科技与自然
·
差评
·
2026-07-01 15:35

为了不让中国人用 Claude,A社塞了个“间谍软件”

一个可以完全读取你电脑文件的软件,在用户不知情的时候悄悄收集个人信息,然后藏着掖着发回到自己的服务器....这算是个什么性质的软件?

间谍软件吗?

 

最近,Claude 就被人抓住了马脚。

前两天,Claude 又来了一波史诗级大封号,大家上网冲浪唠嗑,就连咱们公司的小伙伴都给封了一大批,甚至就连人在韩国团建的小黑胖也被封了号。

 

大家本以为这只是一次常规的 IP 清理,但今天,有老哥直接把 Claude Code 命令行客户端给反编译了,扒出了它用来判断和封号的底层逻辑。

结果大家发现,Claude 为了不让咱们用上它们的模型,是真的煞费苦心。。。

为了悄无声息地把人给找出来完成封号,Claude Code 在我们的电脑里藏了一波连环套。

它会先通过一堆机制来收集这台电脑里的个人信息,然后再通过一种肉眼几乎不可见的办法,把这些信息发送回 Anthropic 的服务器里去。

 

在进入技术细节之前,咱们先来交代个背景:这事儿在圈内已经闹得沸沸扬扬了。咱们的老朋友卡兹克今早刚发了一篇深度拆解,把 Claude 的这波操作扒得底裤都不剩。

我们也把里面最关键、最值得注意的部分给大家捋了一下。

要做到这一步,Claude 在运行的时候,会先在你的系统里做检查,检查你有没有设置过一个叫做 “ ANTHROPIC_BASE_URL ” 的变量。

 

如果是正常能直接连上 Claude 的用户,那它的系统里根本就没有这个变量,但众所周知,咱们要直接能连上 Claude 是不太可能。

所以一般来说,大家想用 Claude 的话,都会设个中转代理,让我们的电脑先连上第三方的站点中转一下才行。

一些大公司更是如此,让每个员工自己去注册一个 Claude 账户也不现实,所以一般来说,这些大厂都会自己内部建个中转站来过渡一层,让员工先连上内部的网址,再过渡到 Claude 的服务器上。

 

而这一中转就留下了痕迹,在发现大家开了中转代理后,咱们就已经上了 Claude 的初步怀疑名单了,接下来它还会继续干两件事。

先是把咱们用中转站的网址和一份内部名单做对比,这份名单里记载了很多国内大公司的名字,比如最前面的 sankuai.com 就是美团的,后面也都是咱们的老熟人,网易、百度、阿里、字节。。。

基本国内的大厂都是绑上有名。

 

然后,Claude 还会收集系统里的时区信息,如果发现你用的是北京时间,那也会被它给偷偷记下来。

而且,这些操作全是在后台加密运行的,普通用户根本无从察觉。

这次能被抓个现行,纯属机缘巧合。开发者在反编译时,通过推演破解了加密密钥,而这把钥匙的规律,正好对应上了功能上线时的版本号:91。

也多亏了这次巧合,Claude 这套藏在暗处的数据回传机制,才终于被公之于众。

 

最后,也就是最关键的一步要来了。

如何要把这些在用户电脑上收集的关键信息给传回去。

Claude 也不傻,如果直接把这些信息给发出去的话,可能一天不到就全给人扒出来了。

 

可要是额外加一层加密传输,网络流量里突然冒出一串莫名其妙的加密数据,又显的有些此地无银三百两的感觉了。

于是,他们选择了一种极其隐蔽的隐写术,把这些敏感信息,伪装成了一串再普通不过的日期格式。

Today's date is 2026-07-01.

 

所谓最危险的地方就是最安全的地方,就在上面这段话里就藏进去了 Claude 偷偷加的小料。

众所周知,大家在和 Claude 对话的时候,系统在咱们的对话之外,自动把一段辅助的上下文提示词给打包进去。

你和 Claude Code 说句 Hi,可能就直接用掉了两三万的上下文。

而这两三万的上下文里,就有这句描述日期的提示词。

 

但就在这么简单的一个日期里,藏进去了刚才 Claude 检测到的所有信息。

大伙在扒拉完代码后,发现 Claude 在这段话里偷偷修改了两处格式。

 

第一处是:“ Today's ” 中间的这个撇 “'” 号。

众所不周知,在我们的电脑里,有好几个看起来很像,但实际完全不一样的撇号。

在计算机的眼里,这些撇号是由完全不同的 Unicode 代码组成的,

而 Claude 就会会根据我们电脑上不同的情况,来替换上不同的撇号。

另一边,Claude 还会对日期的分割符动手脚。

 

这个日期格式,如果一切正常的话,默认的写法是 2026-07-01,可一旦它检测到咱们的电脑设置的时区是北京时间或者是乌鲁木齐的 ( Asia/Shanghai 和 Asia/Urumqi ),那它就会把日期给写成 2026/07/01,偷偷换了一个格式。

通过这个撇号和时区的双重认证,Claude 就能偷偷把自己收集到的信息,给悄咪咪的给传出去。

 

整套操作可以说是神不知鬼不觉,不给人扒出来的话,可能大家到死都想不出这些信息是怎么泄漏的。

而这波连招在被人给扒出来之后,整个开发者社区都炸了锅。

 

大家之所以这么愤怒,不仅仅是因为被封号这么简单,而是有种给人背刺了的感觉。。。

因为现在,开发者们为了让 AI 能更加好用,往往会把电脑里的各种本地文件的读写权限,甚至命令行的执行权限都交给 AI 来干,

毕竟有多少上下文,有多少智能。

 

大家对 AI 公司的信任,是一种宝贵的财富,人们期待的是一个得力助手,结果你却背地里搞这种 “ 赛博东厂 ” 的监控。

今天查时区和代理,明天是不是还会收集更多?

而 Claude 虽然一直喊着自己这么做,是为了防止被蒸馏,但是反蒸馏这三个字,和 Anthropic 这家公司放在一起其实有点好笑。

 

说夸张点,在蒸馏人类知识这块,Anthropic 确实没输过谁。

23 年的时候就因为拿别人的歌词训练模型而被人告上法庭。

24 年的时候,还因为使用盗版数据训练大模型,被法院判决罚款了 15 亿元。

25 年的时候还因为用爬虫抓 Reddit 被人给起诉。

 

说白了,他们在单向蒸馏人类文明,把全网开发者的代码和创作者的心血拿来喂自家大模型的时候,可没见他们跟原作者这么客气,更没考虑过什么 “ 知识产权保护 ”。

结果现在自己靠着这些数据把模型做强大了,反而患上了极其严重的被害妄想症。天天喊着防贼、防套壳、防别人用 Claude 的产出去蒸馏小模型。

 

为了守住这所谓的护城河,甚至不惜违背最基本的信任,跑到开发者的本地电脑里搞这种暗搓搓操作。

这种只许州官放火,不许百姓点灯的做派,多少有点又当又立了。

企业保护自家的核心资产可以理解,防作弊也是行业惯例。但你完全可以堂堂正正地在服务端做风控,或者在用户协议里明着写出来。

我登陆个网贷软件都会给你弹个用户协议吧,但 Claude 这次则是一声不吭直接干了。

当面打着安全与道德的旗号,背地里却偷偷在高权限的工具里植入混淆暗号,这就叫越界。

 

甚至就连 Claude 自己也知道这些小动作不光彩,在被人扒拉出来后,官方也是光速滑跪,迫于舆论压力要把这个偷偷传递信息的机制给下了。

但下的还只是暴露出来的,Claude 的代码底下,是否还有很多没暴露出来的信息呢?官方说的 “ 更强力的措施 ” 又是啥呢?

现在,这层窗户纸已经被捅破了,开发者和 AI 巨头之间的信任危机才刚刚开始。

撰文:早起编辑:江江 & 面线美编:素描

图片、资料来源:

https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/

https://thereallo.dev/blog/claude-code-prompt-steganography

https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/

https://x.com/trq212/status/2072079729331777817

https://x.com/passluo/status/2071934993337929941

部分 X 截图

用户发布内容分享,若违规侵权,请联系我们核实删除

User-generated content. For violations or DMCA, contact us for removal

收藏 礼物
评论列表 查看 5 条评论