← 返回信息流
Agent SkillLINUX DO · AI·2 小时前

某直连Claude拼车中转站掺假

速览

该中转站宣传直连Anthropic官方Claude账号拼车,但要求用户下载第三方客户端并安装自定义证书。静态分析发现流量经过其“家宽代理”,存在中间人劫持风险。此贴提醒用户警惕此类伪装直连的中转站可能窃取敏感信息。

AI 深度解读

背景

近期,Linux Do 社区一篇匿名帖子曝光了一种涉嫌掺假的 Claude 拼车中转服务。该服务以“直连 Anthropic”、“官方 Claude 账号拼车”为卖点,通过咸鱼等渠道推广,并曾与站内某知名已跑路的中转站合作。发帖人声明未点名任何具体服务,且帖子内容可能纯属虚构,但分析过程展示了典型的逆向工程与安全反诈案例。

核心内容

该拼车中转站要求用户下载其第三方客户端,而非直接使用 Claude Code 官方客户端。据服务方解释,此举是为了同时登录 Claude Code 并配置“家宽代理”。然而,发帖人通过静态分析该第三方客户端的二进制文件发现:

  • 该客户端确实调用了 Claude Code 官方程序,且网络请求的目标 URL 为 api.anthropic.com,表面看似正常直连。
  • 但进一步分析发现,客户端会安装一个自定义证书,并且所有流量都会经过其声称的“家宽代理”。

在已安装自定义证书并使用代理的情况下,存在典型的中间人劫持(MITM)风险:代理服务器能够解密、篡改或记录原本加密的 HTTPS 流量。发帖人指出,如果真是直连,完全不需要额外安装自定义证书,因此该服务并非如其宣称的“直连”,实质是一个可以劫持流量的中转站。分析结果已使用 GPT 5.5 验证,且该模式与社区此前披露的另一案例高度相似(帖子链接:https://linux.do/t/topic/2526804)。

关键要点

  • 服务宣传为“直连 Anthropic”、“官方 Claude 账号拼车”,但实际需要第三方客户端。
  • 第三方客户端会下载并使用 Claude Code 官方程序,URL 指向官方 API 端点。
  • 客户端会安装自定义证书,并将流量路由到“家宽代理”,为中间人劫持创造条件。
  • 正常直连不应要求用户信任自定义证书,此举强烈暗示存在流量劫持和数据篡改风险。
  • 发帖人强调帖子非曝光,仅为逆向分析与反诈教程分享,未点名具体服务。
  • 类似模式此前已在社区被曝光,该帖提供了参考链接。

意义与影响

该分析揭示了一种利用“直连”噱头掩盖实际中转劫持行为的常见套路,对使用拼车或中转服务的用户具有重要警示意义:

  • 用户应警惕要求安装自定义证书或非标准客户端的“官方拼车”服务,这很可能意味着服务方具备解密流量的能力。
  • 模型 API 的拼车/中转市场存在严重安全隐患,用户输入的所有数据(包括 Prompt 和返回结果)可能被第三方窃取或篡改。
  • 逆向工程和安全分析是用户在信任第三方服务前应掌握的基本技能,或者应依赖社区验证。
  • 此类案例也提醒服务提供方,如果确实需要代理加速,应当透明说明技术方案,并通过合法途径(如使用可信 CA 签发的证书、明确隐私政策)建立信任,而非隐藏自定义证书的行为。
查看原文 →linux.do