#Claude偷偷给中国用户打水印#
最近,Anthropic旗下的AI编程助手Claude Code被安全研究人员发现,它会在后台通过极其隐蔽的字符替换,悄悄给使用特定代理服务器的中国用户打上“隐形水印”。
“打水印”的触发条件与检测逻辑
这个机制并不会影响所有用户,它具有明确的“代理触发(proxy-gated)”特性。只有当用户主动设置了非官方API端点(例如配置了ANTHROPIC_BASE_URL环境变量,将请求转发到第三方代理或中转站)时,该逻辑才会启动。一旦触发,Claude Code会在本地执行两项静默检查:
域名黑名单比对:程序会提取代理服务器的域名,与内置的一个包含147个条目的列表进行匹配。该列表经过了XOR-91编码混淆,解码后涵盖了大量中国科技大厂(如百度、阿里巴巴、字节跳动等)、国内AI实验室(如月之暗面、MiniMax等)以及常见的API中转站域名。
系统时区校验:程序会读取本地计算机的时区设置,判断是否为北京时间(Asia/Shanghai)或乌鲁木齐时间(Asia/Urumqi)。
“隐形水印”的编码方式
检测完成后,程序并不会发送额外的网络数据包,而是采用“搭便车”的方式,将标记结果隐藏在每次请求都会发送给服务器的系统提示词中。报告指出,这种机制被称为“隐蔽信道(covert channel)”。具体表现为对提示词中Today's date is...这一行信息的微小修改:
日期格式变化:若命中相关时区,日期格式会从2026-06-30变为2026/06/30。
特殊字符替换:程序会使用四种在视觉上几乎无法分辨的Unicode字符来替换Today's中的撇号,以此向服务端传递不同的状态信号。
官方回应与事件现状
该事件最早由安全研究人员Adnane Khan等人通过逆向工程(涉及v2.1.193至v2.1.196等版本)在GitHub和Reddit上披露。据推测,Anthropic此举可能是为了防止其模型输出被大规模用于模型蒸馏或未经授权的转售。
截至2026年7月1日,Anthropic官方尚未就此事件发布正式的公开声明或文档说明。不过,有网络消息指出,一名Anthropic技术人员在社交媒体上承认了该段代码的存在,并表示会在后续版本中将其移除,但这仅限于技术层面的确认,并未解释最初的部署动机。 http://t.cn/AXoAsP1M
