Anthropic 的 Claude Code 被曝秘密嵌入隐藏标记,用于标记与 147 个中国域名和 AI 实验室相关联的用户,本周有开发者披露了这一点。
要点概述
- 开发者发现,Claude Code 将代理和时区细节编码进系统提示中的不可见 Unicode 标记里
- 该机制会在修改提示中的日期行之前,将配置与 147 个中国域名和 11 个 AI 实验室关键词进行比对
- Anthropic 表示,在开发者和研究人员发出警告后,这段代码将在下一个 Claude Code 版本中被移除
隐藏的提示标记
一名开发者在对 Claude Code 2.1.196 版本进行逆向工程、尝试恢复被禁用的远程控制功能时,发现 了自 4 月以来一直静默存在的混淆代码。
这一发现于 6 月 30 日以某个昵称首次出现在 Reddit 上,随后在 GitHub 上发布的技术分析中被证实。
分析人士检查了 Claude Code 的三个不同版本,发现该机制在每个版本中工作方式完全相同,而数月的更新中,发布说明里从未提及这一点。它只会在用户将 Claude Code 指向自定义服务器地址、而非 Anthropic 自身服务器时激活。一旦被触发,该工具会读取系统时区,并检查其是否匹配两个与中国大陆相关的城市。
随后,代理地址会与一个包含 147 条记录的隐藏域名列表进行比对,该列表经过混淆处理,以避免被纯文本搜索发现,其中包括百度、阿里巴巴、蚂蚁集团和字节跳动,以及 11 个与中国 AI 实验室相关的关键词。比对结果会被折叠进一句看似普通的句子 “Today's date is...”,其中,对于中国时区,日期中的连字符会被替换为斜杠,而标准撇号则会被三个几乎相同字符中的一个取代。
延伸阅读: BitMine 在抛售中逆势押注 4300 万美元以太坊,其策略现隐忧
开发者信任危机
这一机制曝光后,开发者群体反应强烈,认为一个拥有源代码和 shell 命令访问权限的工具,相比普通聊天窗口,更有义务进行充分披露。有人在项目代码仓库中提交 Bug 报告,称这是一种隐蔽指纹识别做法,并追问是否还存在其他对用户隐藏的信号。评论者还指出,这一检测可以通过简单修改主机名或系统时间来绕过。
这意味着,它主要会给使用合法企业代理的普通开发者打上标签,而非那些目标对象——更为老练的操作者。Anthropic 此前曾指控包括 DeepSeek、Moonshot AI 和 MiniMax 在内的中国实验室,今年早些时候通过超过 2.4 万个欺诈账户和 1600 余万次交互,复制 Claude 的推理和编程行为。
一名 Anthropic 工程师在社交媒体上承认 了这段代码的存在,并表示会在次日发布的版本中将其移除,不过公司尚未发表正式的书面声明。这一事件为今年围绕 Claude Code 的一系列安全质疑再添一笔。
微软 的研究人员在 6 月披露 了其 GitHub 集成中的提示注入漏洞,Check Point 则在 2 月标记 了三个不同的安全漏洞,而 Anthropic 自身的源代码也曾在 4 月短暂泄露。





