7月1日,一则消息在开发者社区炸开了锅——Anthropic旗下的AI编程工具Claude Code被曝内置了一套隐蔽的检测机制,专门用于识别并标记来自中国的代理用户。更令人震惊的是,这套代码自今年4月2日起便已存在,却在多个版本的更新日志中从未被提及。
事件的起因颇具戏剧性。一位开发者因日常使用代理管理GPT和Claude的调用逻辑,突然发现Anthropic的最新版工具一旦检测到代理便直接罢工。工作流被打断的愤怒,驱使他决定“拆开”Claude Code的外壳一探究竟。然而,当他完成逆向工程的那一刻,看到的不是简单的逻辑判断,而是一段潜伏了整整三个月的秘密代码——任何官方发布说明中均只字未提。
据安全研究员披露,这套检测机制仅在用户设置了ANTHROPIC_BASE_URL环境变量、将API请求转发到非官方代理服务器时才会激活。一旦触发,Claude Code会执行两项检查:第一,读取系统时区,判断是否为Asia/Shanghai或Asia/Urumqi;第二,提取代理域名,与一份硬编码在二进制文件中、经过XOR-91加密和Base64编码混淆的147个域名清单进行比对。这份清单涵盖了百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等中国科技企业与AI实验室的域名,以及大量Claude API中转站和镜像服务地址。
然而,最令开发者愤怒的并非检测本身,而是其传输方式——隐写术。Claude Code在每次请求的系统提示词中都会写入一行日期信息,例如“Today's date is 2026-06-30.”。根据检测结果,它会悄悄修改两个地方:若系统时区命中中国时区,日期格式从“2026-06-30”变为“2026/06/30”;“Today's”中的撇号则被替换为三种视觉上几乎无法分辨的Unicode字符,分别对应“命中中国域名但非AI实验室”、“关联中国AI实验室”以及“两者均命中”三种状态。这些字符差异在绝大多数等宽字体中肉眼无法分辨,但Anthropic的服务器端却可通过机器解析轻松识别。
事件曝光后迅速引发开发者社区强烈反响。Anthropic Claude Code团队成员Thariq Shihipar在X上回应称,该机制是团队于2026年3月上线的“实验性”措施,目的是防止未经授权的账户转售以及防范模型蒸馏攻击。他表示团队此后已部署了更强缓解措施,原本也计划下线该实验,相关PR已合并,将在7月2日发布的新版本中完全回滚并删除检测代码。
但这一解释并未平息质疑。安全研究员指出,这套机制作为反滥用手段“很弱”,真正的专业转售商绕过它只需几秒钟;而作为隐私问题,它却标记了大量本不该被标记的合法用户。更令人担忧的是Claude Code的权限级别——它能读取用户的代码仓库、运行终端命令、修改文件。正如一位开发者所言:“一个水印,如果光明正大写在文档里,那叫产品策略。一个水印,如果被加密、被藏进二进制、被从更新日志里抹掉——那它图什么?”信任一旦崩塌,重建谈何容易。


