← 返回信息流
Agent SkillLINUX DO · AI·1 小时前

Reddit发现Claude植入隐形代码传递用户数据

原标题:【慢讯】A家偷偷在Claude Code中植入了隐形代码

速览

Reddit上有大佬逆向Claude后,发现A家在Claude Code中偷偷植入了隐形代码。A家使用隐写术藏了一个分类标记,通过最不透明的方式传递用户数据。Claude拥有文件系统权限,能执行命令、读代码、改配置,几乎具备最高权限。这起事件引发国内外用户大范围震惊和质疑。

AI 深度解读

【慢讯】A家偷偷在Claude Code中植入了隐形代码

背景

2026年6月30日,Claude Code(Anthropic推出的AI编程助手工具)大规模封禁中国大陆用户账号,账号年龄从数月到两年不等,国内开发者社区普遍反映挂代理或中转服务也无法绕过。

事件起因是Reddit上逆向工程的发现:美国开发者AdnaneKhan在r/ClaudeAI板块发帖揭露,Anthropic在开源的Claude Code客户端中偷偷植入了隐形代码,用于识别中国用户。这被视为“间谍软件”(spyware),帖子迅速被删除,但后续GitHub Gist技术分析报告已被多方交叉验证。

事件发生当天,美国商务部解除对Anthropic Claude模型(Fable 5、Mythos 5)的出口管制,同时Anthropic官方回应称下个版本将移除相关代码。国内外用户及媒体迅速炸锅,焦点围绕“Claude Code能否继续使用”“用户隐私被侵犯”展开。

核心内容

AdnaneKhan在GitHub发布的详细技术分析报告显示,Claude Code自2026年4月2日发布的v2.1.91版本起,在客户端代码中植入了一段隐写逻辑(steganography)。该逻辑的核心流程如下:

  1. 环境探测:代码检查系统环境变量ANTHROPIC_BASE_URL。如果指向非官方端点(例如使用API中转服务),它会提取配置的代理域名,并读取系统时区(重点比对Asia/Shanghai与Asia/Urumqi)。同时,将代理域名与一个包含147个条目的解码清单进行比对,该清单中存储了百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI(Kimi)、MiniMax、StepFun等中国科技公司和AI实验室的域名特征。

  2. 信息嵌入系统提示词:如果检测结果显示用户为中国相关(中国用户或使用中国代理),代码会在每次向服务器发送真实请求之前,偷偷修改系统提示词中的一行日期字符串“Today's date is 2026-06-30.”。具体修改涉及日期分隔符(连字符 vs 斜杠)和Unicode单引号字符的变化,形成一个2到3比特的分类标记。

  3. 混淆与隐藏:检测目标字符串经过XOR密钥91加密后嵌入编译后的二进制文件,函数名被压缩,逻辑被拆分,普通二进制审查难以发现。整个机制从v2.1.91版本上线,持续运行约3个月,至曝光时仍在生效。v2.1.91发版说明中未提及此功能。

Anthropic技术团队成员@trq212在相关讨论中确认,下个版本将移除这段代码。Claude Code具备读取本地文件、执行命令、修改配置等最高权限,该隐写逻辑正是利用其平台特性,在用户不知情的情况下将环境信息“植入”系统提示词,通过隐写术(steganography)传递分类标记。

关键要点

  • 事件触发:2026年6月30日,Reddit逆向发现Anthropic在开源Claude Code客户端植入针对中国用户的监控逻辑,与同日美国商务部解除出口管制形成时间巧合。
  • 技术原理:通过检测代理域名与中国公司域名清单、系统时区(Asia/Shanghai/Urumqi),结合隐写术在日期字符串中嵌入标记(XOR密钥91混淆),无需额外服务器检测即可识别用户身份。
  • 权限特性:Claude Code客户端拥有本地文件系统、命令执行和配置修改最高权限,隐写代码利用此优势静默收集并传递用户数据。
  • 发现与回应:开源特性使逆向成为可能,GitHub报告获多家媒体验证,Anthropic承诺下个版本移除,服务器端仅需机器识别提示词中的Unicode字符和日期分隔符即可判断。
  • 动机指向:结合此前公开指控关联实体大规模模型蒸馏攻击及不支持中国用户条款,分析显示逻辑可能针对防止滥用,但手段越过用户知情权底线。
  • 后续影响:事件曝光后,国内开发者讨论数据安全、隐私政策及工具切换,强调“信任是AI工具的底线”。

意义与影响

该事件直接挑战了用户对AI工具的信任基础。Claude Code作为具备最高权限的开发工具,本应提供透明、知情的数据收集行为,但隐写术“植入”代码的行为让用户在不知情的情况下被永久标记,数据被发送至境外服务器,侵犯了信息自主权。即使通过代理中转,请求最终仍被识别并封禁,凸显了“挂代理无用”的现实。

更深层意义上,这反映出AI编程工具行业数据安全与合规的潜在风险:AI模型训练需数据,但用户应享有知情权与拒绝权。事件被视为“信任坍塌”的典型案例,可能引发更多监管关注(如出口管制下的滥用指控)和行业反思——未来工具需在发版说明中明确披露所有功能,避免“事先张扬”式的监控逻辑。

对于中国开发者而言,短期内影响显著,长期或加速国产AI编程工具的私有化部署与合规化进程。同时,Anthropic官方回应虽承诺移除代码,但已暴露的逻辑让用户质疑“保障措施”的真实性。整体来看,此事不仅是单一工具问题,更是AI生态中隐私边界、开源透明度与国家安全平衡的典型案例,值得开发者警惕并推动更高标准的数据治理规范。

查看原文 →linux.do