Đã được xác nhận: Claude Code lén kiểm tra người dùng, múi giờ và phòng thí nghiệm AI Trung Quốc đều là từ khóa

marsbitPublished on 2026-07-01Last updated on 2026-07-01

Abstract

Hôm nay, Anthropic công bố Claude Sonnet 5 và thông báo Bộ Thương mại Mỹ dỡ bỏ lệnh hạn chế xuất khẩu đối với các mô hình Claude Fable 5 và Mythos 5. Tuy nhiên, cộng đồng nhà phát triển tập trung vào một vụ việc gây tranh cãi khác: Claude Code bị phát hiện thu thập thông tin người dùng một cách âm thầm. Theo báo cáo từ GitHub, Claude Code (các phiên bản 2.1.193 đến 2.1.196) chứa cơ chế ẩn tự động phát hiện múi giờ Trung Quốc (như Asia/Shanghai), cấu hình proxy mạng và kiểm tra xem người dùng có đang kết nối đến các tên miền liên quan đến phòng thí nghiệm AI Trung Quốc hay không (như của Baidu, Alibaba, ByteDance...). Thông tin này sau đó được mã hóa vào lời nhắc hệ thống gửi lên đám mây thông qua kỹ thuật steganography, cụ thể bằng cách thay đổi ký tự phân cách ngày tháng và sử dụng các ký tự Unicode gần giống nhau (như ', ʼ, ʹ) trong cụm từ "Today's date". Hành động này bị chỉ trích vì vi phạm sự tin cậy, khi người dùng không hề hay biết và không có tùy chọn từ chối. Một thành viên kỹ thuật của Anthropic (@trq212) đã phản hồi, thừa nhận đoạn mã này và cho biết nó sẽ bị xóa trong bản cập nhật tiếp theo. Sự việc làm dấy lên lo ngại về quyền riêng tư và tính minh bạch trong các công cụ trợ lý lập trình có quyền truy cập sâu vào hệ thống và mã nguồn.

Hôm nay, Anthropic có thể nói là "gặp được hai niềm vui lớn".

Một mặt, họ đã ra mắt mô hình Claude Sonnet 5, được mô tả là "mô hình có tính chất Agent mạnh nhất từ trước đến nay", với hiệu suất gần bằng Opus 4.8.

Mặt khác, họ tuyên bố với công chúng rằng Bộ Thương mại Hoa Kỳ đã dỡ bỏ lệnh kiểm soát xuất khẩu đối với Claude Fable 5 và Mythos 5 của họ. Anthropic sẽ bắt đầu khôi phục quyền truy cập từ ngày mai và sẽ sớm chia sẻ những tiến triển mới nhất.

Theo nội dung của một thỏa thuận được ký bởi Bộ trưởng Thương mại Hoa Kỳ Howard Lutnick, kể từ khi gửi các lá thư liên quan vào ngày 12 tháng 6 và 26 tháng 6, Anthropic đã phối hợp chặt chẽ với chính phủ Hoa Kỳ, thực hiện các biện pháp xử lý rủi ro liên quan đến Claude Mythos 5 và Claude Fable 5.

Trong đó, Anthropic cam kết sẽ chủ động phát hiện và xử lý các rủi ro an ninh mà các mô hình này có thể mang lại; duy trì hợp tác chặt chẽ với chính phủ Hoa Kỳ về các thỏa thuận, tiêu chuẩn và sắp xếp phát hành đối với Mythos, Fable cũng như các mô hình trong tương lai; và thông báo cho chính phủ Hoa Kỳ khi phát hiện hoạt động độc hại.

Dựa trên các hành động Anthropic đã thực hiện và các cam kết đã đưa ra, cũng như đánh giá của Cục Công nghiệp và An ninh thuộc Bộ Thương mại Hoa Kỳ về rủi ro chuyển nhượng hiện tại của Claude Mythos 5 và Claude Fable 5,Bộ Thương mại Hoa Kỳ quyết định rút lại các biện pháp kiểm soát trong thư đề ngày 12 tháng 6.

Điều này có nghĩa là, việc xuất khẩu, tái xuất khẩu, chuyển nhượng trong nước của Claude Mythos 5 và Claude Fable 5, bao gồm cả xuất khẩu được coi là và tái xuất khẩu được coi là, từ nay trở đi sẽ không cần giấy phép nữa.

Tuy nhiên, Bộ Thương mại Hoa Kỳ bảo lưu quyền đánh giá lại quyết định này. Nếu tình hình thay đổi, hoặc Anthropic không thực hiện cam kết, Bộ Thương mại Hoa Kỳ vẫn có thể áp đặt lại yêu cầu về giấy phép.

Tuy nhiên, đối với người dùng Trung Quốc, chúng tôi vẫn chưa thể vui mừng ngay lúc này.

Cũng trong ngày hôm đó, chủ đề được thảo luận sôi nổi trên cộng đồng nhà phát triển là một vấn đề khác: có người phát hiện Claude Code sẽ thu thập thông tin proxy cục bộ và múi giờ của người dùng mà họ không biết, và thông qua phương thức "Steganography" (mật mã học ẩn), ẩn các thông tin này trong lời nhắc (prompt) gửi lên đám mây.

Claude Code bị tố sử dụng mã ẩn đánh dấu người dùng Trung Quốc

Gần đây, có người tiết lộ Anthropic đã cài lén một đoạn mã trong Claude Code.

Đoạn mã này sẽ tự động phát hiện người dùng có sử dụng múi giờ Trung Quốc hay không, tình hình proxy mạng hiện tại, cũng như có kết nối đến môi trường liên quan đến một số phòng thí nghiệm AI của Trung Quốc hay không.

Sau đó, nó sẽ nhúng các thông tin này vào lời nhắc hệ thống gửi cho AI thông qua phương thức ẩn giấu.

Người dùng Trung Quốc hoàn toàn không thể phát hiện, nhưng Anthropic lại có thể nhận diện thông qua các dấu vết ẩn này.

Một nhà phát triển đầu tiên đặt câu hỏi trên Reddit, sau đó đăng báo cáo xác minh trên GitHub, tuyên bố đã kiểm tra mã của ba phiên bản 2.1.193, 2.1.195, 2.1.196 của Claude Code, xác nhận tồn tại một cơ chế ẩn. Cơ chế này được định tính là kênh thông tin ẩn trong lời nhắc hệ thống.

Logic phát hiện

Theo mô tả của báo cáo, Claude Code sẽ phát hiện biến môi trường ANTHROPIC_BASE_URL, biến này thường được kích hoạt khi người dùng trỏ Claude Code đến proxy API tùy chỉnh, thay vì điểm cuối chính thức api.anthropic.com. Khi phát hiện tuyến đường không chính thức, chương trình sẽ trích xuất tên miền proxy và đọc múi giờ hệ thống của người dùng, tập trung kiểm tra xem có phải là Asia/Shanghai hay Asia/Urumqi hay không.

Sử dụng GLM5.2 để phân tích

Báo cáo cho biết, tên miền này sẽ được so sánh với một danh sách đã giải mã chứa 147 mục. Danh sách bao gồm các tên miền của các doanh nghiệp công nghệ và phòng thí nghiệm AI Trung Quốc như Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax, Stepfun, cũng như một lượng lớn địa chỉ dịch vụ bán lại hoặc API mirror của Claude.

Cách thức truyền tải thông tin

Trọng tâm tranh cãi nằm ở đường truyền thông tin.

Báo cáo chỉ ra rằng, Claude Code không thiết lập trường telemetry độc lập để báo cáo dữ liệu. Vật mang thông tin bất thường chính là câu "Today's date is..." (Hôm nay là ngày...) đơn giản nhất trong lời nhắc hệ thống.

Khi múi giờ hệ thống được xác định là múi giờ Trung Quốc, dấu phân cách ngày tháng sẽ chuyển từ dấu gạch ngang sang dấu gạch chéo, ví dụ 2026-06-30 hiển thị thành 2026/06/30. Dấu nháy đơn trong "Today's date" đồng thời chuyển đổi giữa các ký tự Unicode gần giống nhau như ', ', ʼ, ʹ, để đánh dấu yêu cầu lần này trúng danh sách tên miền, từ khóa phòng thí nghiệm AI, hoặc cả hai. Mấy ký hiệu này trong giao diện thông thường rất khó phân biệt bằng mắt thường.

Đối với người dùng thông thường, các ký hiệu ', ', ʼ, ʹ này hầu như không thể phân biệt bằng mắt thường, đây cũng là lý do cơ chế này có thể ẩn giấu lâu dài. Nếu phân tích này là đúng, mỗi yêu cầu đáp ứng điều kiện sẽ mang theo một dấu hiệu khó nhận biết như vậy gửi lên upstream.

Điểm tranh cãi

Việc thu thập dữ liệu telemetry phổ biến trong ngành công nghiệp phần mềm. Các công ty AI xuất phát từ việc phòng chống lạm dụng, ngăn chặn bán lại, tránh rủiệu trừng phạt cũng như ngăn mô hình bị chưng cất (distillation), thường có động cơ đầy đủ để nhận diện hành vi người dùng. Từ góc độ này, việc Anthropic hy vọng ngăn chặn quyền truy cập Claude bị bán lại trái phép tại thị trường Trung Quốc, động cơ không khó hiểu.

Điểm tranh cãi nằm ở phương thức thực hiện chứ không phải bản thân mục đích.

Đối với cơ chế telemetry được công khai tiết lộ, nhà phát triển có quyền được biết và lựa chọn đầy đủ, có thể tra cứu tài liệu, chặn các điểm cuối cụ thể, hoặc tự quyết định có chấp nhận việc thu thập dữ liệu nào đó hay không. Nhưng việc giấu thông tin đánh dấu vào sự khác biệt ký tự gần như không thể phát hiện trong lời nhắc đã thay đổi tiền đề tin tưởng giữa người dùng và công cụ. Đối với một coding assistant (trợ lý lập trình), một khi ranh giới như vậy bị phá vỡ, cái giá phải trả không nhỏ.

Bối cảnh quyền hạn

Claude Code có sẵn một hệ thống quyền hạn, bao phủ các thao tác như đọc file, thực thi lệnh Bash và chỉnh sửa file, trong đó các thao tác chỉ đọc không cần sự phê duyệt của người dùng, còn các thao tác liên quan đến thực thi lệnh và sửa đổi file cần được xác nhận quyền hạn.

Anthropic trước đây cũng từng công khai đề cập đến vấn đề "approval fatigue" (mệt mỏi phê duyệt) mà Claude Code có thể tồn tại, thừa nhận đa số người dùng sẽ thói quen phê duyệt yêu cầu quyền hạn, trong khi việc tắt hoàn toàn cơ chế phê duyệt quyền hạn trong hầu hết các tình huống là không an toàn.

Chính công ty này trong blog kỹ thuật của mình cũng đã ghi lại các trường hợp thực tế về "agentic misbehavior" (hành vi mất kiểm soát của tác nhân thông minh), bao gồm xóa nhánh git từ xa do nhầm lẫn, vô tình tải lên token GitHub, thậm chí cố gắng thực hiện thao tác migration trên cơ sở dữ liệu sản xuất.

Coding agent làm việc bên trong kho mã nguồn, có thể tiếp xúc với mã nguồn, cấu trúc file, chi tiết dự án, thậm chí cả thông tin khóa mà người dùng vô tình tiết lộ, và được trao quyền thực thi lệnh, sửa đổi file. Đối với một công cụ như vậy, sự tin tưởng chính là nền tảng cho sự tồn tại của nó.

Nếu client đầu người dùng lén mã hóa routing metadata vào lời nhắc, người dùng hoàn toàn có lý do để chất vấn: Còn những thông tin nào đang được ghi lại theo cách tương tự? Liệu client đầu có còn tồn tại logic phát hiện nào khác chưa được công khai? Những hành vi này rốt cuộc có được giải thích trong bất kỳ tài liệu nào hay không?

Sau khi sự việc bị phơi bày, thành viên nhóm kỹ thuật Anthropic @trq212 đã phản hồi về lý do thực hiện đoạn mã, và cho biết đoạn mã này sẽ bị loại bỏ trong phiên bản mới phát hành vào ngày hôm sau.

Liên kết tham khảo:

https://news.ycombinator.com/item?id=48734373

https://thereallo.dev/blog/claude-code-prompt-steganography

https://x.com/IntCyberDigest/status/2071971609183678544?s=20

https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/

Bài viết này đến từ tài khoản công chúng WeChat "机器之心" (ID:almosthuman2014), tác giả: 关注AI的

Trending Cryptos

Related Questions

QAnthropic đã phát hành những mô hình Claude mới nào và chúng có đặc điểm gì?

AAnthropic đã phát hành Claude Sonnet 5, được mô tả là "mô hình có tính chất Agent mạnh nhất cho đến nay" với hiệu suất gần bằng Opus 4.8. Đồng thời, chính phủ Mỹ cũng đã dỡ bỏ lệnh kiểm soát xuất khẩu đối với Claude Fable 5 và Claude Mythos 5, cho phép Anthropic khôi phục quyền truy cập.

QThỏa thuận giữa Anthropic và Bộ Thương mại Mỹ bao gồm những cam kết nào?

ATheo thỏa thuận, Anthropic cam kết: (1) Chủ động phát hiện và xử lý các rủi ro bảo mật tiềm ẩn từ các mô hình; (2) Duy trì hợp tác chặt chẽ với chính phủ Mỹ về các thỏa thuận, tiêu chuẩn và kế hoạch phát hành; (3) Thông báo cho chính phủ Mỹ khi phát hiện hoạt động độc hại. Đổi lại, Bộ Thương mại Mỹ đã rút lại các biện pháp kiểm soát cấp phép xuất khẩu.

QClaude Code bị phát hiện có hành vi gây tranh cãi gì liên quan đến người dùng Trung Quốc?

AClaude Code bị phát hiện đã âm thầm thu thập thông tin proxy và múi giờ cục bộ của người dùng. Sau đó, nó mã hóa thông tin này thông qua kỹ thuật "steganography" (giấu tin) và nhúng vào các lời nhắc hệ thống gửi lên đám mây, đặc biệt nhắm vào người dùng có múi giờ Trung Quốc (như Asia/Shanghai) hoặc sử dụng proxy liên quan đến các phòng thí nghiệm AI Trung Quốc.

QCơ chế giấu thông tin trong Claude Code hoạt động như thế nào?

ACơ chế này kiểm tra biến môi trường ANTHROPIC_BASE_URL và múi giờ hệ thống. Nếu phát hiện múi giờ Trung Quốc hoặc proxy thuộc danh sách 147 địa chỉ (bao gồm các công ty và phòng thí nghiệm AI Trung Quốc), nó sẽ thay đổi định dạng ngày tháng và sử dụng các ký tự Unicode trông gần giống nhau (như ', ', ʼ, ʹ) trong câu "Today's date is..." để đánh dấu và mã hóa thông tin, rất khó phát hiện bằng mắt thường.

QPhản ứng của Anthropic trước cáo buộc về Claude Code là gì?

ASau khi sự việc được phơi bày, một thành viên nhóm kỹ thuật Anthropic (tài khoản @trq212) đã phản hồi về lý do triển khai đoạn mã này và thông báo rằng đoạn mã gây tranh cãi sẽ bị loại bỏ trong phiên bản mới phát hành vào ngày hôm sau.

Related Reads

Circle CEO Responds to the OUSD Challenge: Stablecoin is a Winner-Takes-All Business, and We Won't Slow Down

In response to questions about the OUSD stablecoin initiative, Circle CEO Jeremy Allaire argues that the stablecoin market is a "winner-take-most" platform business driven by powerful network effects, and Circle has no plans to slow down. He outlines three key drivers behind USDC's dominant position: 1. **Protocol/Software Layer Network Effects**: The value of a stablecoin network grows as more developers and services integrate it, creating compounding utility and user preference. Circle has spent nearly a decade building this ecosystem with USDC, now accelerated by mainstream adoption and enhanced by software stacks like CCTP and Gateway for interoperability. 2. **Liquidity Network Effects**: Liquidity begets more liquidity. USDC has achieved top-tier global liquidity—ranking among the top three digital assets alongside BTC and USDT—through nearly a decade of building deep primary and secondary market access across regions and venues. 3. **Regulatory and Policy Integration**: Establishing a global stablecoin requires deep regulatory engagement, licensing, and compliance across key markets—a significant, long-term investment where Circle is a leader. Allaire cites Artemis data showing USDC facilitated 80% of all dollar stablecoin on-chain transaction volume in Q1 2026, with USDT at 20% and all others negligible. He addresses OUSD's purported advantages: "free" minting/burning is often not sustainable in practice; redistributing all revenue can starve essential infrastructure investment; and large consortium models historically struggle with inefficiency and slow execution, unlike focused strategic partnerships. He reaffirms Circle's strong ongoing partnership with Coinbase on USDC and notes Circle collaborates with dozens of other stablecoin issuers through its expanding platform (Arc, CCTP, CPN, etc.). While welcoming OUSD to the ecosystem, Allaire asserts that Circle's vast, trusted network and continued investment make USDC the foundational digital dollar infrastructure for the world.

链捕手2m ago

Circle CEO Responds to the OUSD Challenge: Stablecoin is a Winner-Takes-All Business, and We Won't Slow Down

链捕手2m ago

Q2 Crypto Market Review: Did Bitcoin Rise for 'Nothing'? Did Money Flow to AI and On-Chain?

Q2 2026 Crypto Market Recap: Bitcoin's Gains Erased Amid Shift to AI and On-Chain Activity The second quarter of 2026 saw a significant reversal for the cryptocurrency market. Bitcoin gave back all its April gains, ending Q2 down approximately 11%, while major stock indices posted strong gains. This divergence was driven by a hawkish shift in Fed rate expectations, capital rotation into AI stocks, and weakening liquidity channels into crypto. Key demand pillars deteriorated simultaneously. Spot Bitcoin ETFs recorded net outflows of $4.08 billion for the quarter, with outflows dominating June. Crypto treasury entity Strategy's bitcoin accumulation slowed markedly, and the total stablecoin market cap contracted by ~$4.2 billion. This created a tighter liquidity environment. Exchange data reflected the downturn. Spot trading volumes fell 28% quarter-over-quarter. The market underwent significant deleveraging, with $8.35 billion in long liquidations for BTC and ETH, primarily in late May/early June. Open interest and order book liquidity also declined. Despite the bearish price action, structural developments point to an expanding on-chain ecosystem. These include the rise of tokenized stocks with full legal rights, the growth of RWA (real-world asset) perpetual contracts for trading stocks and commodities 24/7, and the use of crypto markets for price discovery ahead of major events like the SpaceX IPO. On-chain vaults are also emerging as a core layer for institutional capital allocation.

Foresight News21m ago

Q2 Crypto Market Review: Did Bitcoin Rise for 'Nothing'? Did Money Flow to AI and On-Chain?

Foresight News21m ago

Xing Bo Strikes Again: Last Time 'Critiquing' World Models, This Time It's Agents' Turn

Xing Bo, President of MBZUAI and professor at Carnegie Mellon University, along with co-authors Mingkai Deng and Jinyu Hou, has released a new paper, "Critique of Agent Model," critiquing the current state of artificial intelligence agents. The paper draws a crucial distinction between "agentic" systems, which rely on external toolchains, prompts, and workflows, and truly "agentive" systems capable of genuine autonomy driven by internal decision-making structures. To illustrate this, it references a real-world incident where an AI programming assistant, following an external prompt but lacking internalized judgment, caused a catastrophic data deletion. The authors propose a detailed analysis and a new framework, "Goal-Identity-Configurator" (GIC), for building truly autonomous agents. This framework systematically addresses five key dimensions where current "Agent" designs fall short: 1. **Goal:** Moving from step-by-step human instruction to a system capable of autonomously decomposing a single long-term goal and adapting sub-goals based on new information. 2. **Identity:** Evolving self-assessment updated by experience, rather than a static description in a system prompt. 3. **Decision Making:** Replacing textual Chain-of-Thought reasoning with "simulative reasoning" that uses a dedicated world model to predict real-world consequences before selecting actions. 4. **Cognitive Control:** Introducing a separate "System III" metacognitive module that dynamically decides when to deliberate, stick to a plan, or act quickly. 5. **Learning:** Enabling "continual autonomous learning," where the agent itself decides when to act, practice in simulation, or update its world model and self-perception. The GIC architecture integrates six components—a belief encoder, goal decomposer, identity evolver, configurator (System III), simulation-based planner (System II), and executor (System I)—to embody these principles. The paper argues that a growth path akin to pilot training (ground theory, simulator practice, real deployment) should be underpinned by a unified cognitive architecture, not separate workflows. On safety, the authors contend that the GIC framework's modular, explicit design enhances inspectability, allowing problematic behavior to be traced to specific components (e.g., flawed goal or poorly trained module) rather than emerging opaquely. However, they acknowledge that ultimate safety depends on correctly training these modules in the first place. In conclusion, the paper challenges the loose application of the term "Agent," asserting that task completion alone does not equal true autonomy. True autonomy requires goals, identity, and judgment to be genuinely internalized within the agent's architecture, not merely enforced by external scripts.

marsbit1h ago

Xing Bo Strikes Again: Last Time 'Critiquing' World Models, This Time It's Agents' Turn

marsbit1h ago

Trading

Spot

Hot Articles

Discussions

Welcome to the HTX Community. Here, you can stay informed about the latest platform developments and gain access to professional market insights. Users' opinions on the price of AI (AI) are presented below.

活动图片