导读:Anthropic将在自家Claude Code产品中去掉用来检测中国企业和用户的隐蔽代码。
人工智能企业 Anthropic 在7月1号确认,会在下一轮软件更新中,彻底删除一段长期藏在 Claude Code 客户端里、专门用来识别来自中国竞品以及相关流量的隐蔽检测代码。
这段未对外公示、经过混淆加密的检测逻辑,近日被工程师和安全研究员逆向拆解曝光,在全球开发者社群引发了巨大争议和反响。
一位 Reddit 平台用户 LegitMichel777 把Claude Code从二进制包里拆了出来。安全研究员 Adnane Khan 随后发布了完整的逆向工程分析,覆盖 v2.1.193 到 v2.1.196 的 JavaScript 全部源码,完整还原了这套隐藏代码的工作逻辑。
自从 2026 年 4 月上线的 2.1.91 版本 Claude Code 上线起,客户端就内置了这套无提示的检测模块,全程不会弹窗告知用户,更新日志、产品文档里也完全没有相关说明。只要用户开启代理、自定义 API 转发地址,程序就会自动触发多层校验,后台可据此区分疑似竞品蒸馏流量。
整套标记手段属于信息隐写,人类肉眼在编辑器、终端中根本无法分辨字符差异,普通用户完全察觉不到自己的请求已被暗中分类标记。同时代码经过XOR异或混淆处理,常规查看源码无法快速定位检测逻辑。
Anthropic 这套检测机制的设计可谓相当精妙。
每当 Claude Code 发起 API 调用时,系统提示词中都会附带一句类似 “Today's date is 2026-06-30” 的文本,这句看起来毫无异常的日期语句,正是用于传递追踪标记的载体。
触发整套检测逻辑的开关,是用户将环境变量ANTHROPIC_BASE_URL配置为非官方代理地址。一旦满足该条件,程序会依次执行两项校验:第一步比对系统时区,判断是否为 Asia/Shanghai(上海时区)、Asia/Urumqi(乌鲁木齐时区);第二步将当前代理域名,与内置存有 147 条记录的硬编码域名黑名单进行匹配。这份黑名单经过 XOR-91 加密后再做 Base64 编码处理,解码后能看到百度、阿里巴巴、蚂蚁集团、字节跳动、月之暗面、MiniMax、阶跃星辰等国内的 AI 企业,以及大量 Claude API 中转服务的域名。
倘若命中中国时区相关判定,日期格式会在用户无感知下发生改动,原本的横杠分隔格式2026-06-30会被替换为斜杠格式2026/06/30。同时单词 “Today's” 里的撇号,会被替换成四种视觉上几乎无法分辨的 Unicode 字符中的任意一种,不同字符编码分别对应不同的风险判定状态。
整套机制的核心逻辑:在等宽字体展示环境下,人类肉眼很难察觉文本存在改动,但 Anthropic 服务端解析请求时能够精准识别差异。这也让该方案成为可供行业参考的典型隐蔽信道实现案例。
除此之外,Claude Code 泄露的源代码中还包含一个名为 ANTI_DISTILLATION_CC 的 TypeScript 标志位。
这个标志启用后,会向 API 请求中注入伪造的工具调用数据,目的是让这些数据对模型训练产生「毒性」——如果对手试图用 Claude 的输出来训练自己的大模型,这些假数据会让训练结果变差。
如果说隐写检测是用来「发现」潜在蒸馏者的,那 ANTI_DISTILLATION_CC 就是用来「投毒」的。但问题结果都是相同的:这些行为发生在开发者工具的底层,写代码的人对此完全一无所知。
负责 Claude Code 项目的研发工程师塔里克・希希帕尔对外作出官方回应,承认这段检测代码存在,并解释其诞生背景:
早在 2026 年 3 月团队启动内部实验,初衷是对抗大规模模型蒸馏行为。2026 年 2 月 Anthropic 曾公开发文,指控深度求索(DeepSeek)、月之暗面、MiniMax 三家中国 AI 企业利用两万四千个虚假账号,发起超 1600 万次 API 调用,批量抽取 Claude 模型能力用于自研竞品训练,违反服务条款与区域访问限制。
为追踪绕过地区封锁、通过代理窃取模型能力的批量请求,该团队临时上线这套静默检测机制,仅作为短期风控实验,并未打算长期保留。
该位工程师确认,移除这段检测逻辑的代码合并请求已经完成审核,7 月 1 日推送的新版本会彻底清除全部相关侦测、标记代码,不再通过隐藏字符标记疑似中国竞品相关流量。
后续,该团队会改用更透明、对普通用户无误伤的公开风控方案。
代码曝光后,全球开发者提出两点核心批评,也是迫使 Anthropic 紧急删改代码的关键原因。
第一,机制完全不透明,侵犯用户知情权。厂商在拥有读写本地文件、执行终端权限的编程工具中,私自植入无告知的隐蔽溯源逻辑,用户没有任何渠道关闭、审计这套功能;普通跨境办公、海外华人、合法使用企业代理的开发者,会被无差别标记,遭受账号误封。反观真正批量蒸馏模型的机构,仅需简单字符替换就能绕过这套简陋检测,风控实际效果很差。
第二,区分度极低,大量合规用户被连带误伤。很多企业为统一 AI 接口管理、跨境研发协作配置代理网关,本身不存在窃取模型的行为,却会被系统统一判定为风险流量,出现账号无预警封禁、订阅费用无法退款的情况,大量开发者在社区反馈自身账号遭误限制。
此次隐蔽检测代码风波,并非独立事件。
今年 4 月,OpenAI、谷歌 DeepMind、Anthropic 三家头部企业联合组建前沿模型论坛专项小组,协同识别跨区域大规模 API 蒸馏行为。受地缘政策约束,Anthropic 并未在中国市场正式提供 Claude 商用服务,但大量第三方代理、中转网关持续转发国内机构的批量调用。
Anthropic 严格限制了Claude在中国的访问权限。然而有报道指出,许多中国用户仍然通过VPN、外国手机号码和国际支付等方式绕过这些限制。此外,第三方经销商经常从国外购买API访问权限,然后通过即时通讯平台和在线市场在中国境内出售。
Anthropic表示,常规 IP 封禁容易被代理网络规避,因此才尝试字符隐写标记的方式追溯流量源头,但隐蔽执行的手段引发了信任危机。
Anthropic 表示,放弃静默隐藏式检测方案后,会重构风控体系:
行业分析师评价,此次事件给所有 AI 客户端厂商敲响警钟:具备本地高权限的开发工具,任何用户无感的后台监测机制,都极易引发隐私与信任危机;即便出于知识产权保护目的,软件厂商也必须保证风控逻辑完全透明、可以被用户核验。
作者:场长
本篇文章为 @ 场长 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 微信公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。
请扫描二维码,使用微信支付哦。