网易首页 > 网易科技 > 网易科技 > 正文

Claude Code被曝“植入木马”识别中国用户,Anthropic称明天删除

0
分享至

出品 | 网易智能

作者 | 小爪

编辑 | 王凤枝

Claude Code被曝在本地命令行里塞进一段隐藏检测代码:只要你开着代理,它就会判断你是不是中国用户。

按Reddit用户LegitMichel777的逆向结果,从4月2日发布的2.1.91版本起,Claude Code会检查系统时区是否为Asia/Shanghai或Asia/Urumqi,也会检查代理URL是否命中中国域名、白名单域名,或中国AI实验室相关域名。

Claude Code团队成员Thariq Shihipar随后在X上回应称,这是3月启动的一项反转售、反蒸馏实验;相关PR已合并,会在下一版中回滚删除。

但在开发者社区中,已经有人把Claude Code骂成"间谍软件"。它跑在本地终端里,能读写文件、执行shell命令,很多人还会让它进入真实代码库。这样一个工具,如果在用户不知情的情况下给请求打暗标,争议就不只是 “Anthropic做了风控” 这么简单。

这件事也不是突然冒出来的单点爆料。6月27日至今,小红书上已经陆续出现 “Claude今天大面积封号”的帖子。这说明,在逆向帖刷屏前,中国用户圈里已经有明显的封号体感。

社区发现了什么

按这名用户的逆向结果,Claude Code没有通过一个显眼的遥测字段上报状态,而是改动系统提示词中日期和标点的写法。

识别到中国时区时,日期分隔符会从短横线变成斜杠;代理域名命中不同类别时,"Today's date is"里的撇号会被替换成外观很接近的Unicode字符。普通用户几乎不会注意到这些差异,但服务端可以据此识别请求状态。

帖子列出的技术细节还包括:相关逻辑从2.1.91版本开始存在;部分内容经过异或混淆,密钥为91;函数名经过压缩,普通字符串扫描不容易直接发现;2.1.91的发布说明没有提到这项变化。

LegitMichel777在帖子里说,他原本并不是冲着这段代码去的。他是在处理Claude Code 2.1.196启用代理时禁用远程控制的问题,想逆向修掉这个限制,结果挖出了隐藏检测逻辑。

Reddit帖把这套机制与两类风险联系在一起:未授权账号转售,以及中国AI实验室可能进行的模型蒸馏。后者也是Anthropic过去几个月反复强调的风险。

蒸馏压力是真实背景

今年2月,Anthropic发布文章称,公司识别出DeepSeek、Moonshot和MiniMax等实验室的大规模蒸馏活动。这些实验室通过约2.4万个虚假账号,与Claude发生超过1600万次交互,违反服务条款和地区访问限制。

Anthropic在那篇文章里说,这类活动会针对Claude的智能体推理、工具使用、编码等差异化能力,并通过代理服务、虚假账号和协调流量绕过限制。

6月下旬,这条背景又加重了一层。据Business Insider、Tom's Hardware等媒体报道,Anthropic在致美国参议员的信中指控,阿里巴巴相关操作者在4月至6月期间通过近2.5万个虚假账号,与Claude进行约2880万次交互。Anthropic将其称为已知最大规模的Claude蒸馏攻击之一。 阿里方面尚未直接回应。

放在这个背景下,Anthropic想识别代理、转售和蒸馏流量,并不意外。前沿模型的输出本身就是高价值资产,Claude Code又是最容易被用于大规模编码和智能体任务的入口之一。

争议集中在实现方式上。

很多软件都会做风控、反滥用和遥测。如果Anthropic在文档里明确说明:Claude Code会在代理环境下收集必要的反滥用信号,用户可以查看收集项、用途和保留方式,争议会小很多。但这次被曝光的是另一种做法:本地命令行工具读取时区和代理环境,把结果编码进系统提示词,再发到云端。

对开发者来说,这越过了普通风控和高权限工具之间的信任边界。社区反应之所以激烈,不只是因为Anthropic可能知道用户在哪个时区。更敏感的是:系统提示词既然可以被用于隐蔽传递风控标记,开发者就会追问,它将来是否还可能被用于改变模型行为、区分用户体验,或传递更敏感的状态。

目前没有证据显示Claude Code借这段机制窃取仓库内容,也没有证据显示它已经用这些标记操控模型输出。但"不透明隐写"本身已经足够伤害一款高权限本地工具的可信度。

Anthropic团队成员怎么回应

6月30日,Claude Code团队成员Thariq Shihipar在X上回应称,这是3月启动的一项实验,目的是阻止未授权转售并防范模型蒸馏。

按他的说法,Anthropic后来已经部署了更强的缓解措施,本来就计划撤下这段代码;相关PR已经合并,会在下一版发布中回滚删除。

这不是Anthropic官网公告,也不是正式道歉。它更像团队成员在舆论发酵后给出的工程解释:承认有这个实验,解释动机,并承诺很快删除。

这个回应没有完全平息争议。批评者最在意的并不是Anthropic是否有反滥用理由,而是这种实验为何没有写进发布说明,为何采用混淆和隐写方式,以及如果没有被逆向发现,它会不会继续存在。

社区争议:必要风控,还是越界监控

Reddit讨论里有两种声音。

批评者把它称为"间谍软件",认为Anthropic在用户不知情的情况下读取系统和代理信息,又刻意混淆代码、避开发布说明,破坏了开发者对本地工具的信任。还有人指出,真正想绕过检测的人可以改时区、改代理域名或改客户端逻辑,受影响更大的反而是普通代理用户。

支持或辩护一方则认为,Anthropic面对的账号转售和蒸馏压力是真实存在的,如果把检测方法公开写进文档,对手很容易绕过。也有人认为,Claude Code本来就会把提示词和项目上下文发给Anthropic服务器,把代理和时区检测称为"间谍软件"过于夸张。

两边并不是完全对立。 Anthropic需要反滥用,尤其在订阅制补贴、第三方代理和大规模蒸馏同时存在的情况下,完全不做识别并不现实。但Claude Code是一款高权限开发者工具,它的透明度要求也比普通网页产品更高。越是在本地运行、越能读写文件、越能执行命令,越不能靠用户看不见的提示词细节传递额外状态。

中国用户现在该注意什么

截至7月1日发稿时,Thariq提到的7月2日版本尚未发布。按Reddit逆向帖给出的版本范围,2.1.91到2.1.196之间的Claude Code版本都需要被谨慎看待,尤其是在启用代理、又给了仓库读写和shell执行权限的情况下。

短期最稳妥的做法,是等7月2日更新落地并确认相关代码删除后,再恢复高权限使用。 在此之前,如果必须使用Claude Code,至少应避免让它直接接触敏感仓库、生产密钥和可执行危险命令;已经深度依赖它的用户,也可以先把它放进容器、虚拟机或受限目录里跑。

降级未必是更好的办法。旧版本可能缺少后续安全修复,也可能影响Claude Code本身的功能。更稳妥的处理方式,是先降低权限、隔离运行环境,等新版发布后再核验。

中期影响会落到工具链信任上。 对于已经深度依赖Claude Code的开发者,迁移成本不只是换一个模型,还包括提示词、技能文件、MCP配置、自动化脚本、项目约定和日常工作流的重写。很多人未必会立刻离开Claude Code,但会开始准备Codex、Cursor、DeepSeek、Kimi、GLM或本地开源方案作为备用路线。

尤其对中国开发者来说,这次不是"被限制访问"那么简单,而是本地工具被发现带有针对中国时区和中国域名的隐藏标记。 信任恢复不会只靠一次删除代码完成。

闭源Agent的透明度问题被放大了

过去讨论AI工具安全,大家主要看模型会不会乱删文件、会不会执行危险命令、会不会泄露代码。Claude Code这次把另一个问题摆到台面上:Agent工具本身会不会在用户看不到的地方,替服务商做风控、分类和标记。

这和普通SaaS产品不同。编码Agent既是云端模型的客户端,也是本地开发环境的一部分。它夹在用户代码、系统权限和云端服务之间,一旦有隐藏通道,用户很难判断自己到底把什么状态交给了谁。

反滥用机制可以有,对抗蒸馏也可以做,但高权限本地工具需要更清楚的安全说明、审计机制和变更记录。越闭源,透明度欠账越不能靠"相信我们"来补。

Anthropic说这段代码会被删掉。代码删除以后,技术问题也许很快结束。但被提醒过一次的开发者,以后会更习惯问另一个问题:

我让一个AI Agent进了我的终端,它到底还在替谁工作?

相关推荐
热点推荐
我第一个情人隔壁公司的,她比我大八岁,那时我二十五,她三十三

我第一个情人隔壁公司的,她比我大八岁,那时我二十五,她三十三

千秋文化
2026-07-01 20:28:30
浙江义乌一9.42平方米商铺拍出1700万元,折合每平方米180多万元,商贸城:商铺位置好,人流量大

浙江义乌一9.42平方米商铺拍出1700万元,折合每平方米180多万元,商贸城:商铺位置好,人流量大

新浪财经
2026-07-01 00:36:29
当伊朗革命卫队走进历史:第二个沙特诞生

当伊朗革命卫队走进历史:第二个沙特诞生

民间胡扯老哥
2026-07-01 07:32:21
刚恢复供电又炸了,普京豪言犹在墙上,如今黑海重镇却快撑不住了

刚恢复供电又炸了,普京豪言犹在墙上,如今黑海重镇却快撑不住了

一路荒凉如歌a
2026-07-02 02:04:31
史上首次!德国遭遇“惨痛失败”

史上首次!德国遭遇“惨痛失败”

观察者网
2026-06-04 13:52:04
父亲正国级、母亲副国级!顶级高干独女,晚年低头“化缘”扶贫

父亲正国级、母亲副国级!顶级高干独女,晚年低头“化缘”扶贫

蹲坑看世界
2026-06-30 08:45:55
你们都是什么时候对男女之事开窍的?网友:果然还是拦不住有心人

你们都是什么时候对男女之事开窍的?网友:果然还是拦不住有心人

夜深爱杂谈
2026-02-21 21:37:02
即将下台的武契奇突然宣布:塞尔维亚将走西方路线

即将下台的武契奇突然宣布:塞尔维亚将走西方路线

离离言几许
2026-07-02 02:15:59
吃他汀不能碰燕麦?医生苦劝:不只是燕麦,这5物能不吃就不吃!

吃他汀不能碰燕麦?医生苦劝:不只是燕麦,这5物能不吃就不吃!

芹姐说生活
2026-07-01 16:24:49
221名女囚漂洋过海,下船时全员怀孕,这批女囚竟生出了一个国家

221名女囚漂洋过海,下船时全员怀孕,这批女囚竟生出了一个国家

抽象派大师
2026-07-01 01:39:46
500亿交了昂贵学费!京东的外卖败局,给所有企业敲了警钟?

500亿交了昂贵学费!京东的外卖败局,给所有企业敲了警钟?

新浪财经
2026-06-30 13:36:58
测量319位中国女性外阴,他们发表全球首例研究

测量319位中国女性外阴,他们发表全球首例研究

医学界妇产科频道
2026-06-27 19:51:42
南水北调已经通了,中国为何又挖一条大隧道?真正缺口还没补上

南水北调已经通了,中国为何又挖一条大隧道?真正缺口还没补上

关系新篇章
2026-06-30 22:37:19
强烈建议,全国高校都向这所大学看齐!

强烈建议,全国高校都向这所大学看齐!

网易上流
2026-07-01 14:40:54
韩国1.3万亿美元战略落地,聚焦设备结构性机遇

韩国1.3万亿美元战略落地,聚焦设备结构性机遇

金融界
2026-07-01 08:48:43
胡梅尔斯:纳格尔斯曼必须下课,我落选上届欧洲杯并不公平

胡梅尔斯:纳格尔斯曼必须下课,我落选上届欧洲杯并不公平

懂球帝
2026-07-01 17:12:26
潘石屹再次预判楼市!如果没看错,未来3年楼市或出“三大”变化

潘石屹再次预判楼市!如果没看错,未来3年楼市或出“三大”变化

巢客HOME
2026-06-30 04:30:03
紧急!2026社保稽查大爆发!大量企业被罚,再不自查晚了

紧急!2026社保稽查大爆发!大量企业被罚,再不自查晚了

职场资深秘书
2026-07-01 17:03:49
我今年56岁发现了一个怪现象:50岁以后的中年女人,能活到90岁的,基本上在50岁的时候,就不再做这件事了

我今年56岁发现了一个怪现象:50岁以后的中年女人,能活到90岁的,基本上在50岁的时候,就不再做这件事了

心理观察局
2026-07-01 07:58:17
3.2亿灵活就业,意味着什么?

3.2亿灵活就业,意味着什么?

点评校尉
2026-06-14 21:13:41
2026-07-02 03:43:00

科技要闻

Claude Code被曝“植入木马”识别中国用户

头条要闻

凯恩梅开二度 英格兰2-1逆转民主刚果将战墨西哥

头条要闻

凯恩梅开二度 英格兰2-1逆转民主刚果将战墨西哥

体育要闻

卖球衣救子的门将,把德国扑出了世界杯

娱乐要闻

77岁牛群公证裸捐全部财产,清贫独居坚持月捐

财经要闻

新氧贷款:宣传年化15%,实际顶格24%

汽车要闻

同比暴涨188.4% 方程豹6月热销35607台

态度原创

本地
数码
手机
家居
公开课

本地新闻

强烈建议,全国高校都向这所大学看齐!

数码要闻

华硕a豆高速固态U盘上架:280-959元

手机要闻

TCL华星宣布独供REDMI K90至尊版屏幕:165Hz高刷 40+款游戏原生适配

家居要闻

传奇筑 日常诗

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版
×