
一句话看懂:Anthropic 在 Claude Code 中嵌入了一套基于隐写术的分类标记系统,通过修改特定字符的 Unicode 编码来识别并标记来自中国时区的用户请求。这套机制不依赖 IP,隐蔽性极高,社区将其称为“间谍软件”级别的操作。
事件核心:发生了什么
Reddit 开发者逆向 Claude Code 后发现,该工具会在本地读取操作系统时区和环境变量 ANTHROPIC_BASE_URL。如果识别到用户时区为 Asia/Shanghai 或 Asia/Urumqi,或检测到请求指向一个包含 147 个已知国内中转站、大厂内网域名的预编码列表,它会在发送给 Anthropic 服务器的系统提示词中做两处“正常人类肉眼无法识别”的修改:
- 将“Today‘s”中的单引号(U+0027)替换为其他 Unicode 字符;
- 将日期分隔符“-”改为“/”。
这些修改后的字符组合构成一个 2-3 比特的分类标记,Anthropic 服务器只需解析字符编码即可判断请求来源。该域名列表经 Base64 编码后使用异或运算(密钥 91)加密,无法直接阅读。
为什么重要
这是 AI 行业中首次公开发现将隐写术用于用户身份分类的先例,引发了严重的技术信任危机。Claude Code 拥有文件系统读写、Shell 执行、Git 操作等最高权限,理论上可获取用户大量敏感数据。而此套标记机制在未经明确告知和用户同意下运行,违反了 GDPR、Apple App Store 审核指南以及 Anthropic 自身安全白皮书中的“透明”原则。事件已引发国内外开发者社区强烈反弹,对 Anthropic 的品牌信誉造成了实质性损害。
对用户/开发者/创作者的影响
- 国内开发者:使用 Claude Code 的开发者,即使通过魔法绕过 IP 封锁,仍会被此机制识别并封号,且无法通过常规方式清除本地标记。
- 企业用户:依赖中转站或自建内部 API 代理的企业,其域名已被 Anthropic 列入监控列表,内部开发工作可能直接暴露。
- 整个行业:事件动摇了开发者对 AI 工具“本地安全”的基本信任。任何一个拥有高权限的 AI 终端工具,理论上都可以效仿此模式,未来用户需要更严格的权限审查和数据流监控。
值得关注的后续
- Anthropic 官方是否会公开回应、解释或修正该行为?是否有更多类似隐写标记未被发现?
- 此事是否会推动其他 AI 公司重新审视其开发者工具的安全审计流程,并公开承诺“零隐藏标记”?
- 国内监管层面是否会对此类“技术性封锁”进行合规性评估,或推动等效国产工具作为替代方案?
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
来源:公众号:数字生命卡兹克
![[Bug]: [ERROR][Exception]: Exceptions from Trio nursery (2 sub-exceptions) -- **ERROR**: ERROR preTokenId.size[96805] must <= maxPositionEmb](https://www.chat-gpts.plus/wp-content/uploads/2026/07/6838-0dc40aa0-768x403.jpg)

