Claude偷改了你一行代码

📅 2026/7/7 2:37:00
Claude偷改了你一行代码
摘要2026 年 6 月底Reddit 开发者逆向 Claude Code 客户端发现 Anthropic 用隐写术在中国用户请求里嵌入隐藏标记——读系统时区、比对 147 个加密域名、在日期字符串里替换 Unicode 字符。这段代码静默运行三个月从未披露。三天后阿里宣布全员禁用 Claude。这不是封号事件是 AI 编程时代的信任崩塌。一、技术还原它做了什么这事得从一个 Reddit 帖子说起。6 月 30 日用户 LegitMichel777 在 r/ClaudeAI 发帖说他发现 Claude Code v2.1.196 在检测到用户开代理后会禁用某些远程功能。为了把功能找回来他逆向拆了客户端——结果翻出来的东西比功能禁用严重得多。安全研究员 Adnane Khan 随后在 GitHub 上发布了完整逆向分析覆盖 v2.1.193 至 v2.1.196。两人交叉验证还原出 Anthropic 用于识别中国用户的三招技术组合拳。招数 1读你的本地时区不看你 IP。IP 能被代理绕过这是常识。它直接读 macOS/Linux 的系统时区lettimezonee0t();letcnTZtimezoneAsia/Shanghai||timezoneAsia/Urumqi;来源paicoding.com 逆向分析2026.7.2绝大多数中国开发者的系统时区就是这两个之一。命中任何一个cnTZ标记为true。注意这一步在用户完全不感知的情况下完成——没有任何弹窗没有任何权限请求Claude Code 打开就开始读。招数 2比对 147 个加密域名黑名单Claude Code 读取环境变量ANTHROPIC_BASE_URL——国内走中转站的用户必须设这个。提取域名后跟一份内置黑名单做比对。黑名单不是明文。它是 Base64 编码后再做 XOR 异或密钥 91varKup91;functionGla(encoded){letbytesBuffer.from(encoded,base64);letout;for(letbyteofbytes)outString.fromCharCode(byte^Kup);returnout.split(,);}来源paicoding.com 逆向分析2026.7.2解码后这份名单的内容浮出水面。关键词列表deepseek, moonshot, minimax, zhipu, bigmodel, baichuan, stepfun, 01ai, dashscope, volces。域名列表baidu.com, alibaba-inc.com, alipay.com, antgroup-inc.cn, bytedance.net, kuaishou.com, xiaohongshu.com, jd.com, bilibili.co, iflytek.com, stepfun-inc.com, moonshot.ai以及一批中转站域名。完整名单 147 条来源腾讯新闻 7.1。美团、网易、百度、携程、小红书、阿里巴巴、蚂蚁、字节跳动、京东、B 站、月之暗面、MiniMax、阶跃星辰……几乎覆盖所有国内大厂和 AI 公司。XOR-91 加 Base64 说不上真正的加密安全研究者几分钟就能破解。但它足以挡住普通用户。Anthropic 显然不希望任何人轻易看到这份名单。招数 3隐写术——在日期字符串里藏信号这是整个机制最精巧、也最让人不舒服的部分。前两步的判定结果需要传给 Anthropic 服务器。但它不另开字段不做额外网络请求。它改的是系统提示词里一行看似完全无害的日期字符串Todays date is 2026-06-30.改两个地方来源Adnane Khan GitHub 逆向分析2026.7.1paicoding.com 2026.7.2第一处单引号。Todays里的那个撇号根据检测结果替换为四种 Unicode 字符之一knownlabKw字符Unicode含义falsefalse’U0027正常用户truefalse’U2019已知域名命中falsetrueʼU02BCAI 实验室关键词命中truetrueʹU02B9双重命中这四个字符在屏幕上几乎完全一样。人眼根本分不出U0027和U2019的差别。第二处日期分隔符。如果时区检测命中中国连字符-全部替换为斜杠/正常 Todays date is 2026-06-30. 标记后Todayʼs date is 2026/06/30.来源paicoding.com 逆向分析2026.7.2两处修改合在一起编码了 3 比特信息。八种组合精确到能区分用百度内网代理的员工和用 DeepSeek 中转的独立开发者。Anthropic 服务器端机器解析这 3 比特就能立刻判断这个请求来自中国用户。这是典型的格式隐写format-based steganography。跟密码学的区别是密码学把信息变乱码人人都知道有东西被加密了。隐写术连信号的存在本身都藏起来。你看到的是一句正常的英文日期——没有任何异常。这段代码从 v2.1.912026 年 4 月 2 日发布开始存在一直运行到至少 v2.1.196。三个月一次更新日志都没提来源腾讯新闻 7.1。二、信任危机为什么连国外开发者也炸了一个常见的误读是这只是 Anthropic 封中国用户的手段。但如果只是封号不需要隐写术。Reddit 原帖冲到上千点赞、数百评论。X 平台相关帖文近 400 万阅读、约 3000 次转发来源环球时报 / 知乎 7.1。逆向开发者用的词很重——“间谍软件spyware”。国内外的反应出奇一致不是愤怒是后背发凉。因为问题不在于针对谁。“今天是中国明天会不会是其他国家”——这是 Reddit 高赞评论的原话来源知乎 7.1。如果你读过 Anthropic 的安全白皮书关键词永远是透明和可信。它的核心价值观是负责任的 AI。结果呢检测逻辑用 XOR-91 加密成乱码信号用 Unicode 同形字符藏在日期字符串里。这不是技术问题这是姿态问题——一边对全世界说我们是透明的一边把后门藏在肉眼不可见的地方。Anthropic Claude Code 产品负责人 Thariq Shihipar 在 7 月 1 日的回应堪称公关灾难这是团队今年 3 月上线的一项实验。“实验在你拥有用户文件系统权限、Shell 执行权、Git 操作权的产品里静默运行了三个月不告知、不披露叫实验”来源TechWeb 7.1Reddit 上有人追问如果不是因为公众批评这段代码会一直存在下去吗Shihipar 没有再回应来源环球时报 7.2。信任这个东西建起来要三年塌掉只要一秒。Anthropic 的工程文档里自己都列举过 Claude Code 的误操作案例删除远程 git 分支、上传 GitHub token、对生产数据库执行迁移。这些是公开记录的事故。现在你告诉用户其实还有一个未公开的、故意隐藏的机制在静默运行。你怎么让开发者相信剩下的代码里没有别的东西三、阿里禁用 Claude撕开的产业链隐写术曝光的第三天7 月 3 日阿里内部下发通知Claude Code 列入高风险软件名单7 月 10 日起全员卸载来源观察者网 7.3 / 新浪财经 7.3。波及范围不是 Claude Code 一款产品。Sonnet、Opus、Fable 全系列模型连同 Claude Code Agent 产品全部在禁。阿里推荐自研 Qoder 作为替代方案——这是阿里 2025 年 8 月上线的智能体编程平台截至 2026 年 5 月全球超 500 万用户来源新浪财经 7.3。这件事不是孤立的。6 月 25 日Anthropic 向美国参议员和白宫官员提交信函指控与阿里千问实验室有关的操作者建立约 2.5 万个虚假账号通过 2880 万次交互蒸馏 Claude 模型的能力。Anthropic 称其为迄今为止规模最大的模型蒸馏攻击来源腾讯新闻 6.25。阿里方面未公开回应相关说法目前仍是单方面指控。把两条线串起来看Anthropic 说中国公司在偷它的模型隐写术事件揭开了另一面——Anthropic 自己也在用户不知情的情况下把监视代码藏进用户本地客户端。这不是谁对谁错的问题。这是 AI 产业链正在被地缘政治撕裂的现实。产业端已经做出反应。阿里禁用之后国产 AI 编程工具的竞争陡然加速Qoder阿里端到端自主开发全流程CodeBuddy腾讯腾讯云 AI 编程助手DeepSeek Coder V2开源、本地部署、不依赖外部 APIQwen 3-Coder阿里通义千问编程模型Trae字节跳动字节内部已在使用GLM-5.2、Kimi 2.7各有进展来源新浪财经 7.3 / aitoollab.cn 7.6天使投资人郭涛的判断很直接“这可能是国内企业掀起海外 AI 工具风控整改浪潮的开端。”来源新浪财经 7.3企业选 AI 工具的标准正在变。从哪个好用变成哪个不会偷偷藏后门。代码安全、数据合规、软件透明度——不再是锦上添花成了硬指标。四、AI 地缘政治的新战场把这件事放在更大的坐标系里看它标记了一个拐点。过去AI 工具的地缘政治手段集中在声明层面——“不支持某区域访问”、“遵守出口管制法规”。这至少是透明的你被挡了你知道你被挡了。隐写术事件把手段升级到了技术围堵层。加密黑名单、Unicode 同形字符替换、时区机器信号检测——这些不是执法行为是情报收集手段。Anthropic 在用户不知情的情况下在本地客户端执行了一个针对特定国家用户的秘密分类程序并把分类结果编码进正常通信流。这越过了一条线。不是国别歧视那条线。是对开发者信任这个底层契约的践踏。任何一个在终端里敲claude启动编程助手的开发者都没有签过一份同意书说我允许你读取我的系统时区、分析我的代理域名、在我的通信里嵌入隐藏标记。Forrester 副总裁戴鲲说了一句很关键的话“这会加速国产 AI Coding 工具在大型企业中的渗透并持续推动中国乃至泛亚太市场形成更加独立的模型与开发工具生态。”来源新浪财经 7.3这不止是中国市场的问题。如果一家 AI 公司可以在编程工具里藏隐写术它可以在任何产品里做同样的事。AI 编程工具不是聊天机器人——它有文件系统权限、能执行 Shell 命令、能读写 Git 仓库。你怎么审计一个拥有你电脑最高权限的程序在背后做了什么一个值得所有开发者问自己的问题当你每天在终端里对 AI 编程工具说帮我改这段代码的时候——你怎么确认它没在干别的事延伸阅读freeai.help 7.1当 Claude Code 偷偷给你画标记——完整技术逆向分析涵盖 XOR 解码、Unicode 替换、时区检测三层的代码级还原paicoding.com 7.2Claude Code 隐写术源码级拆解——从 npm 包提取 JavaScript 代码逐函数还原完整调用链腾讯新闻 7.1Claude Code 封号原因曝光——Reddit 逆向发现始末含 Anthropic 产品负责人回应观察者网 7.3阿里反向禁用 Claude——内部通知原文、Qoder 替代方案细节新浪财经 7.3阿里禁用 Claude Code 背后的产业逻辑——分析师观点、国产替代格局分析作者唐悦玮 公众号同名从后端出发用 AI 拓展到全栈的工程师。