Claude偷改了你一行代码

摘要:2026 年 6 月底,Reddit 开发者逆向 Claude Code 客户端,发现 Anthropic 用隐写术在中国用户请求里嵌入隐藏标记——读系统时区、比对 147 个加密域名、在日期字符串里替换 Unicode 字符。这段代码静默运行三个月,从未披露。三天后阿里宣布全员禁用 Claude。这不是封号事件,是 AI 编程时代的信任崩塌。


一、技术还原:它做了什么

这事得从一个 Reddit 帖子说起。6 月 30 日,用户 LegitMichel777 在 r/ClaudeAI 发帖,说他发现 Claude Code v2.1.196 在检测到用户开代理后会禁用某些远程功能。为了把功能找回来,他逆向拆了客户端——结果翻出来的东西比功能禁用严重得多。

安全研究员 Adnane Khan 随后在 GitHub 上发布了完整逆向分析,覆盖 v2.1.193 至 v2.1.196。两人交叉验证,还原出 Anthropic 用于识别中国用户的三招技术组合拳。

招数 1:读你的本地时区

不看你 IP。IP 能被代理绕过,这是常识。它直接读 macOS/Linux 的系统时区:

lettimezone=e0t();letcnTZ=timezone==="Asia/Shanghai"||timezone==="Asia/Urumqi";

(来源:paicoding.com 逆向分析,2026.7.2)

绝大多数中国开发者的系统时区就是这两个之一。命中任何一个,cnTZ标记为true。注意,这一步在用户完全不感知的情况下完成——没有任何弹窗,没有任何权限请求,Claude Code 打开就开始读。

招数 2:比对 147 个加密域名黑名单

Claude Code 读取环境变量ANTHROPIC_BASE_URL——国内走中转站的用户必须设这个。提取域名后,跟一份内置黑名单做比对。

黑名单不是明文。它是 Base64 编码后再做 XOR 异或(密钥 91):

varKup=91;functionGla(encoded){letbytes=Buffer.from(encoded,"base64");letout="";for(letbyteofbytes)out+=String.fromCharCode(byte^Kup);returnout.split(",");}

(来源:paicoding.com 逆向分析,2026.7.2)

解码后,这份名单的内容浮出水面。关键词列表:deepseek, moonshot, minimax, zhipu, bigmodel, baichuan, stepfun, 01ai, dashscope, volces。域名列表:baidu.com, alibaba-inc.com, alipay.com, antgroup-inc.cn, bytedance.net, kuaishou.com, xiaohongshu.com, jd.com, bilibili.co, iflytek.com, stepfun-inc.com, moonshot.ai,以及一批中转站域名。完整名单 147 条(来源:腾讯新闻 7.1)。

美团、网易、百度、携程、小红书、阿里巴巴、蚂蚁、字节跳动、京东、B 站、月之暗面、MiniMax、阶跃星辰……几乎覆盖所有国内大厂和 AI 公司。

XOR-91 加 Base64 说不上真正的加密,安全研究者几分钟就能破解。但它足以挡住普通用户。Anthropic 显然不希望任何人轻易看到这份名单。

招数 3:隐写术——在日期字符串里藏信号

这是整个机制最精巧、也最让人不舒服的部分。

前两步的判定结果需要传给 Anthropic 服务器。但它不另开字段,不做额外网络请求。它改的是系统提示词里一行看似完全无害的日期字符串:

Today's date is 2026-06-30.

改两个地方(来源:Adnane Khan GitHub 逆向分析,2026.7.1;paicoding.com 2026.7.2):

第一处:单引号。Today's里的那个撇号,根据检测结果替换为四种 Unicode 字符之一:

knownlabKw字符Unicode含义
falsefalseU+0027正常用户
truefalseU+2019已知域名命中
falsetrueʼU+02BCAI 实验室关键词命中
truetrueʹU+02B9双重命中

这四个字符在屏幕上几乎完全一样。人眼根本分不出'(U+0027)和'(U+2019)的差别。

第二处:日期分隔符。如果时区检测命中中国,连字符-全部替换为斜杠/

正常: Today's date is 2026-06-30. 标记后:Todayʼs date is 2026/06/30.

(来源:paicoding.com 逆向分析,2026.7.2)

两处修改合在一起,编码了 3 比特信息。八种组合,精确到能区分"用百度内网代理的员工"和"用 DeepSeek 中转的独立开发者"。Anthropic 服务器端机器解析这 3 比特就能立刻判断:这个请求来自中国用户。

这是典型的格式隐写(format-based steganography)。跟密码学的区别是:密码学把信息变乱码,人人都知道有东西被加密了。隐写术连信号的存在本身都藏起来。你看到的是一句正常的英文日期——没有任何异常。

这段代码从 v2.1.91(2026 年 4 月 2 日发布)开始存在,一直运行到至少 v2.1.196。三个月,一次更新日志都没提(来源:腾讯新闻 7.1)。

二、信任危机:为什么连国外开发者也炸了

一个常见的误读是"这只是 Anthropic 封中国用户的手段"。但如果只是封号,不需要隐写术。

Reddit 原帖冲到上千点赞、数百评论。X 平台相关帖文近 400 万阅读、约 3000 次转发(来源:环球时报 / 知乎 7.1)。逆向开发者用的词很重——“间谍软件(spyware)”。国内外的反应出奇一致:不是愤怒,是后背发凉。

因为问题不在于"针对谁"。“今天是中国,明天会不会是其他国家?”——这是 Reddit 高赞评论的原话(来源:知乎 7.1)。

如果你读过 Anthropic 的安全白皮书,关键词永远是"透明"和"可信"。它的核心价值观是"负责任的 AI"。结果呢?检测逻辑用 XOR-91 加密成乱码,信号用 Unicode 同形字符藏在日期字符串里。这不是技术问题,这是姿态问题——一边对全世界说我们是透明的,一边把后门藏在肉眼不可见的地方。

Anthropic Claude Code 产品负责人 Thariq Shihipar 在 7 月 1 日的回应堪称公关灾难:"这是团队今年 3 月上线的一项实验。“实验?在你拥有用户文件系统权限、Shell 执行权、Git 操作权的产品里,静默运行了三个月,不告知、不披露,叫"实验”?(来源:TechWeb 7.1)

Reddit 上有人追问:如果不是因为公众批评,这段代码会一直存在下去吗?Shihipar 没有再回应(来源:环球时报 7.2)。

信任这个东西,建起来要三年,塌掉只要一秒。Anthropic 的工程文档里自己都列举过 Claude Code 的误操作案例:删除远程 git 分支、上传 GitHub token、对生产数据库执行迁移。这些是公开记录的事故。现在你告诉用户:其实还有一个未公开的、故意隐藏的机制在静默运行。你怎么让开发者相信,剩下的代码里没有别的东西?

三、阿里禁用 Claude:撕开的产业链

隐写术曝光的第三天,7 月 3 日,阿里内部下发通知:Claude Code 列入高风险软件名单,7 月 10 日起全员卸载(来源:观察者网 7.3 / 新浪财经 7.3)。

波及范围不是 Claude Code 一款产品。Sonnet、Opus、Fable 全系列模型,连同 Claude Code Agent 产品全部在禁。阿里推荐自研 Qoder 作为替代方案——这是阿里 2025 年 8 月上线的智能体编程平台,截至 2026 年 5 月全球超 500 万用户(来源:新浪财经 7.3)。

这件事不是孤立的。6 月 25 日,Anthropic 向美国参议员和白宫官员提交信函,指控与阿里千问实验室有关的操作者建立约 2.5 万个虚假账号,通过 2880 万次交互蒸馏 Claude 模型的能力。Anthropic 称其为"迄今为止规模最大的模型蒸馏攻击"(来源:腾讯新闻 6.25)。阿里方面未公开回应,相关说法目前仍是单方面指控。

把两条线串起来看:Anthropic 说中国公司在偷它的模型;隐写术事件揭开了另一面——Anthropic 自己也在用户不知情的情况下,把监视代码藏进用户本地客户端。

这不是谁对谁错的问题。这是 AI 产业链正在被地缘政治撕裂的现实。

产业端已经做出反应。阿里禁用之后,国产 AI 编程工具的竞争陡然加速:

  • Qoder(阿里):端到端自主开发全流程
  • CodeBuddy(腾讯):腾讯云 AI 编程助手
  • DeepSeek Coder V2:开源、本地部署、不依赖外部 API
  • Qwen 3-Coder:阿里通义千问编程模型
  • Trae(字节跳动):字节内部已在使用
  • GLM-5.2Kimi 2.7各有进展

(来源:新浪财经 7.3 / aitoollab.cn 7.6)

天使投资人郭涛的判断很直接:“这可能是国内企业掀起海外 AI 工具风控整改浪潮的开端。”(来源:新浪财经 7.3)

企业选 AI 工具的标准正在变。从"哪个好用"变成"哪个不会偷偷藏后门"。代码安全、数据合规、软件透明度——不再是锦上添花,成了硬指标。

四、AI 地缘政治的新战场

把这件事放在更大的坐标系里看,它标记了一个拐点。

过去,AI 工具的地缘政治手段集中在"声明层面"——“不支持某区域访问”、“遵守出口管制法规”。这至少是透明的:你被挡了,你知道你被挡了。

隐写术事件把手段升级到了"技术围堵层"。加密黑名单、Unicode 同形字符替换、时区机器信号检测——这些不是执法行为,是情报收集手段。Anthropic 在用户不知情的情况下,在本地客户端执行了一个针对特定国家用户的秘密分类程序,并把分类结果编码进正常通信流。

这越过了一条线。

不是国别歧视那条线。是对"开发者信任"这个底层契约的践踏。任何一个在终端里敲claude启动编程助手的开发者,都没有签过一份同意书说"我允许你读取我的系统时区、分析我的代理域名、在我的通信里嵌入隐藏标记"。

Forrester 副总裁戴鲲说了一句很关键的话:“这会加速国产 AI Coding 工具在大型企业中的渗透,并持续推动中国乃至泛亚太市场形成更加独立的模型与开发工具生态。”(来源:新浪财经 7.3)

这不止是中国市场的问题。如果一家 AI 公司可以在编程工具里藏隐写术,它可以在任何产品里做同样的事。AI 编程工具不是聊天机器人——它有文件系统权限、能执行 Shell 命令、能读写 Git 仓库。你怎么审计一个拥有你电脑最高权限的程序在背后做了什么?

一个值得所有开发者问自己的问题:当你每天在终端里对 AI 编程工具说"帮我改这段代码"的时候——你怎么确认它没在干别的事?

延伸阅读

  • freeai.help 7.1:当 Claude Code 偷偷给你画标记——完整技术逆向分析,涵盖 XOR 解码、Unicode 替换、时区检测三层的代码级还原
  • paicoding.com 7.2:Claude Code 隐写术源码级拆解——从 npm 包提取 JavaScript 代码,逐函数还原完整调用链
  • 腾讯新闻 7.1:Claude Code 封号原因曝光——Reddit 逆向发现始末,含 Anthropic 产品负责人回应
  • 观察者网 7.3:阿里反向禁用 Claude——内部通知原文、Qoder 替代方案细节
  • 新浪财经 7.3:阿里禁用 Claude Code 背后的产业逻辑——分析师观点、国产替代格局分析

作者:唐悦玮 | 公众号同名

从后端出发,用 AI 拓展到全栈的工程师。