
一款能够完全读取本地文件、间谍软件在用户毫无察觉的让中情况下收集隐私信息,并秘密回传至服务器的国人软件,究竟属于什么性质?社塞
这是否构成了典型的间谍软件(Spyware)行为?

近期,AI 巨头 Anthropic 旗下的间谍软件 Claude 再次陷入舆论漩涡。
此前,让中Claude 发起了一轮大规模的国人账号封禁行动,导致大量用户无法访问。社塞不仅普通用户受影响,间谍软件甚至包括国内多家科技公司的让中员工,以及正在韩国团建的国人公司成员,均遭遇了封号处理。社塞

起初,间谍软件外界普遍将此解读为针对异常 IP 地址的让中常规风控清理。然而,国人随着开发者对 Claude Code命令行客户端进行反编译分析,其底层的封号逻辑与数据采集机制被彻底曝光。
分析结果显示,Anthropic 为阻止特定地区(尤其是中国用户)使用其模型,设计了极为复杂的追踪与封锁策略。
为了实现隐蔽的识别与封禁,Claude Code 在用户本地环境中部署了一套“连环套”机制:
- 数据采集:通过多重机制收集用户电脑的系统信息。
- 隐蔽回传:利用肉眼难以察觉的技术手段,将收集到的数据加密传输回 Anthropic 服务器。
在深入技术细节之前,有必要说明背景:此事在开发者社区已引发轩然大波。知名博主“卡兹克”此前已发布深度拆解文章,详细剖析了 Anthropic 的操作手法。
本文基于多方信源,梳理出最核心且最具争议的技术细节。
一、 代理检测与黑名单比对
Claude Code 在启动运行时,首先会检查系统中是否存在名为 ANTHROPIC_BASE_URL的环境变量。
- 正常用户:通常直接连接官方 API,无此变量。
- 代理用户:由于直接访问 Claude 存在网络障碍,许多用户(尤其是企业用户)会配置第三方代理或内部中转服务。
一旦检测到代理设置,该用户即进入“初步怀疑名单”。随后,系统执行以下两步验证:
1. 域名黑名单匹配
Claude 会将代理服务器的域名与一份内部维护的“高风险域名列表”进行比对。该列表包含大量中国互联网巨头及其子域名,例如:
* sankuai.com(美团)
* netease.com(网易)
* baidu.com(百度)
* alibaba.com(阿里)
* bytegoofy.com(字节跳动)
若匹配成功,进一步确认用户位于受限制区域。

2. 时区指纹识别
系统还会读取操作系统的时区设置。若检测到时区为 北京时间(Asia/Shanghai)或 乌鲁木齐时间(Asia/Urumqi),则作为辅助判定依据。

二、 隐写术:数据是如何“隐身”回传的?
收集到敏感信息后,如何将其传回服务器而不被防火墙或流量监控发现?
Anthropic 并未采用直接加密传输(易引发警报),也未使用明文传输(易被拦截),而是采用了一种极其隐蔽的提示词隐写术(Prompt Steganography)。
核心原理:利用系统提示词(System Prompt)
在与 Claude 交互时,系统会自动注入一段辅助性的上下文提示词(Context Prompt)。这段提示词通常包含日期描述,例如:
"Today's date is 2026-07-01."
Claude 在这段看似无害的文本中,嵌入了经过编码的用户指纹信息。
编码机制:双重变异
开发者在反编译代码后发现,Claude 通过修改文本中的两个微小细节来编码数据:
- 撇号(Apostrophe)的 Unicode 替换
计算机中看似相同的撇号',实则由不同的 Unicode 字符组成。Claude 会根据采集到的特定信息(如代理类型、时区等),替换为对应的特殊 Unicode 撇号。

- 日期分隔符的格式篡改
- 默认格式:
2026-07-01(使用连字符-) - 特定条件:若检测到时区为
Asia/Shanghai或Asia/Urumqi,则改为2026/07/01(使用斜杠/)
通过这种“撇号+分隔符”的组合,Claude 能够将采集到的代理信息、时区等数据,伪装成正常的日期格式,随请求一同发送至服务器。

三、 曝光契机:版本号的巧合
此次事件之所以曝光,源于一次技术巧合。
开发者在反编译过程中,成功破解了用于加密回传数据的密钥。破解的关键在于,该加密密钥的生成规律与软件版本号挂钩。当软件更新至 v91版本时,其密钥规律被逆向推导出来,从而揭开了这一隐蔽的数据回传机制。

四、 社区愤怒:信任崩塌与“赛博东厂”
这一发现引发了开发者社区的强烈愤慨,原因远超“封号”本身:
1. 权限滥用与隐私侵犯
现代 AI 开发中,用户往往赋予 Claude Code 极高的本地权限,包括文件读写、命令执行等,以换取更高的智能水平。这种信任是 AI 协作的基础。
然而,Anthropic 的行为被指责为“赛博东厂”式的监控:
* 在用户不知情的情况下,后台静默收集系统指纹。
* 通过隐蔽手段将数据外传。
* 缺乏透明度,未在用户协议中明确告知此类数据采集行为。

2. “防蒸馏”理由的荒谬性
Anthropic 辩称此举旨在防止模型被“蒸馏”(Distillation,即利用大模型生成数据训练小模型)。然而,这一理由在公众看来极具讽刺意味:
- 历史争议:Anthropic 自身曾多次因数据版权问题陷入诉讼。
- 2023年:因使用受版权保护的歌词训练模型被起诉。
- 2024年:因使用盗版数据训练大模型,被法院判决罚款 15 亿元(注:此处为原文数据,实际法律细节可能复杂,但反映了舆论观点)。
- 2025年:因爬取 Reddit 数据被起诉。


批评者指出,Anthropic 在利用全网数据训练模型时,并未表现出对“知识产权保护”的尊重;而在模型成熟后,却以“防蒸馏”为名,对开发者实施严苛的本地监控,被视为“又当又立”。
3. 风控方式的越界
企业保护核心资产无可厚非,风控也是行业惯例。但合规的风控应做到:
* 服务端透明风控:在服务器端进行识别,而非侵入客户端。
* 用户协议明示:在用户协议中清晰披露数据采集范围与目的。
Claude Code 的做法是“暗箱操作”,在未告知用户的情况下植入混淆代码,严重违背了软件伦理与基本信任。

五、 后续影响:信任危机才刚刚开始
面对舆论压力,Anthropic 官方迅速回应,表示将移除这一数据回传机制。

然而,质疑声并未停止:
1. 是否彻底清除?官方仅移除了已曝光的机制,代码中是否还存在其他未披露的数据收集后门?
2. “更强力的措施”是什么?官方提到的替代方案,是否会带来更激进的风控手段?
这层窗户纸一旦捅破,开发者与 AI 巨头之间的信任裂痕已难以弥合。在 AI 深度融入开发流程的今天,“谁在监控谁”将成为悬在所有用户头顶的达摩克利斯之剑。
撰文:早起
编辑:江江 & 面线
美编:素描
图片来源与资料来源:
* https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/
* https://thereallo.dev/blog/claude-code-prompt-steganography
* https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
* https://x.com/trq212/status/2072079729331777817
* https://x.com/passluo/status/2071934993337929941
* 部分 X 截图






.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)
.gif)



