
文章目录Claude Code隐写术事件技术解析时区检测、黑名单与Unicode隐写机制全记录一、引言二、事件全貌从3月实验到7月回滚的时间线三、技术机制深度拆解3.1 触发条件非官方 API 端点3.2 两份隐藏黑名单3.3 隐写回传系统提示词里的隐形墨水3.4 技术机制示意3.5 为什么用混淆而不是明文实现四、Anthropic的官方回应五、争议焦点5.1 隐私合规质疑5.2 阿里巴巴禁用 Claude Code5.3 开发者社区的信任冲击六、行业视角反滥用与反蒸馏手段的边界在哪里七、总结Claude Code隐写术事件技术解析时区检测、黑名单与Unicode隐写机制全记录一、引言亲爱的朋友们创作不容易若对您有帮助的话请点赞收藏加关注哦您的关注是我持续创作的动力谢谢大家有问题请私信或联系邮箱jasonai.fngmail.com2026 年 6 月 30 日Reddit 用户 LegitMichel777 逆向分析 Claude Code 客户端时发现了一段自 2026 年 4 月 2 日发布的 2.1.91 版本起就悄悄存在、且从未出现在任何更新日志里的混淆代码。这段代码会读取用户系统时区、检查代理域名是否命中一份内部黑名单然后把判断结果通过对系统提示词里几个不起眼字符的微调隐写式地回传给服务端——整个过程用户完全无感知。这一发现在 24 小时内被 Cybernews、The Register、The Decoder 等多家科技媒体证实并跟进Anthropic Claude Code 团队工程师 Thariq Shihipar 随后在 X 上公开回应承认这是 3 月上线的一个实验性反滥用机制并宣布已在 7 月 1 日的更新中将其移除。阿里巴巴随后宣布禁用 Claude Code。本文尝试把这一事件的技术机制、时间线、各方回应和行业影响完整梳理清楚。二、事件全貌从3月实验到7月回滚的时间线时间节点事件2026年3月据 Anthropic 员工事后披露该机制作为一项实验性功能在内部上线目的是遏制未授权代理商滥用账号并防范模型蒸馏行为2026年4月2日Claude Code 2.1.91 版本发布检测逻辑随版本上线但更新日志中未提及2026年6月30日Reddit 用户 LegitMichel777 逆向分析客户端二进制文件发现被 XOR密钥 91加密并以 Base64 编码存储的两份黑名单以及隐写式回传机制并公开发帖说明2026年7月1日Cybernews、The Register 等媒体跟进报道Anthropic 工程师 Thariq Shihipar 公开回应称移除工作其实一直在计划中修复补丁随新版本发布到 npm2026年7月1日之后阿里巴巴宣布禁用 Claude Code多家媒体讨论 GDPR 合规与用户信任问题需要说明的是这一事件发生在更大的背景之下Anthropic 此前已以国家安全为由限制 Claude 在中国的可用性并公开指控包括阿里巴巴在内的中国企业对其模型实施了已知规模最大的蒸馏攻击。这段隐藏检测逻辑本质上是这场反蒸馏博弈中的一个技术环节。三、技术机制深度拆解3.1 触发条件非官方 API 端点检测逻辑的触发前提是环境变量ANTHROPIC_BASE_URL指向了非api.anthropic.com的地址——也就是用户通过代理或第三方镜像服务访问 Claude Code 的场景。一旦检测到这个条件客户端会提取代理域名同时读取本地系统时区。3.2 两份隐藏黑名单据逆向分析结果代码中内置了两份以 Base64 编码、XOR密钥 91加密后存储在二进制文件中的列表运行时解密使用列表内容规模域名/网络列表中国企业网络、中国云基础设施区域、中国 AI 实验室、Claude API 代理或镜像服务域名147 条AI 实验室关键词列表包括 deepseek、moonshot、minimax、zhipu、baichuan、stepfun、dashscope 等厂商关键词11 条客户端会把代理域名与这两份列表做匹配同时判断系统时区是否为Asia/Shanghai或Asia/Urumqi。3.3 隐写回传系统提示词里的隐形墨水真正引发广泛关注的不是检测本身而是结果的回传方式——它没有走任何显式的遥测接口而是通过修改系统提示词里Today’s date is…这一行的呈现方式把判断结果编码进去日期格式命中标记时日期分隔符从连字符-切换为斜杠/撇号字符“Today’s date is” 中的撇号被替换成三种视觉上几乎无法分辨、但 Unicode 编码点不同的撇号变体字符之一具体替换成哪一个取决于触发了哪些标记位。这些改动对人眼几乎不可见但服务端可以通过解析请求中的系统提示词文本精确还原出客户端判断的结果——这正是隐写术steganography在这里的确切含义信息被隐藏在看似正常的载体日期字符串内部而不是通过一个显眼的、可被审查或拦截的独立字段传输。3.4 技术机制示意客户端启动 │ ▼ ANTHROPIC_BASE_URL ≠ api.anthropic.com──否──▶ 不触发检测 │ 是 ▼ 读取代理域名 系统时区 │ ▼ 与147条域名黑名单 / 11条AI实验室关键词比对 与 Asia/Shanghai、Asia/Urumqi 时区比对 │ ▼ 命中结果 ──▶ 编码为 ├─ 日期分隔符 - → / └─ 撇号字符替换为3种变体之一 │ ▼ 嵌入系统提示词 Todays date is ... 一行 │ ▼ 随正常请求回传服务端 ──▶ 服务端解析文本还原判断结果3.5 为什么用混淆而不是明文实现代码本身用 XOR 加密加 Base64 编码存储黑名单这种做法在正常的反滥用工程中并不罕见——直接把黑名单明文打包进客户端等于把如何绕过检测的说明书也一起发给了想绕过检测的人。但问题在于这套机制从未在任何用户可见的文档、更新日志或服务条款中被披露用户既不知道这项检测的存在也没有渠道选择退出这才是引发信任危机的核心——手段是否合理见仁见智但缺乏透明度是明确的事实。四、Anthropic的官方回应Claude Code 团队工程师 Thariq Shihipar 在事件曝光当天于 X 平台公开回应将其定性为我们在 3 月上线的一项实验目的是防止未授权代理商滥用账号以及防范针对模型的蒸馏行为。他同时表示团队后续已经上线了更强的防护手段移除这项机制其实一直在计划中并确认对应的代码回滚 PR 已在 7 月 1 日合并随新版本一并发布。从回应内容看Anthropic 没有否认检测机制的存在也没有否认其针对性列表明确包含中国云区域、AI 实验室关键词而是把这一行为定性为一项已经过时、原本就打算下线的实验性反滥用手段而非否认其发生过。五、争议焦点5.1 隐私合规质疑多家媒体报道指出这种未经披露、无法退出、且通过隐写方式规避常规审查的数据回传方式涉嫌违反 GDPR 等数据保护法规中关于处理透明度的要求也与 Anthropic 自身长期宣传的高透明度值得信赖的 AI 供应商定位形成反差。5.2 阿里巴巴禁用 Claude Code事件曝光后阿里巴巴宣布在其内部禁用 Claude Code。多家报道将这一决定与 Anthropic 此前公开指控阿里巴巴对其模型实施已知规模最大的蒸馏攻击的表态联系起来看待——即这次隐写检测事件被外界解读为双方在模型蒸馏争议上摩擦的延续而不是一次孤立的技术事故。5.3 开发者社区的信任冲击对开发者而言更深层的担忧不在于这一次具体检测了什么而在于方法论本身留下的先例如果系统提示词可以被用作隐蔽回传信道且这种改动在正常使用中完全不可见那么用户事实上失去了对客户端到底在传什么信息的可验证性。这也是为什么即便 Anthropic 已经下线该功能围绕它的讨论仍在持续——技术手段的可复用性比某一次具体的检测目标更让社区警惕。六、行业视角反滥用与反蒸馏手段的边界在哪里模型蒸馏用目标模型的输出去训练自己的模型是当前大模型厂商普遍面临的问题行业里常见的应对手段包括速率限制、账号异常行为检测、服务条款约束、输出水印等这些手段大多是显式的——用户能在文档或服务条款里查到规则即便无法绕开至少知道规则存在。Claude Code 这次事件的特殊性在于它把检测逻辑做成了隐式、不可发现、且带有地域/厂商针对性的形式这在已披露的行业案例中较为少见目前没有找到其他主流大模型厂商被曝出过类似手法的公开先例这一判断基于当前公开报道的检索结果不排除类似机制在其他厂商中以未被发现的形式存在。这也是本次事件之所以被广泛报道而不是被当作一次常规反滥用工程处理的原因——争议点不在要不要防蒸馏而在用隐写术悄悄针对特定地域用户做识别且不告知用户这件事本身是否越界。七、总结维度核心要点触发条件ANTHROPIC_BASE_URL指向非官方端点即用户通过代理/镜像服务访问时触发检测内容系统时区Asia/Shanghai、Asia/Urumqi 147条域名黑名单 11条AI实验室关键词回传方式隐写术修改系统提示词中的日期分隔符与撇号字符变体视觉不可见但可被服务端解析存在周期2026年4月2日v2.1.91上线2026年6月30日被逆向发现7月1日修复上线官方定性Anthropic 员工回应称为3月上线的反滥用/反蒸馏实验非否认其存在行业影响阿里巴巴禁用 Claude CodeGDPR合规质疑开发者社区信任受损这一事件真正值得记录的地方不是某家公司又一次收集了数据而是它把反滥用这件本可以摆在明处做的事做成了一个只有逆向工程才能发现的隐藏通道。技术上是否精巧和是否应该被公开披露是两件完全不同的事——前者关乎工程能力后者关乎对用户最基本的知情权。随着修复补丁的发布这一具体的检测机制已经下线但它留下的方法论疑问——系统提示词是否应该被视为可信、透明的通信内容——大概率会在未来一段时间内持续被开发者社区讨论和审视。参考资料Anthropic is removing its covert code for catching Chinese competitors — The Register, 2026-07-01Claude Code apparently uses code to detect Chinese users: Is this fine? — CybernewsHidden code in Claude Code secretly flagged Chinese users — The DecoderClaude Code Hid Proxy Fingerprints in System Prompts: Anthropic Promises Fix — Tech Times, 2026-07-01Alibaba bans Claude Code after Anthropic is caught tracking Chinese users with hidden code — TheNextWebClaude Code Is Steganographically Marking Requests — thereallo.devAnthropics Claude Code Reportedly Uses Hidden Code to Detect Chinese Users — Cybersecurity News