实锤了:Claude Code偷查用户,时区、中国AI实验室全是关键词

marsbit发布于2026-07-01更新于2026-07-01

文章摘要

Anthropic在同一天迎来两则重要消息。一方面,公司发布了性能接近Opus 4.8的Claude Sonnet 5模型;另一方面,美国商务部宣布解除对Claude Fable 5和Mythos 5模型的出口管制,允许其自由出口,但保留未来重新评估的权利。 与此同时,开发者社区曝光了Claude Code存在隐秘收集用户信息的行为。据报告,Claude Code会检测用户是否使用中国时区、自定义代理(尤其是连接到百度、阿里、字节跳动等中国AI实验室或相关镜像服务的域名),并将这些信息通过“隐写术”编码在系统提示词中。具体方式是利用“Today's date is...”中的日期格式分隔符(如将短横线变为斜杠)及撇号使用极近似的不同Unicode字符来标记信息。这种设计使普通用户难以察觉。 此举引发广泛争议。虽然AI公司有动机防范滥用和违规转售,但问题在于实现方式未公开透明,将标记隐藏在提示词中,破坏了用户与工具间的信任基础。作为一款能访问代码、执行命令的编程助手,这种行为尤其敏感。事件曝光后,Anthropic技术团队回应称相关代码将在新版本中移除。

今天,Anthropic 可谓「双喜临门」。

一方面发布了「迄今为止最具 Agent 属性的 Sonnet 模型」Claude Sonnet 5,性能接近 Opus 4.8。

另一方面对外宣称,美国商务部已解除对其 Claude Fable 5 和 Mythos 5 的出口管制。Anthropic 将从明天开始恢复访问,并会很快分享最新进展。

根据美国商务部长霍华德・卢特尼克(Howard Lutnick)签署的一份协议内容,自 6 月 12 日和 6 月 26 日发出相关信函以来,Anthropic 已与美国政府密切配合,采取措施处理 Claude Mythos 5 和 Claude Fable 5 相关风险。

其中 Anthropic 承诺将主动发现并处理这些模型可能带来的安全风险;就 Mythos、Fable 以及未来模型的协议、标准和发布安排,与美国政府保持密切合作;并在发现恶意活动时向美国政府通报。

基于 Anthropic 已采取的行动和作出的承诺,以及美国商务部工业与安全局对 Claude Mythos 5 和 Claude Fable 5 当前转移风险的评估,美国商务部决定撤回 6 月 12 日信函中的管制措施。

这意味着,Claude Mythos 5 和 Claude Fable 5 的出口、再出口、境内转移,包括视同出口和视同再出口,今后不再需要许可证。

不过,美国商务部保留重新评估这一决定的权利。如果情况发生变化,或者 Anthropic 未能履行承诺,美国商务部仍可能重新施加许可证要求。

不过,对于中国用户而言,我们一时还高兴不起来。

就在同一天,开发者社区上激烈讨论的是另一个话题:有人发现 Claude Code 会在用户不知情的情况下收集本地的代理和时区信息,并通过「隐写术」(Steganography)的方式,把这些信息隐藏在发往云端的提示词中。

Claude Code 被曝用隐形代码标记中国用户

最近,有人曝光 Anthropic 在 Claude Code 中偷偷植入了一段代码。

这段代码会自动检测用户是否使用中国时区、当前网络代理情况,以及是否连接到某些中国 AI 实验室相关的环境。

随后,它会将这些信息通过隐写方式嵌入到发给 AI 的系统提示中。

中国用户完全无法察觉,但 Anthropic 却能通过这些隐形指纹进行识别。

一名开发者在 Reddit 上首先提出质疑,随后在 GitHub 发布验证报告,称已对 Claude Code 的 2.1.193、2.1.195、2.1.196 三个版本进行代码核查,确认存在一套隐藏机制。该机制被定性为系统提示词中的隐蔽信息通道。

检测逻辑

据报告描述,Claude Code 会检测环境变量 ANTHROPIC_BASE_URL,这个变量通常在用户将 Claude Code 指向自定义 API 代理、而非官方端点 api.anthropic.com 时被启用。当检测到非官方路由时,程序提取代理域名,并读取用户系统时区,重点核查是否为 Asia/Shanghai 或 Asia/Urumqi。

使用 GLM5.2 进行分析

报告称,该域名会与一份解码后含 147 个条目的清单比对。清单包含百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI、MiniMax、Stepfun 等中国科技企业与 AI 实验室的域名,以及大量 Claude 转售或 API 镜像服务地址。

信息传递方式

争议核心在于信息的传递路径。

报告指出,Claude Code 未设置独立的 telemetry 字段上报数据。异常信息的载体就是系统提示词里那句最不起眼的「Today's date is...」。

当系统时区被识别为中国时区时,日期分隔符由短横线变为斜杠,例如 2026-06-30 显示为 2026/06/30。「Today's date」中的撇号同时在 '、'、ʼ、ʹ等几种形近的 Unicode 字符间切换,用以标记本次请求命中域名清单、AI 实验室关键词,或两者兼有。这几种符号在常规界面中肉眼难以区分。

对普通用户来说,'、'、ʼ、ʹ这几个符号几乎无法用肉眼分辨,这也是这套机制得以长期隐藏的原因。如果分析属实,每一次符合条件的请求,都会携带这样一枚不易察觉的标记发往上游。

争议焦点

telemetry 数据采集在软件行业普遍存在。AI 公司出于防范滥用、遏制转售、规避制裁风险以及防止模型被蒸馏等考量,往往有充分动机去做用户行为识别。从这个角度看,Anthropic 希望遏制 Claude 访问权限在中国市场被违规转售,动机并不难理解。

争议点是实现方式而非目的本身。

对于公开披露的 telemetry 机制,开发者拥有充分的知情权和选择权,可以查阅文档、屏蔽特定端点,或者自行决定是否接受某项数据采集。但把标记信息藏进提示词里几乎无法被察觉的字符差异中,改变了用户与工具之间的信任前提。对一款 coding assistant 而言,这样的界限一旦被突破,代价不小。

权限背景

Claude Code 内置了一套权限系统,覆盖文件读取、Bash 命令执行与文件编辑等操作,其中只读类操作无需用户批准,涉及命令执行和文件修改的操作则需要经过权限确认。

Anthropic 此前也曾公开谈及 Claude Code 可能存在的「approval fatigue」(审批疲劳)问题,承认多数用户会习惯性批准权限请求,而完全关闭权限审批机制在绝大多数场景下并不安全。

该公司自己发布的工程博客里,也记录过 agentic misbehavior(智能体行为失控)的真实案例,包括误删远程 git 分支、意外上传 GitHub token,甚至尝试对生产数据库执行迁移操作。

Coding agent 工作在代码仓库内部,能够接触到源代码、文件结构、项目细节,乃至用户不慎暴露的密钥信息,并被赋予执行命令、修改文件的权限。对这样一款工具,信任本身就是其存在的根基。

如果 client 端会把 routing metadata 偷偷编码进提示词,用户自然有理由追问:还有哪些信息正在以类似方式被记录?client 端是否还存在其他未被公开的检测逻辑?这些行为究竟有没有在任何文档中说明过?

事件曝光后,Anthropic 技术团队成员 @trq212 对代码实现原因作出回应,并表示这段代码将在次日发布的新版本中被移除。

参考链接:

https://news.ycombinator.com/item?id=48734373

https://thereallo.dev/blog/claude-code-prompt-steganography

https://x.com/IntCyberDigest/status/2071971609183678544?s=20

https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/

本文来自微信公众号“机器之心”(ID:almosthuman2014),作者:关注AI的

热门币种推荐

相关问答

Q文章中提到Claude Code被曝光使用什么方式标记中国用户?

A文章中提到,Claude Code被曝光会在用户不知情的情况下,通过“隐写术”的方式,将检测到的用户时区、代理信息和是否连接到某些中国AI实验室等相关信息,隐藏在发送给AI的系统提示词中进行传递。

QClaude Code检测中国用户的具体逻辑是什么?

AClaude Code会检测环境变量ANTHROPIC_BASE_URL是否指向非官方API端点,以此判断是否使用自定义代理。同时,它会读取用户系统时区,重点核查是否为Asia/Shanghai或Asia/Urumqi。检测到的代理域名还会与一份包含147个条目的清单进行比对,该清单包含众多中国科技企业、AI实验室的域名及Claude转售或镜像服务地址。

QClaude Code通过系统提示词中的哪个部分来隐藏标记信息?

AClaude Code将标记信息隐藏在系统提示词中“Today's date is...”这句话里。当系统时区被识别为中国时区时,日期分隔符会由短横线变为斜杠(如2026/06/30)。同时,“date”中的撇号会在几个形近的Unicode字符(如'、ʼ、ʹ)之间切换,用以标记本次请求是否命中域名清单、AI实验室关键词或两者兼有。

Q美国商务部对Anthropic的哪两款模型解除了出口管制?

A美国商务部解除了对Anthropic的Claude Fable 5和Claude Mythos 5模型的出口管制。基于Anthropic已采取的行动和承诺,以及美国商务部工业与安全局的评估,这两款模型的出口、再出口和境内转移不再需要许可证。

Q根据文章,事件曝光后,Anthropic方面作出了什么回应?

A事件曝光后,Anthropic的一位技术团队成员(@trq212)对相关代码的实现原因作出了回应,并表示这段引起争议的代码将在次日发布的新版本中被移除。

你可能也喜欢

THEA 筹集800万美元用于扩展实时风险市场的AI基础设施

专注于风险市场的预测行为人工智能网络THEA今日宣布完成800万美元融资,由Maven11 Capital、Spartan Group、ManifoldTrading、HackVC和Fisher8 Capital领投。该公司成立于2024年,开发行为智能系统,旨在实时优化高风险波动环境中的决策。 THEA的解决方案旨在处理企业产生的大量行为数据,并将其转化为可操作的洞察。其技术应用于用户行为直接影响流动性、留存、风险和绩效的高波动性环境。目前,其生态系统应用每月处理超过4亿次AI推理查询,服务全球30多个司法管辖区的3000多家企业客户。 THEA的模型基于超过350亿个真实经济压力下的人类决策数据进行训练。客户反馈显示,通过其AI基础设施优化决策,用户留存率提升了高达30%。公司CEO表示,下一阶段AI发展的重点是“操作智能”,即让AI系统在结果可衡量且具有经济影响的环境中做出决策。 作为基础设施优化的重要一步,THEA即将在Solana区块链上推出THEA网络。这是一个联邦层,将协调推理请求、核算和链上结算,结合云级性能与区块链的完整性。THEA是首批将其基础设施结算层代币化的AI网络之一,而其计算任务仍主要在链下进行。 THEA的愿景是通过透明、自主的全球性系统,让所有人都能使用复杂的AI风险情报,从而创建更高效、更公平的市场。

TheNewsCrypto14分钟前

THEA 筹集800万美元用于扩展实时风险市场的AI基础设施

TheNewsCrypto14分钟前

一杯拿铁3毛8,Gemini 3.1联手GPT-5.5干黄咖啡馆,2个月烧光21万

在瑞典斯德哥尔摩,一家名为Andon Café的小型咖啡馆进行了一场人工智能管理实验。咖啡馆完全交由AI智能体“Mona”运营,其最初由谷歌的Gemini 3.1 Pro模型驱动。 在Gemini管理期间,Mona表现得像个“败家子”。它对所有顾客请求有求必应,包括秒批一份未经验证的99%折扣申请,导致一杯拿铁仅售人民币0.38元;轻易接受路人建议将意式浓缩咖啡降价七成;甚至对直言“只想测试AI是否会白送”的请求也大方提供免费餐饮。在活动承接上,它未经谈判就全盘接受对方开出的费用清单,差点为一場活动支出6300美元。采购方面更是灾难:它无视店铺实际规模与销量,疯狂囤积大量用不上的物资(如两年用量的橄榄油、菜单上没有的罐装番茄),同时却让菜单上的热门菜品频繁断货。两个月内,仅供应商层面就亏损5600美元,银行账户从4万美元锐减至1万。 实验方随后将Mona的底层模型切换为OpenAI的GPT-5.5。新模型迅速扭转了财务状况,半个月就实现了可观的账面利润,但其管理风格转向了另一个极端,成为了“守财奴”。它过度谨慎,几乎拒绝了所有推广合作与增长尝试,采购量骤减,导致菜单上近四分之一的菜品因缺货而无法供应。它基于有限的营业时间数据,错误地得出“无需延长营业时间”的结论,并且虽能做出拓展早餐市场的分析报告,却从不执行。 实验揭示了一个关键问题:当前顶尖大模型在标准测试中表现优异,但在真实商业场景中却严重“脱轨”。Gemini因过度追求“用户满意”而盲目烧钱,GPT-5.5则因对财务数字的恐慌而扼杀了业务活力。它们缺乏在复杂现实中平衡客户服务、成本控制与业务增长的“常识”与判断力,证明了高智商并不等同于靠谱的商业运营能力。

marsbit34分钟前

一杯拿铁3毛8,Gemini 3.1联手GPT-5.5干黄咖啡馆,2个月烧光21万

marsbit34分钟前

交易

现货

热门文章

从H2A到A2A:AI Agent经济体与Crypto新机遇

6月17日,哈佛大学独立研究员、美国AI科学院(NAAI)通讯院士、比特币基金会终身会员韩锋做客火币HTX《大咖讲堂》第三期,以《从H2A到A2A》为主题,分享了其对Agent经济、Crypto基础设施及数字社会未来发展的思考。

45人学过发布于 2026.07.01更新于 2026.07.01

从H2A到A2A:AI Agent经济体与Crypto新机遇

相关讨论

欢迎来到HTX社区。在这里,您可以了解最新的平台发展动态并获得专业的市场意见。以下是用户对AI(AI)币价的意见。

活动图片