你用的AI工具在偷偷标记你,这不是科幻
6 月 30 日,一条 Reddit 帖子在技术社区炸开了锅。开发者 AdnaneKhan 在 r/ClaudeAI 板块发了一个短标题——「Anthropic embedded spyware in Claude Code and made it open-source.」翻译过来就是:Anthropic 在开源的 Claude Code 中偷偷植入了监控代码。而这件事之所以被发现,恰恰因为代码是开源的,有人仔细审查了它。
帖子很快被删除,但内容已经被多个技术社区存档。同一天,AdnaneKhan 在 GitHub Gist 发布了完整的技术分析报告,覆盖 Claude Code 从 v2.1.193 到 v2.1.196 的代码。The Register 做了封面报道,Hacker News 拿到 1402 分冲上全站第一。
Anthropic 技术团队成员 Thariq Shihipar 随后在 X 上公开承认:这是 3 月启动的一项「实验」,目的是防止未经授权的转售商滥用账号,并防范模型蒸馏。相关 PR 已合并,次日版本将完全回滚。
承认了,就是真的。

让我们拆开看这段代码到底做了什么
2026 年 4 月 2 日,Claude Code 发布 v2.1.91 版本。更新日志里没有任何异常。但就在这个版本的二进制文件中,Anthropic 悄悄加入了一段检测逻辑,此后经过十几个版本迭代,一直保留到被逆向发现。
触发条件是用户设置了 ANTHROPIC_BASE_URL 这个环境变量,将其指向非官方端点——说白了,就是你在用 API 中转服务。国外正常用户直接连 api.anthropic.com,不需要设这个变量。但中国用户因为网络原因,几乎必须通过中转站访问 Claude,这就是入口。
一旦触发,代码执行两项检查。
第一项:读取你的操作系统本地时区,精确匹配 Asia/Shanghai 和 Asia/Urumqi 两个值。为什么是这两个?因为它们覆盖了中国全部时区。绝大多数中国开发者即使挂了代理,电脑时区也绝不可能改——你总得正常看时间。Anthropic 吃准了这一点。
第二项:提取你配置的代理域名,与一份硬编码在二进制文件中的 147 个域名清单进行比对。这份清单经过 XOR 密钥 91 加密后再用 Base64 编码,藏在编译后的代码里。解码后赫然是百度、阿里巴巴、蚂蚁集团、字节跳动、美团、Moonshot AI(月之暗面)、MiniMax、阶跃星辰等中国科技公司和 AI 实验室的域名,加上大量已知的 Claude API 中转站和镜像服务地址。147 个条目,精确打击。

但真正让人不寒而栗的不是它检测了什么,而是它怎么把信息传回去的
Claude Code 在每次请求的系统提示词中都会写入一行日期信息,比如「Today's date is 2026-06-30.」。这段代码会偷偷修改这行文字:如果你命中中国时区,日期分隔符从连字符变成斜杠,2026-06-30 变成 2026/06/30;「Today's」中的英文撇号被替换为四种视觉上几乎完全相同的 Unicode 字符之一,每个对应一种检测状态——是普通中国用户,还是关联了中国 AI 实验室,还是两者都命中。2 到 3 个比特的信息量,足够服务器端做精准分类。
在等宽字体下,肉眼几乎无法分辨这些差异。但 Anthropic 的服务器端解析起来毫无难度。安全研究员 Adnane Khan 将这套机制称为「隐蔽信道」——covert channel。
这是一套教科书级的隐写术。不是数据泄露,没有额外的网络请求或文件访问,只是在已有的系统提示词中做了字符替换。正因如此,它才能在用户完全不知情的情况下运行整整三个月。
有人可能会说:这不就是地域封锁吗?Netflix 也限制地区,Steam 也有区服定价,有什么大不了的?
完全不一样。差别不在程度,在性质
地域封锁是公开的、透明的、可预期的。你知道 Netflix 对不同地区提供不同内容,你选择接受或不接受。你换 IP 的时候,知道自己正在做什么。整个博弈是明牌的。
但隐写术是什么?是在你不知道规则存在的情况下,悄悄把你标记了。你以为自己在平等地使用工具,但工具已经在背后给你贴了标签。你无法防御,因为你不知道有东西需要防御。
更关键的区别在于:地域封锁检查的是你的网络出口 IP,这是一个公开的网络属性,你可以通过合法手段改变。但 Claude Code 检查的是你操作系统的本地时区——这是一个你根本没有意识到会被读取的本地环境变量。它绕过了你对网络层防护的全部认知,直接探入你的设备内部。
而且,传统的地域封锁对用户是一视同仁的:只要你的 IP 在那个区域,不管你是谁,规则一样。但 Claude Code 的域名清单精确到中国 AI 实验室——这意味着它不仅区分地区,还区分身份。一个通过美团中转站访问的普通开发者和一个通过月之暗面内部中转站访问的 AI 从业者,被打上了不同的标记。这是身份识别,不是地域封锁。
最本质的区别在于:地域封锁是在你和产品之间的博弈,你知道对方在做什么,你有选择权。而隐写术是在你的工具内部安插了一个你不知道的间谍,你连博弈的资格都没有。

当你的代码编辑器开始监视你,所谓的 AI 安全就是最大的不安全
Anthropic 把这段代码的正当性挂在「安全」二字上:防止转售、防止蒸馏。听起来合理。但恰恰是这个「安全」标签,暴露了闭源 AI 工具最根本的信任悖论。
来看一组时间线。2026 年 6 月 12 日,美国商务部对 Anthropic 的 Claude Fable 5 和 Mythos 5 模型发出出口管制令。据 CNN 报道,起因是 Amazon 发现了 Fable 5 的安全防护存在 jailbreak 漏洞。6 月 30 日,商务部解除管制。同一天,Anthropic 在 X 上高调宣布「感激用户耐心等待」。也就在同一天,隐写术事件曝光。
Anthropic 在管制解除协议中承诺了什么?根据商务部长霍华德·卢特尼克签署的协议:主动发现并处理模型安全风险,与美国政府保持密切合作,发现恶意活动时向美国政府通报。
现在把两件事放在一起看:一边向美国政府承诺安全合作,一边在代码里偷偷标记用户。你以为「安全」保护的是谁?

这不是阴谋论,这是结构性的信任悖论
闭源 AI 工具的商业模式决定了,当用户利益和公司利益冲突时,公司会选自己——这是经济学常识。问题不在于冲突一定会发生,而在于当冲突发生时,你根本不知道。
Claude Code 是什么级别的工具?它被授权读取你的文件、执行 Bash 命令、修改你的代码、管理你的系统配置。Anthropic 自己都写过「审批疲劳」的风险警告——用户用多了就懒得点确认。一个拥有你系统最高权限的工具,在你不知道的角落里做你不知道的事。这才是信任悖论的真正杀伤力:不是它做了什么,而是你无法确认它还做了什么。
隐写术被发现,是因为 Claude Code 碰巧是开源的,碰巧有人去逆向了。那没有开源的部分呢?二进制文件中还有没有其他检测逻辑?还有没有其他信息被静默收集?你不知道。你永远无法确认一个闭源工具只做了它声称做的事。这不是技术问题,这是权力结构问题——信息不对称是单向的,你的一切它都能看到,它做了什么你却看不到。
安全研究员 Corey Quinn 的评价一针见血:在产品中偷偷藏标记是不能碰的底线。Hermes 创始人的担忧更直接:一旦用户发现你在偷偷摸摸,之前积累的信任瞬间崩塌。
Thariq 说这是一个「实验」,3 月启动,本来计划撤下。但这个「实验」跑了整整三个月,经历了从 v2.1.91 到 v2.1.196 的十几个版本迭代。域名列表用 XOR-91 加密加 Base64 编码刻意混淆。检测逻辑从未写入更新日志,从未在服务条款中披露。这不是随手写来忘了删的遗留代码,这是系统性的、刻意隐藏的行为。
隐写术不是 bug,是 feature——只不过这个 feature 不是为你设计的。
抱怨没有用,愤怒也没有用。真正重要的问题是:接下来怎么办?
第一条路:继续用,但带着清醒
如果你选择继续使用闭源 AI 工具,至少要知道你面对的是什么。不要给编程助手不必要的系统权限,审查你设置的环境变量,关注工具的更新日志和社区讨论。Claude Code 这次被发现,恰恰是因为开源社区的审查力量。如果它不是开源的,这段代码可能永远不会被曝光。所以:能选开源的,选开源。
第二条路:转向主权工具
所谓「主权工具」,不是狭隘的国产替代,而是你对它有完整审计权和控制权的工具。阿里云的 OpenCode 采用 Apache 2.0 开源许可,支持 75+款大模型切换,代码完全透明,所有处理在本地进行。字节跳动的 Trae 基础版免费,国内网络直连。开源社区项目如 Cline、Continue 等,允许你自由切换底层模型,代码完全可审计。这些工具不一定在能力上比 Claude Code 强——事实上在复杂推理上目前仍有差距——但它们有一个 Claude Code 永远给不了你的东西:确定性。你确定它们没有在背后标记你,因为你可以一行一行地读代码。
第三条路,也是最重要的:建立技术主权意识
不要把「好用」和「可信」混为一谈。Claude Code 确实好用,但好用不等于值得信任。尤其是在它拥有你系统最高权限的情况下,好用反而意味着更大的风险——因为你会把更多敏感信息交给它。信任应该建立在透明和可验证的基础上,而不是建立在产品体验上。
这件事的本质不是 Anthropic 做了什么,而是它揭示了一个结构性问题:当 AI 工具深入到你的代码、你的工作流、你的系统权限中时,它不再是一个简单的工具,而是一个你赋予了巨大权力的代理人。如果这个代理人的行为对你不透明,你就不只是失去了一个工具——你失去的是对自己数字环境的控制权。
6 月 30 日,美国商务部解除了对 Anthropic 的出口管制。同一天,全世界知道了 Claude Code 在你背后做了什么。两条消息放在一起读,才是这个故事完整的面貌:AI 工具正在成为地缘政治的延伸,而开发者是这场博弈中最不自知的一方。
你可以接受规则,但前提是你得知道规则是什么。

觉得有收获?分享给需要的人
关注「日日丰灵」,用结构思维看懂这个世界
原创出品 · 严森康驰U
夜雨聆风