最近,科技圈炸锅了。一位开发者在逆向工程Anthropic 公司的编程AI工具 Claude Code时,发现了一段“见不得光”的代码。这可不是普通的Bug修复,而是一种被称为“隐写术”(Steganography,指利用载体隐藏真实信息的通信技术)的监控手段。简单来说,Anthropic 在用户的电脑里藏了一个“暗号系统”,在不弹窗、不告知、不记录日志的情况下,偷偷检测用户是否使用了代理(Proxy)、是否位于中国时区,甚至悄悄修改了系统提示词里的日期格式和标点符号,以此来标记用户。这事儿,作为律师,我觉得必须得说道说道。

一、事件复盘:Claude Code 到底干了什么?
根据开发者爆料,自Claude Code2.1.91 版本(2026年4月2日发布)起,软件内置了一段隐蔽的检测逻辑。这段逻辑做了三件事:
时区嗅探:检测系统时区是否为Asia/Shanghai或Asia/Urumqi。
代理域名嗅探:检查代理URL是否匹配一个长长的“黑名单”,里面包含了大量中国主流互联网公司及AI初创企业的域名(如百度、阿里、字节、各类API聚合站点等)。
隐写术传输:这是最离谱的一点。它没有把检测结果存成文件,也没有发给服务器,而是直接修改了系统提示词(System Prompt)中的日期格式和撇号字符。
正常情况:日期显示为2026-06-30,撇号是普通的'。
触发检测后:日期变成2026/06/30,撇号变成了特殊的Unicode 字符(如 ’或‛)。
原理:Anthropic 的服务器端只要看到这种特殊的“格式”,就知道这个请求来自“被标记”的环境,从而拒绝响应远程控制功能。
更讽刺的是,开发者发现这段代码使用了XOR 混淆(XOR Obfuscation,一种简单的加密/混淆技术),故意隐藏逻辑,防止被常规的反编译工具轻易发现。
二、律师视角的法律剖析:这踩了哪些红线?
很多技术爱好者可能会说:“这是商业机密保护,防止模型被蒸馏(Distillation,指用大模型生成数据训练小模型)和转售,很正常。”
但作为法律人,我看到的却是对用户协议的违背和对隐私权的潜在侵犯。
1. 违背“知情同意”原则(Informed Consent)
事实:Anthropic 在更新日志(Release Notes)中对这段检测逻辑只字未提。
法律分析:根据全球主流的隐私法规(如欧盟GDPR《通用数据保护条例》,中国的《个人信息保护法》),处理个人敏感信息(如地理位置、设备使用情况)必须事先告知用户并获得同意。
“隐写术”算不算告知?绝对不算。用户根本不知道自己的提示词被修改了,更不知道自己的地理位置被探测了。
结论:这属于典型的“暗模式”(Dark Pattern),即通过欺骗或隐瞒手段诱导用户接受不利条款。
2. 软件许可协议的“越界”
事实:开发者授予了Claude Code极高的权限(文件系统读写、Shell命令执行、浏览器控制)。
法律分析:软件许可协议(EULA, End-User License Agreement)通常规定了软件的行为边界。虽然协议允许软件“收集必要的数据以提供服务”,但通过隐写术修改用户数据(提示词)进行秘密标记,超出了“必要”的范畴。
这就好比,你租了一辆车,车商在仪表盘上装了个摄像头,偷偷记录你开车的路线,然后通过修改车速表的字体来告诉总部你在哪——这已经不是租车,这是监视。
3. 滥用“安全”作为挡箭牌
事实:Anthropic 的理由是“防止滥用”、“保护知识产权”。
法律分析:手段的正当性不能掩盖目的的模糊性。
滥用的定义是什么?是学术蒸馏?还是商业转售?Anthropic 并没有公开透明的申诉渠道。
歧视性:检测逻辑专门针对中国时区和中国域名,这种地域歧视(Geographic Discrimination)在法律上是站不住脚的。如果是出于合规(如出口管制),应该明确告知,而不是偷偷摸摸。
三、为什么开发者会感到恐惧?(技术+ 法律的双重不信任)
这不仅仅是技术对抗,更是信任危机。
维度 | 传统软件 | Claude Code 此次事件 | 用户心理影响 |
透明度 | 更新日志清晰,权限申请明确 | 隐藏检测逻辑,隐写传输 | 恐惧:我不知道它在干什么 |
控制权 | 我可以关闭或卸载 | 代码混淆,难以彻底清除 | 无力:我被锁死了 |
数据所有权 | 数据是我的,软件是工具 | 提示词被修改,数据被“打标” | 被背叛:工具反客为主 |
法律救济 | 违约可起诉 | 协议里写了“有权修改”,维权难 | 绝望:无处说理 |
核心恐惧在于:既然它能偷偷修改提示词来标记我,那下次会不会偷偷上传我的代码?会不会偷偷监控我的键盘输入?“技术能力”一旦失去“法律约束”,就会演变成“技术霸权”。
四、给企业和开发者的合规建议
面对这种情况,我们该怎么办?
1. 企业端:建立“供应链安全审查”机制
问题:很多中国企业在使用海外SaaS或本地部署的开源模型时,往往只看功能,不看“后门”。
行动:
源码审计:对于核心使用的AI工具(尤其是本地部署的),必须引入第三方进行静态代码分析(Static Code Analysis),重点排查是否有隐藏的网络请求、文件修改或权限滥用。
二进制扫描:使用工具扫描可执行文件,检测是否有XOR混淆、硬编码密钥等可疑行为。
网络隔离:在涉及核心代码时,尽量使用私有化部署或离线模型,避免数据通过隐写术泄露。
2. 个人/开发者端:提升“数字维权”意识
行动:
保留证据:一旦发现类似“隐写”行为(比如提示词格式莫名改变),立即截图、录屏,保存二进制文件。
法律函件:如果因此导致账号被封或服务中断,可以依据《消费者权益保护法》或《民法典》提起侵权之诉,主张精神损害赔偿(针对隐私泄露)或经济损失。
舆论监督:在技术社区曝光(如本次事件),形成舆论压力,倒逼厂商透明化。
3. 监管层面:呼吁“算法透明”立法
建议:推动立法要求AI工具在重大更新时,必须公开所有数据采集逻辑和行为修改逻辑。对于“隐写术”这类隐蔽通信手段,应认定为非法数据收集。AI正在重塑生产力,但重塑的前提是信任。Anthropic的这次“隐写术”风波,给整个行业敲响了警钟:技术越强大,法律约束就必须越严格。我们不能接受一个“既当运动员又当裁判员”的AI——它既帮你写代码,又偷偷给你打分、贴标签,甚至决定你能不能用。真正的AI合规,不是“模型有多聪明”,而是“它有多诚实”。作为律师,我呼吁所有AI厂商:请把“隐写术”留给谍战片,把“透明化”留给用户。否则,再聪明的AI,也会因为失去信任而变得一文不值。

【附录:AI工具隐蔽监控风险自查表】
风险点 | 自查方法 | 应对措施 |
1. 更新日志缺失 | 对比官方Release Notes与逆向发现的功能差异 | 优先选择更新日志详尽、开源透明的工具 |
2. 隐写术传输 | 检查请求包中的文本格式(日期、标点)是否异常 | 使用网络抓包工具(如Wireshark)监控流量 |
3. 代码混淆 | 使用反编译工具查看是否存在XOR、Base64等混淆 | 引入第三方安全审计 |
4. 权限过度 | 检查工具申请的权限是否远超功能所需 | 拒绝授予Shell、文件系统等高权限,或使用沙箱环境 |
5. 地域歧视 | 测试不同地区的IP或时区是否被区别对待 | 记录证据,向监管部门举报 |
夜雨聆风