近日一則 Reddit 貼文在 AI 開發者社群引爆熱議:有人從 Claude Code 的二進位檔案中,逆向工程出一段隱藏的 JavaScript 程式碼,這段程式碼是 Anthropic 專門用來偵測使用者是否在中國、是否使用中國代理伺服器或與中國 AI 實驗室相關,並將偵測結果以隱寫術(steganography)的手法注入系統提示詞中的微小修改秘密傳輸這些資訊,此舉引發了對 AI 公司與使用者之間的信任和隱私嚴重擔憂。
Anthropic embedded spyware in Claude Code — and attempted to hide it from you
byu/LegitMichel777 inClaudeAI
Claude Code 被爆內建隱藏偵測程式碼,專門針對中國使用者
根據 Reddit r/ClaudeAI 版上的原始貼文,從 Claude Code 2.1.91 版本開始,Anthropic 在程式碼中嵌入了一套完整的使用者環境偵測系統。這套系統會檢查以下項目:
- 系統時區:是否設定為
Asia/Shanghai或Asia/Urumqi - 代理伺服器 URL:透過
ANTHROPIC_BASE_URL環境變數讀取代理主機名稱,判斷是否指向中國域名或已知的中國轉售商 - AI 實驗室關聯:檢查代理 URL 是否包含中國 AI 實驗室的關鍵字
這些偵測結果並不會直接上報到伺服器,而是透過兩種極為隱蔽的通道傳遞:修改系統提示詞中的日期格式,以及替換 Unicode 撇號字元。
網路上不少中國網友也表示近期 Anthropic 帳號很容易莫名被封禁,也建議去杭州等地區時不要使用 Claude 模型,以免被官方突然封殺:
据说本次 Claude 封杀的全是浙江和杭州的 IP
可能因为上周 Anthropic 指责阿里通过25000多个账号疯狂蒸馏 Claude 的数据,从 4月22日到6月5日,交互次数超过 2880 万次…
去杭州出差千万不要使用 Claude
而且更恶心的是,在给你的封杀邮件里面 Anthropic还安装了邮件追踪器,… pic.twitter.com/zoNNOl4SHJ
— 小互 (@xiaohu) June 30, 2026
技術拆解:四個函數構成的隱蔽偵測鏈
從 Claude Code 二進位檔案中提取出的 JavaScript 程式碼(位於偏移量 -207647041 處),包含四個關鍵函數:
函數一:Qup() — 讀取代理資訊
這個函數從 process.env.ANTHROPIC_BASE_URL 環境變數中提取代理伺服器的主機名稱,並將其轉為小寫。若未設定代理或 URL 格式無效,則回傳 null。
函數二:Zup() — 核心分類器
這是整套偵測系統的核心。它會先呼叫 Crt() 確認使用者是否透過代理連線(非直接連線到 Anthropic 伺服器),若是才繼續偵測。回傳物件包含四個欄位:
known:代理主機名稱是否匹配已知的中國組織或轉售商名單(透過Jup()函數比對)labKw:主機名稱是否包含 AI 實驗室相關關鍵字(透過Xup()函數比對)cnTZ:系統時區是否為中國時區host:實際的代理主機名稱
函數三:edp() — Unicode 隱寫術標記器
這是整件事最關鍵也最令人不安的部分。這個函數根據分類結果,選擇不同的 Unicode 撇號字元注入系統提示詞:
'(U+0027,標準 ASCII 撇號):兩項指標均未觸發,代表「正常使用者」ʼ(U+02BC,修飾字母撇號):僅觸發其中一項指標‛(U+201B,單高反轉引號):兩項指標同時觸發
這些字元在肉眼看起來幾乎一模一樣,但在程式層面卻是完全不同的 Unicode 碼點。模型在解讀系統提示詞時,可以根據這些字元差異來判斷使用者的環境屬性。
函數四:Vla() — 日期格式切換器
這個函數負責生成「Today’s date is…」這行系統提示詞。若偵測到中國時區,它會將日期分隔符號從連字號改為斜線:例如 2026-06-30 變成 2026/06/30。這同樣是一個隱蔽的訊號通道,在使用者眼中只是日期格式的微小差異,對模型而言卻是明確的環境標記。
隱寫術手法:為何這比直接封鎖更令人不安
如果 Anthropic 直接在使用條款中寫明「中國地區禁止使用」,或在偵測到中國 IP 時直接拒絕服務,那至少是一個明確的商業決策,使用者可以自行決定是否接受。
但選擇隱寫術手法意味著:Anthropic 希望在使用者完全不知情的情況下,將環境資訊注入到與模型的對話中。這些資訊不會出現在使用者可見的介面上,卻會影響模型的行為模式。
國際資安帳號 International Cyber Digest 在 X 上寫道:「一個擁有檔案系統和 Shell 權限的程式碼代理,不應該在使用者無法察覺的情況下,偷偷將路由中繼資料隱藏在提示詞中。這嚴重違反了使用者信任。」
‼️ BREAKING: Anthropic has embedded hidden spyware-like code in Claude Code that covertly targets Chinese users. It then sends information regarding every user by injecting it into their prompt message.
Claude Code is sending info like timezone, proxy and possible AI Lab… pic.twitter.com/EjfwtirhES
— International Cyber Digest (@IntCyberDigest) June 30, 2026
評論者認為這件事真正可怕的地方,不在於 Anthropic 想防止中國區倒賣或模型蒸餾,而在於:開發者把 Claude Code 當作擁有檔案系統和 Shell 權限的程式設計助手使用,一旦客戶端可以偷偷修改提示詞、隱藏偵測邏輯,信任邊界就已經被打破了。今天是偵測中國使用者,明天會不會可能是其他更複雜的行為控制?
背景脈絡:Anthropic 的反蒸餾戰爭
要理解 Anthropic 為何會走到這一步,需要回顧 2026 年初以來的幾件關鍵事件。2026 年 2 月 23 日,Anthropic 發表了一篇官方部落格文章,公開指控三家 AI 實驗室,DeepSeek、Moonshot(月之暗面)和 MiniMax,對 Claude 進行大規模蒸餾攻擊。根據 Anthropic 的說法,這三家實驗室透過約 24,000 個詐騙帳號,與 Claude 進行了超過 1,600 萬次對話交換,目的是提取 Claude 的能力來改進自家模型。
Anthropic 在文章中強調,透過非法蒸餾取得的模型會缺乏必要的安全防護機制,可能導致危險能力擴散至軍事、情報和監控系統。他們也指出,蒸餾攻擊正在破壞美國的 AI 出口管制政策。更早之前,2025 年 11 月,Anthropic 曾公開披露一個中國國家級駭客組織利用 Claude Code 進行網路間諜活動的案例。
這些事件構成了 Anthropic 加強偵測與防禦措施的背景。但問題在於:用隱藏的隱寫術手法來偵測使用者身分,是否超越了合理的安全防線?
社群反應:信任危機正在發酵
這起事件在多個社群平台上引發激烈討論。Reddit r/ClaudeAI 版上的原始貼文獲得大量互動,版上出現了諸如「如果 Anthropic 願意僅僅因為你是中國人就偷偷傳輸你的系統資訊,那有什麼能阻止他們偷偷引導模型的行為?」這樣的質疑。
也有使用者從安全角度提出不同看法,認為 Anthropic 明顯是在試圖偵測中國區的未授權轉售和 AI 實驗室的蒸餾行為,隱寫術手法是為了避免被繞過。但即便動機合理,手法的不透明性仍然引發了對 AI 工具信任邊界的廣泛反思。
從工程角度來看,一個擁有完整檔案系統和 Shell 存取權限的程式碼代理工具,其客戶端居然可以在使用者不知情的情況下修改系統提示詞,這意味著使用者與模型之間的對話並非如他們所認為的那樣「乾淨」。這不僅是中國使用者的問題,而是所有 Claude Code 使用者都需要關注的信任議題。
觀察:安全防線與信任邊界的兩難
Anthropic 面臨的是一個真實的困境。大規模蒸餾攻擊確實存在,且可能對 AI 安全生態造成嚴重威脅。中國國家級駭客組織利用 Claude Code 進行網路間諜也是已確認的事實。從商業和安全角度,Anthropic 有充分理由採取防禦措施。
但選擇在客戶端嵌入隱蔽偵測程式碼、透過隱寫術傳遞使用者環境資訊,這種做法的代價是使用者信任。當開發者發現自己每天使用的程式碼工具裡藏著他們不知道的偵測邏輯時,即使偵測的目標不是自己,也會開始質疑:這個工具還藏了什麼?
截至目前,Anthropic 尚未對這起爆料做出公開回應。事件仍在持續發酵中。





