你每个月花上千块订阅的 AI 编程助手,可能正在你电脑里当间谍,专盯中国人。
这两天刷开发者圈,Reddit 用户 LegitMichel777 在 r/ClaudeAI 版块发了一份逆向报告,把 Claude Code 底裤都扒光了。
他拆解的是 2.1.196 版本,顺藤摸瓜发现:这套专门识别中国用户的代码,早在今年 4 月 2 日的 2.1.91 版本里就埋进去了。官方更新日志一个字没提,悄无声息潜伏了整整 90 天。
就是那个每月最高 200 美元、被好多开发者当效率神器的 AI 编程助手。你花钱请它写代码,它背地里在你电脑里查"户籍"、打暗桩、偷偷回传数据。而这一切,你全程连个弹窗都看不到。
静默查时区、隐写术传数据、批量封号——Anthropic 这波操作,彻底撕破了"安全"的伪装。

这套间谍代码,到底在你电脑里干了什么?
先说最直接的:查户籍。
工具一启动,后台就静默扫描,连个提示都没有。查三样东西:
一是你的系统时区,是不是上海或者乌鲁木齐;
二是你的代理域名,在不在它 147 条的黑名单里——里面覆盖了 BAT、字节、美团这些国内大厂,还有一百多个常用的 API 中转站;
三是域名里有没有 deepseek、智谱这些国产 AI 公司的关键词。
只要中一条,你的设备就被悄悄打上标签:高度疑似中国用户。
你以为偷偷打标签就完了?更阴的是它传消息的方式——完全是间谍级的操作。
说真的,我看到这的时候都愣了——好好一个商用工具,把间谍那套隐写术都用上了,至于吗?
它不改你的界面,改的是系统提示词。你每次问它"帮我重构这段代码",工具会自动在前面加一段上下文,里面有句"Today's date is 2026-07-04"。如果你被标记了,这句话会被偷偷改动:日期分隔符从横杠换成斜杠还加括号,变成"(2026/07/04)";更隐蔽的,那个撇号会被换成一个肉眼几乎分不出的字符,Unicode 从 U+0027 换成 U+2019。
你在屏幕上看到的还是那个"Today's"。但到了美国那边的服务器,这个字符编码变了,系统一眼就读出来:报告,这是一个中国人。
这就像你寄一封信,信封上的字看着一模一样,但其中一个笔画用了特殊墨水,对方拿紫外线一照就知道你是谁。你自己对着信看一百遍,都发现不了异常。
如果你觉得这已经够没底线了,那封号环节的操作,才叫细思极恐。
有开发者发现,封号通知邮件末尾嵌了个 1×1 像素的透明图片。你只要点开那封邮件,真实物理 IP 和设备信息,就通过这次图片加载被悄悄记下来了。
更值得玩味的是,这段代码本身用了 XOR 加密做混淆。
正常商用软件做版权保护,用的都是专业加壳工具;XOR 这种简单粗暴的加密,是病毒、木马用来躲避杀毒软件查杀、规避逆向分析的常规操作。一个正经付费工具,用这种对抗手段藏代码,本身就不正常。
这不是地区限制,这是间谍。

主打"安全"的公司,干了最不安全的事

技术操作够恶心了,但更讽刺的,是这家公司之前的人设。
Anthropic 的创始人达里奥,当年就是嫌 OpenAI"不够安全",才愤而离职,拉队伍搞了这家以"安全"为信仰的公司。对外最响的标签叫"宪法 AI"——用一套类似宪法的原则约束 AI,让它既强又可控。
结果呢?
为了防"未授权转售商"和"模型蒸馏",它选择在你系统里玩间谍游戏。XOR 加密藏代码,隐写术打暗桩,三个月里对这一切只字未提。
微软、Steam 面对受限地区用户,最多弹个"您所在地区不提供该服务"。Anthropic 不弹窗、不提示、不给你选择,直接留后门,静默回传你的身份信息。
有意思的是,Anthropic 口口声声防窃密、防蒸馏,结果自己先干起了偷偷摸摸的勾当。活成了自己最讨厌的样子。
产品负责人被抓包后的回应,更把事推向荒诞。他说这是三月份启动的实验,本来打算撤的,已经合并了 PR,会在第二天发布里回滚。
这话听听就行。要是没被人逆向扒出来,这功能指不定要藏到什么时候。
封号、泄密、丢数据,这笔账该怎么算?
愤怒完了,得算账。这笔账,普通人怎么算?
先说最直接的,钱打了水漂。
6 月 30 日,间谍代码曝光的同一天,据业内估算,十几万中国用户被批量封号。账号年龄从两年到一个月不等,有人稳定用了一年的老号也翻车,甚至有百人规模的创业公司技术团队被团灭。充进去的钱,直接清零。
Claude Code 不便宜:Pro 每月 20 美元,Max 每月 200 美元。对国内开发者不算小数目。我朋友圈一个做后端的朋友,用了两年的老号前几天毫无征兆没了,里面还剩一百多刀余额,连个正经申诉入口都找不到。杭州有个做 SaaS 的小团队,十几号人全靠它提效,一天之内全封,项目进度直接停摆,负责人在技术群里骂了一上午。
再说隐性风险,这才是真正要命的。
Claude Code 是什么?是拥有你系统最高权限的智能体。它能读项目源码,能访问你配置里的 API 密钥,能看到浏览器里存的登录信息,甚至能执行命令。
今天它能把时区、代理路径用隐写偷渡出去;明天它能不能把你电脑里的技术资料、商业代码、客户数据打包传走?从技术上讲,这条已经建好的隐秘通道,理论上能传任何东西。而它当初被允许写入时,你既不知道,也没同意。
我特别想提醒芯片、新能源、高端制造这些领域的工程师:
你电脑里存的可能不只是几行业务代码,而是企业的核心技术参数、未公开的项目方案。今天它能偷偷传走你的时区和代理信息,明天理论上就能传走你硬盘里的任何文件。
你拿它当提效工具,它拿你当重点防范对象。这笔账,怎么算都亏。
还有信任成本。

一个做安全的朋友跟我说过:发现一只蟑螂,你家里可能已经到处都是了。Claude Code 被爆底层动手脚,那同类工具——同样握着系统最高权限的 AI 编程助手——谁敢拍胸脯说自己干干净净?
Codex、各家 agentic coding 工具,底层逻辑大同小异:都要最高权限,都能读文件,都能联网。今天 Anthropic 被抓了,不代表别人没做,只代表别人还没被抓。
这事早有前车之鉴。2023 年三星用 ChatGPT 才 20 天,就漏了三波机密数据,连芯片良率都传了上去。那好歹是员工不小心。这一次更狠——是工具本身自带了"偷数据"的机制。
阿里已经行动了。7 月 3 日,"阿里内部全面禁用 Claude Code"冲上热搜。据报道,阿里已要求内部办公环境全面禁用,推荐自研编码工具替代。这就是风向标:当信任崩了,国产替代不再是情怀选项,而是安全刚需。
最扎心的真相:科技从来都有国界
回到开头那句被反复念叨的话:科技无国界。
你看一组时间线。
2026 年 6 月底,Anthropic 封了十几万中国账号。几乎同一时间,7 月 1 日前后,美国商务部宣布解除对 Anthropic 旗下 Claude Fable 5 和 Mythos 5 模型的出口管制。此前特朗普政府以国家安全为由,对这两款模型管控了约三周。解禁之后,Fable 5 恢复全球访问——中国除外。
你品,你细品。前脚把中国用户批量封掉,后脚拿美国政府出口许可,重新向全球开放最强模型。天下有这么巧的事?
再往前看,Anthropic 和美国国防部的关系早已不是秘密。2025 年 7 月,它和美国国防部签了份 2 亿美元的合同,成为首家把 AI 部署进国防部机密网络的 AI 实验室。到 2026 年 2 月,双方因使用范围闹分歧——军方想用于自主武器和大规模国内监视,Anthropic 一度准备退出。后来五角大楼把它列进"供应链风险"。拉扯归拉扯,有一点是清楚的:这家公司,深度绑定美国国防需求。
一个在你电脑里装木马、又帮美国国防部部署 AI 的公司,它嘴里的"科技无国界",你信几分?
以前总有人把"科技无国界"挂在嘴边,现在才发现,这句话从来都是单向的。
要用你的数据、赚你的钱的时候,跟你大谈开放共享、人类共同财富;
等你想用上他们的工具、蹭上先进算力的时候,转头就查你时区、封你账号,连你用什么代理都摸得一清二楚。
科学无国界,但技术有产权,公司有国籍,利益有边界。
科技无国界,是说给使用者听的麻醉剂,不是从业者的行为准则。
普通人自保指南,这几点一定要记牢
聊完情绪和逻辑,说点实在的。
如果你是日常用工具的开发者,给你几个实打实的提醒:
最核心的一点,环境一定要隔离。别在存了公司核心代码、敏感数据的主力机上跑任何海外 AI 编程工具。哪怕多备一台旧电脑、开个干净的虚拟机,都比裸奔强。
嫌麻烦也至少做一件事:别把 API 密钥、数据库密码直接扔项目目录里。AI 工具能扫到你所有文件,能读到就等于不安全,用环境变量、密钥管理器,别偷懒。
懂点技术的话,定期用抓包工具看看出站流量。一个正经工具,不该在你看不见的地方偷偷夹带数据往外发。
对了,别存侥幸心理用小号、换代理,人家连国内 120 多个 API 中转站都列进黑名单了,该标记的一个跑不掉。
如果你管着一个团队:
涉密岗位、核心研发,必须走国产替代。这不是情怀,是底线。国产的通义千问、DeepSeek、CodeGeeX,日常辅助编码已经够用,没必要非用 Claude。
定个工具白名单,写清楚哪些能用、哪些不能、用的时候不能碰什么数据。研发环境定期做网络安全审计,重点盯那些握着系统权限的客户端工具。今天的信任,明天可能就崩。
核心就一句:AI 工具好用,但"自主可控"不是口号。你选什么工具,本质是在选——把数据交给谁。
写在最后
写这篇不是要鼓动大家抵制什么,就是想给所有人提个醒。
在真正的利益和规则面前,技术从来都有归属。你花钱买的只是使用权,不是信任,更不是安全。
当然,国产大模型还有差距,但差距一直在缩小。至少用国产工具,你不用担心它在你电脑里藏后门,专门盯着你的国籍做标记。以前很多人觉得国产替代是情怀,现在看,是底线,是刚需。
说到底,工具好不好用是其次,安不安全,才是第一位的。
毕竟没人想花钱请个间谍,待在自己电脑里。
你们平时用什么 AI 编程工具?这次 Claude 封号你中招了吗?评论区聊聊。
也欢迎转发给身边做开发的朋友,多一个人知道,多一份小心。
*免责声明:本文仅代表作者个人观点,不构成任何投资或使用建议。文中技术细节与案例均基于公开报道,读者请自行核实,理性判断。*
夜雨聆风