凯时AG

实锤了:Claude Code偷查用户, ,,,时区、中国AI实验室全是要害词

作者:林华昀
宣布时间:2026-07-01 18:15:10
阅读量:1

实锤了:Claude Code偷查用户, ,,,时区、中国AI实验室全是要害词

机械之心编辑部

今天, ,,,Anthropic 可谓「双喜临门」。。

一方面宣布了「迄今为止最具 Agent 属性的 Sonnet 模子」Claude Sonnet 5, ,,,性能靠近 Opus 4.8。。

另一方面临外宣称, ,,,美国商务部已扫除对其 Claude Fable 5 和 Mythos 5 的出口管制。。Anthropic 将从明天最先恢复会见, ,,,并会很快分享最新希望。。

凭证美国商务部长霍华德?卢特尼克(Howard Lutnick)签署的一份协议内容, ,,,自 6 月 12 日和 6 月 26 日发出相关信函以来, ,,,Anthropic 已与美国政府亲近配合, ,,,接纳步伐处理 Claude Mythos 5 和 Claude Fable 5 相关风险。。

其中 Anthropic 允许将自动发明并处理这些模子可能带来的清静风险;;;;; ;就 Mythos、Fable 以及未来模子的协议、标准和宣布安排, ,,,与美国政府坚持亲近相助;;;;; ;并在发明恶意活动时向美国政府转达。。

基于 Anthropic 已接纳的行动和作出的允许, ,,,以及美国商务部工业与清静局对 Claude Mythos 5 和 Claude Fable 5 目今转移风险的评估, ,,,美国商务部决议撤回 6 月 12 日信函中的管制步伐。。

这意味着, ,,,Claude Mythos 5 和 Claude Fable 5 的出口、再出口、境内转移, ,,,包括视同出口和视同再出口, ,,,以后不再需要允许证。。

不过, ,,,美国商务部保存重新评估这一决议的权力。。若是情形爆发转变, ,,,或者 Anthropic 未能推行允许, ,,,美国商务部仍可能重新施加允许证要求。。

不过, ,,,关于中国用户而言, ,,,我们一时还兴奋不起来。。

就在统一天, ,,,开发者社区上强烈讨论的是另一个话题:有人发明 Claude Code 会在用户不知情的情形下网络外地的署理和时区信息, ,,,并通过「隐写术」(Steganography)的方式, ,,,把这些信息隐藏在发往云端的提醒词中。。

Claude Code 被曝用隐形代码标记中国用户

最近, ,,,有人曝光 Anthropic 在 Claude Code 中偷偷植入了一段代码。。

这段代码会自动检测用户是否使用中国时区、目今网络署理情形, ,,,以及是否毗连到某些中国 AI 实验室相关的情形。。

随后, ,,,它会将这些信息通过隐写方式嵌入到发给 AI 的系统提醒中。。

中国用户完全无法察觉, ,,,但 Anthropic 却能通过这些隐形指纹举行识别。。

一名开发者在 Reddit 上首先提出质疑, ,,,随后在 GitHub 宣布验证报告, ,,,称已对 Claude Code 的 2.1.193、2.1.195、2.1.196 三个版本举行代码核查, ,,,确认保存一套隐藏机制。。该机制被定性为系统提醒词中的隐藏信息通道。。

检测逻辑

据报告形貌, ,,,Claude Code 会检测情形变量 ANTHROPIC_BASE_URL, ,,,这个变量通常在用户将 Claude Code 指向自界说 API 署理、而非官方端点 api.anthropic.com 时被启用。。当检测到非官方路由时, ,,,程序提取署理域名, ,,,并读取用户系统时区, ,,,重点核查是否为 Asia/Shanghai 或 Asia/Urumqi。。

使用 GLM5.2 举行剖析

报告称, ,,,该域名会与一份解码后含 147 个条目的清单比对。。清单包括百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI、MiniMax、Stepfun 等中国科技企业与 AI 实验室的域名, ,,,以及大宗 Claude 转售或 API 镜像服务地点。。

信息转达方式

争议焦点在于信息的转达路径。。

报告指出, ,,,Claude Code 未设置自力的 telemetry 字段上报数据。。异常信息的载体就是系统提醒词里那句最不起眼的「Today's date is...」。。

当系统时区被识别为中国时区时, ,,,日期脱离符由短横线变为斜杠, ,,,例如 2026-06-30 显示为 2026/06/30。。「Today's date」中的撇号同时在 '、'、?、?等几种形近的 Unicode 字符间切换, ,,,用以标记本次请求掷中域名清单、AI 实验室要害词, ,,,或两者兼有。。这几种符号在通例界面中肉眼难以区分。。

对通俗用户来说, ,,,'、'、?、?这几个符号险些无法用肉眼分辨, ,,,这也是这套机制得以恒久隐藏的原因。。若是剖析属实, ,,,每一次切合条件的请求, ,,,都会携带这样一枚不易察觉的标记发往上游。。

争议焦点

telemetry 数据收罗在软件行业普遍保存。。AI 公司出于提防滥用、阻止转售、规避制裁风险以及防止模子被蒸馏等考量, ,,,往往有充分念头去做用户行为识别。。从这个角度看, ,,,Anthropic 希望阻止 Claude 会见权限在中国市场被违规转售, ,,,念头并不难明确。。

争议点是实现方式而非目的自己。。

关于果真披露的 telemetry 机制, ,,,开发者拥有充分的知情权和选择权, ,,,可以查阅文档、屏障特定端点, ,,,或者自行决议是否接受某项数据收罗。。但把标记信息藏进提醒词里险些无法被察觉的字符差别中, ,,,改变了用户与工具之间的信任条件。。对一款 coding assistant 而言, ,,,这样的界线一旦被突破, ,,,价钱不小。。

权限配景

Claude Code 内置了一套权限系统, ,,,笼罩文件读取、Bash 下令执行与文件编辑等操作, ,,,其中只读类操作无需用户批准, ,,,涉及下令执行和文件修改的操作则需要经由权限确认。。

Anthropic 此前也曾果真谈及 Claude Code 可能保存的「approval fatigue」(审批疲劳)问题, ,,,认可大都用户会习惯性批准权限请求, ,,,而完全关闭权限审批机制在绝大大都场景下并不清静。。

该公司自己宣布的工程博客里, ,,,也纪录过 agentic misbehavior(智能体行为失控)的真实案例, ,,,包括误删远程 git 分支、意外上传 GitHub token, ,,,甚至实验对生产数据库执行迁徙操作。。

Coding agent 事情在代码客栈内部, ,,,能够接触到源代码、文件结构、项目细节, ,,,以致用户失慎袒露的密钥信息, ,,,并被赋予执行下令、修改文件的权限。。对这样一款工具, ,,,信任自己就是其保存的基本。。

若是 client 端会把 routing metadata 偷偷编码进提醒词, ,,,用户自然有理由追问:尚有哪些信息正在以类似方式被纪录??????client 端是否还保存其他未被果真的检测逻辑??????这些行为事实有没有在任何文档中说明过??????

事务曝光后, ,,,Anthropic 手艺团队成员 @trq212 对代码实现原因作出回应, ,,,并体现这段代码将在越日宣布的新版本中被移除。。

https://news.ycombinator.com/item?id=48734373

https://thereallo.dev/blog/claude-code-prompt-steganography

https://x.com/IntCyberDigest/status/2071971609183678544?s=20

https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/

 

文章点评

未盘问到任何数据!

揭晓谈论

◎接待加入讨论, ,,,请在这里揭晓您的看法、交流您的看法。。

最新文章

热门文章

随机推荐

【网站地图】