AIGC·非著名程序员
26-07-01 06:50 微博认证:微博新知博主 科技博主 头条文章作者 微博原创视频博主

开发者爆料:Anthropic 在 Claude Code 里藏了隐蔽检测代码。

最近有个开发者在逆向 Claude Code 的时候,发现了一件挺恶心的事情。

事情的起因很简单。这位开发者平时用代理来混合调用 GPT 和 Claude 的模型,做一些精细化的上下文管理。结果 Anthropic 在最新版本里加了个限制,一旦检测到你开了代理,就把远程控制功能给禁了。他的工作流直接被打断了,于是他决定把代码逆向出来,自己把限制去掉。

没想到,在逆向的过程中,他发现了一段从今年 4 月 2 日就悄悄加进去的检测逻辑,藏了整整三个月,发布说明里一个字都没提。

这段代码干了什么呢?它会检测两件事:第一,你的系统时区是不是设置在中国(比如 Asia/Shanghai);第二,你的代理 URL 是不是中国域名,或者跟中国 AI 实验室有关联。

但真正让人意外的是它传递信息的方式。这些检测结果不会弹窗告诉你,也不会写进日志,而是通过修改系统提示词里的日期格式和撇号字符来“偷偷传话”。比如,如果判定你在中国时区,日期格式会从“2026-06-30”变成“2026/06/30”。代理的检测结果则通过不同的 Unicode 撇号字符来编码,这些字符肉眼根本分辨不出来,但对 Anthropic 来说,每个变体都是一条清晰的信号。

而且这段代码还用了 XOR 混淆,就是为了防止别人用常规手段扫描出来。

发现者认为,Anthropic 这么做的目的是检测 Claude 在中国的未授权转售行为,以及中国 AI 实验室可能在做的模型蒸馏。他表示理解这个出发点,但他觉得在用户完全不知情的情况下秘密传输系统信息,是对用户信任的根本性违背。他还提出了一个更深层的担忧:开发者给 Claude Code 授予了完整的文件系统权限和 shell 访问权限,如果 Anthropic 愿意偷偷做时区检查,那谁能保证它不会利用这些权限做更多的事?

社区对此的看法很分裂。有人觉得这就是常规遥测,你电脑上一堆软件都在收集类似信息,没什么大惊小怪的。但批评者指出,问题的关键在于方式:如果目的正当,为什么不在发布说明里写清楚?为什么要用隐写术藏在提示词里?为什么要混淆代码防止被发现?这一系列操作加在一起,很难让人觉得这只是“常规操作”。

发现者也坦承,这种检测对有技术能力的人来说很容易绕过,所以它到底能不能真正防住转售和蒸馏,其实很存疑。但它对普通合法用户隐私的侵犯,却是实实在在的。

最后他呼吁 Anthropic 提高透明度:IP 保护可以做,但不应该以在每位开发者系统上嵌入隐蔽监控代码为代价。

#科技先锋官##How I AI#

发布于 山东