動,試圖複製 Claude 的推理與程式設計行為。
一名 Anthropic 工程師在社群媒體上承認 這段程式碼的存在,並表示它將在翌日的版本中移除,不過公司尚未發出正式書面聲明。這起事件也讓今年圍繞 Claude Code 的一連串安全疑慮再添一樁。
Microsoft 的研究人員在 6 月披露 其 GitHub 整合中的提示注入漏洞,Check Point 則在 2 月揭示 三項不同的安全弱點,而 Anthropic 自家的原始碼也在 4 月曾短暫外洩。





