17611538698
info@21cto.com

Anthropic 将移除用于侦测中国竞品的隐蔽代码

人工智能 0 9 55分钟前
图片

导读:Anthropic将在自家Claude Code产品中去掉用来检测中国企业和用户的隐蔽代码。

人工智能企业 Anthropic 在7月1号确认,会在下一轮软件更新中,彻底删除一段长期藏在 Claude Code 客户端里、专门用来识别来自中国竞品以及相关流量的隐蔽检测代码。

这段未对外公示、经过混淆加密的检测逻辑,近日被工程师和安全研究员逆向拆解曝光,在全球开发者社群引发了巨大争议和反响。

一套全程静默运行的隐蔽侦测机制


一位 Reddit 平台用户 LegitMichel777 把Claude Code从二进制包里拆了出来。安全研究员 Adnane Khan 随后发布了完整的逆向工程分析,覆盖 v2.1.193 到 v2.1.196 的 JavaScript 全部源码,完整还原了这套隐藏代码的工作逻辑。

自从 2026 年 4 月上线的 2.1.91 版本 Claude Code 上线起,客户端就内置了这套无提示的检测模块,全程不会弹窗告知用户,更新日志、产品文档里也完全没有相关说明。只要用户开启代理、自定义 API 转发地址,程序就会自动触发多层校验,后台可据此区分疑似竞品蒸馏流量。

图片

整套标记手段属于信息隐写,人类肉眼在编辑器、终端中根本无法分辨字符差异,普通用户完全察觉不到自己的请求已被暗中分类标记。同时代码经过XOR异或混淆处理,常规查看源码无法快速定位检测逻辑。

技术原理:Unicode 隐写术


Anthropic 这套检测机制的设计可谓相当精妙。

每当 Claude Code 发起 API 调用时,系统提示词中都会附带一句类似 “Today's date is 2026-06-30” 的文本,这句看起来毫无异常的日期语句,正是用于传递追踪标记的载体。

触发整套检测逻辑的开关,是用户将环境变量ANTHROPIC_BASE_URL配置为非官方代理地址。一旦满足该条件,程序会依次执行两项校验:第一步比对系统时区,判断是否为 Asia/Shanghai(上海时区)、Asia/Urumqi(乌鲁木齐时区);第二步将当前代理域名,与内置存有 147 条记录的硬编码域名黑名单进行匹配。这份黑名单经过 XOR-91 加密后再做 Base64 编码处理,解码后能看到百度、阿里巴巴、蚂蚁集团、字节跳动、月之暗面、MiniMax、阶跃星辰等国内的 AI 企业,以及大量 Claude API 中转服务的域名。

倘若命中中国时区相关判定,日期格式会在用户无感知下发生改动,原本的横杠分隔格式2026-06-30会被替换为斜杠格式2026/06/30。同时单词 “Today's” 里的撇号,会被替换成四种视觉上几乎无法分辨的 Unicode 字符中的任意一种,不同字符编码分别对应不同的风险判定状态。

整套机制的核心逻辑:在等宽字体展示环境下,人类肉眼很难察觉文本存在改动,但 Anthropic 服务端解析请求时能够精准识别差异。这也让该方案成为可供行业参考的典型隐蔽信道实现案例。

除此之外,Claude Code 泄露的源代码中还包含一个名为 ANTI_DISTILLATION_CC 的 TypeScript 标志位。

这个标志启用后,会向 API 请求中注入伪造的工具调用数据,目的是让这些数据对模型训练产生「毒性」——如果对手试图用 Claude 的输出来训练自己的大模型,这些假数据会让训练结果变差。

如果说隐写检测是用来「发现」潜在蒸馏者的,那 ANTI_DISTILLATION_CC 就是用来投毒的。但问题结果都是相同的:这些行为发生在开发者工具的底层,写代码的人对此完全一无所知。

Anthropic:仅为反蒸馏实验,现已提交删除变更


负责 Claude Code 项目的研发工程师塔里克・希希帕尔对外作出官方回应,承认这段检测代码存在,并解释其诞生背景:

早在 2026 年 3 月团队启动内部实验,初衷是对抗大规模模型蒸馏行为。2026 年 2 月 Anthropic 曾公开发文,指控深度求索(DeepSeek)、月之暗面、MiniMax 三家中国 AI 企业利用两万四千个虚假账号,发起超 1600 万次 API 调用,批量抽取 Claude 模型能力用于自研竞品训练,违反服务条款与区域访问限制。

为追踪绕过地区封锁、通过代理窃取模型能力的批量请求,该团队临时上线这套静默检测机制,仅作为短期风控实验,并未打算长期保留。

该位工程师确认,移除这段检测逻辑的代码合并请求已经完成审核,7 月 1 日推送的新版本会彻底清除全部相关侦测、标记代码,不再通过隐藏字符标记疑似中国竞品相关流量。

后续,该团队会改用更透明、对普通用户无误伤的公开风控方案。

图片

开发者社群的两大核心质疑


代码曝光后,全球开发者提出两点核心批评,也是迫使 Anthropic 紧急删改代码的关键原因。

第一,机制完全不透明,侵犯用户知情权。厂商在拥有读写本地文件、执行终端权限的编程工具中,私自植入无告知的隐蔽溯源逻辑,用户没有任何渠道关闭、审计这套功能;普通跨境办公、海外华人、合法使用企业代理的开发者,会被无差别标记,遭受账号误封。反观真正批量蒸馏模型的机构,仅需简单字符替换就能绕过这套简陋检测,风控实际效果很差。

第二,区分度极低,大量合规用户被连带误伤。很多企业为统一 AI 接口管理、跨境研发协作配置代理网关,本身不存在窃取模型的行为,却会被系统统一判定为风险流量,出现账号无预警封禁、订阅费用无法退款的情况,大量开发者在社区反馈自身账号遭误限制。

背景:前沿 AI 厂商集体应对跨区域大模型窃取


此次隐蔽检测代码风波,并非独立事件。

今年 4 月,OpenAI、谷歌 DeepMind、Anthropic 三家头部企业联合组建前沿模型论坛专项小组,协同识别跨区域大规模 API 蒸馏行为。受地缘政策约束,Anthropic 并未在中国市场正式提供 Claude 商用服务,但大量第三方代理、中转网关持续转发国内机构的批量调用。

Anthropic 严格限制了Claude在中国的访问权限。然而有报道指出,许多中国用户仍然通过VPN、外国手机号码和国际支付等方式绕过这些限制。此外,第三方经销商经常从国外购买API访问权限,然后通过即时通讯平台和在线市场在中国境内出售。

Anthropic表示,常规 IP 封禁容易被代理网络规避,因此才尝试字符隐写标记的方式追溯流量源头,但隐蔽执行的手段引发了信任危机。

后续调整方向


Anthropic 表示,放弃静默隐藏式检测方案后,会重构风控体系:

  • 所有流量识别、风险标记逻辑全部写入公开产品更新日志与隐私文档,用户可清晰知晓规则;
  • 简化判定维度,取消时区、国内域名一刀切式筛查,降低合规用户误伤概率;
  • 建立账号误封快速申诉通道,优化批量异常流量识别算法,精准区分个人开发者正常使用与竞品工业化蒸馏行为。

行业分析师评价,此次事件给所有 AI 客户端厂商敲响警钟:具备本地高权限的开发工具,任何用户无感的后台监测机制,都极易引发隐私与信任危机;即便出于知识产权保护目的,软件厂商也必须保证风控逻辑完全透明、可以被用户核验。

作者:场长

评论

我要赞赏作者

请扫描二维码,使用微信支付哦。

分享到微信