沒想到有這招。近日有開發者透過逆向分析發現,Claude Code 內建一套針對中國相關流量的偵測機制,當使用者啟用代理連線時,這段邏輯會檢查本機時區、代理網址,以及是否涉及中國 AI 實驗室或相關網域,接著再利用肉眼幾乎難以察覺的 Unicode 字元差異,把判斷結果悄悄寫進 Claude Code 送出的系統提示詞中。
雖然從防止濫用或遵守區域限制的角度來看,這種做法或許可以理解,但在沒有公開說明的情況下,透過隱藏式標記存在於一款擁有高度權限的 AI 開發工具裡,一定會讓人對 Claude Code 的透明度與信任動搖。
圖片來源:Cybernews
Claude Code 被發現暗藏中國用戶偵測機制:Anthropic 稱是反濫用實驗,但透明度引發爭議
根據 Cybernews 報導,這起事件最早來自 Reddit 使用者 LegitMichel777 的爆料。
該使用者表示,他在發現 Claude Code 2.1.196 版於啟用代理連線時會停用 Remote Control 功能後,進一步逆向檢查 Claude Code 的二進位執行檔,結果意外發現一段非常可疑的隱藏程式碼。
這段程式碼不是對所有使用者都啟動,而是在使用者啟用代理連線時,才會進一步進行判斷。它會檢查系統時區是否設為 Asia/Shanghai 或 Asia/Urumqi,也會比對代理網址是否帶有中國相關網域特徵、已知中國 AI 實驗室名稱,或某些代理、轉售服務的線索。
換句話說,它會把本機時區、代理 host、網域特徵等資訊放在一起交叉比對,用來判斷該連線是否可能與中國使用者、第三方中轉服務,或中國 AI 實驗室有關。
Anthropic embedded spyware in Claude Code — and attempted to hide it from you
byu/LegitMichel777 inClaudeAI
更微妙的是,Claude Code 沒有直接在資料中寫入「這是中國時區」或「這是某個代理服務」之類的清楚標籤,而是透過系統提示詞裡幾處肉眼幾乎難以察覺的細微差異來完成標記。
舉例來說,日期格式可能從「2026-06-30」變成「2026/06/30」;而「Today’s date is」裡的 ’ 符號,也可能被替換成外觀看起來幾乎一樣、但實際 Unicode 編碼不同的字元。
一般使用者看到這段系統提示詞時,可能只會以為它是一句普通的日期說明。但只要後端知道該觀察哪個字元或格式變化,就能從中讀出不同分類結果。
這種設計在技術上非常巧妙,甚至有點像把標記藏在文字細節裡,但放在一款擁有高度權限的 AI 工具中,難免會讓人產生疑問:如果有正當理由,為什麼不一開始就說清楚?
LegitMichel777 批評的核心也是透明度。他認為,即使 Anthropic 想保護自家模型智慧財產權,也不代表可以在使用者不知情的情況下,將系統環境與代理設定相關訊號,藏進提示詞中傳送出去。
為此,Anthropic Claude Code 團隊工程師 Thariq Shihipar 有在 X 上做出回應,表示這是今年 3 月推出的實驗,目的是防止未授權轉售商濫用帳號,以及防堵模型蒸餾。他也提到團隊後來已經導入更強的防護,並合併了移除這段機制的 PR:
這次事也顯示出,當工具越來越像一個常駐在本機的 AI 代理人,能接觸使用者的檔案、終端機、金鑰,甚至公司內部專案時,外界自然會用更高標準檢視它。
模型能力越強、工具權限越大,透明度就必須越清楚,這是最基本的信任門檻。

