Claude账号疑似遭遇提示词注入攻击

背景

在 AI 应用日益普及的当下，除了直接通过官方渠道订阅服务外，市场上也涌现出大量第三方号商，提供基于 OAuth 登录的 Claude 账号共享或转售服务。近期，在 LINUX DO 社区的 AI 板块中，出现了一起引发广泛关注的异常案例：一位用户反馈其朋友购买的 Claude 账号在通过特定代理（IP+端口）连接 Claude Code 时，出现了疑似“提示词注入”或“会话串线”的诡异现象。由于涉及非官方渠道的技术细节和安全隐患，该帖子引发了社区成员对于此类黑灰产技术原理及防御思路的深入探讨。

核心内容

该案例的核心在于用户通过非官方号商获取 Claude 服务时，遭遇了异常的行为表现。具体情境如下：

1. 服务获取方式：用户的朋友并非通过 Anthropic 官方渠道订阅，而是从不知名的第三方号商处购买账号。登录方式为 OAuth（开放授权协议），这意味着用户并未直接持有账号密码，而是通过授权令牌访问服务。
2. 异常现象：在使用 Claude Code 进行开发辅助时，对话内容出现异常。用户怀疑这并非正常的模型输出，而是出现了两种可能性：
   • 会话串线（Session Hijacking/Cross-talk）：不同用户的对话上下文发生了混淆，看到了不属于自己会话的内容。
   • 上游 API 提示词注入（Prompt Injection）：在发送给 Claude 的原始请求中，被强行插入了额外的指令或内容，导致模型行为偏离预期。
3. 技术环境：号商提供了一套特定的访问配置，包括一个 IP 地址和一个端口号，要求用户将 Claude Code 的配置指向该代理。这种架构通常用于隐藏真实 IP、进行流量转发或实施中间人攻击。
4. 求助诉求：发帖人表示自己和朋友均非计算机专业出身，面对这种疑似被篡改的请求或返回数据，缺乏排查思路。他们希望了解这种注入是如何实现的，以及从技术角度应如何追溯和验证这一现象。

关键要点

• 非官方渠道的风险：通过第三方号商使用 OAuth 登录，意味着用户将部分信任交给了中间人。号商控制的代理服务器（IP+端口）有能力拦截、修改或记录所有经过的数据包。
• 提示词注入的可能性：如果号商在代理层面对 HTTP 请求进行了修改，可以在用户发送给 Claude API 的 JSON 数据中注入额外的 System Prompt 或 User Message。这会导致 Claude 执行号商预设的指令，而非用户的真实意图。
• 会话串线的技术成因：若 OAuth 令牌管理不当，或代理服务器错误地复用了会话状态（Session State），可能导致不同用户的请求被错误地关联到同一个对话上下文中，从而出现“串线”现象。
• 排查方向建议：
  • 抓包分析：使用 Wireshark 或 Charles 等工具拦截本地网络流量，查看发送给代理的实际 HTTP 请求体（Request Body），确认其中是否包含异常的提示词片段。
  • 验证 OAuth 令牌：检查 OAuth 令牌的权限范围（Scope）及绑定情况，确认是否存在令牌泄露或被重复使用的情况。
  • 隔离测试：尝试更换网络环境或使用官方直连方式（若可行），对比行为差异，以排除本地配置错误。

意义与影响

此案例揭示了 AI 服务黑灰产链条中的潜在安全隐患。对于普通用户而言，使用非官方渠道的 Claude 账号不仅违反服务条款，更可能面临数据隐私泄露、账号被盗用以及被恶意操控的风险。

从技术角度看，它提醒开发者在使用第三方代理或 API 网关时，必须重视中间人攻击（MITM）的可能性。特别是在涉及 OAuth 等敏感认证机制时，任何对请求流量的非预期修改都可能导致严重的逻辑漏洞。对于社区而言，此类讨论有助于提升用户对 AI 服务安全边界的认知，推动更透明的技术分享和更严谨的安全实践。