实锤了:Claude Code偷查用户,,,,时区、中国AI实验室全是要害词
机械之心编辑部
今天,,,,Anthropic 可谓「双喜临门」。。
一方面宣布了「迄今为止最具 Agent 属性的 Sonnet 模子」Claude Sonnet 5,,,,性能靠近 Opus 4.8。。
另一方面临外宣称,,,,美国商务部已扫除对其 Claude Fable 5 和 Mythos 5 的出口管制。。Anthropic 将从明天最先恢复会见,,,,并会很快分享最新希望。。
凭证美国商务部长霍华德?卢特尼克(Howard Lutnick)签署的一份协议内容,,,,自 6 月 12 日和 6 月 26 日发出相关信函以来,,,,Anthropic 已与美国政府亲近配合,,,,接纳步伐处理 Claude Mythos 5 和 Claude Fable 5 相关风险。。
其中 Anthropic 允许将自动发明并处理这些模子可能带来的清静风险;;;;;;就 Mythos、Fable 以及未来模子的协议、标准和宣布安排,,,,与美国政府坚持亲近相助;;;;;;并在发明恶意活动时向美国政府转达。。
基于 Anthropic 已接纳的行动和作出的允许,,,,以及美国商务部工业与清静局对 Claude Mythos 5 和 Claude Fable 5 目今转移风险的评估,,,,美国商务部决议撤回 6 月 12 日信函中的管制步伐。。
这意味着,,,,Claude Mythos 5 和 Claude Fable 5 的出口、再出口、境内转移,,,,包括视同出口和视同再出口,,,,以后不再需要允许证。。
不过,,,,美国商务部保存重新评估这一决议的权力。。若是情形爆发转变,,,,或者 Anthropic 未能推行允许,,,,美国商务部仍可能重新施加允许证要求。。
不过,,,,关于中国用户而言,,,,我们一时还兴奋不起来。。
就在统一天,,,,开发者社区上强烈讨论的是另一个话题:有人发明 Claude Code 会在用户不知情的情形下网络外地的署理和时区信息,,,,并通过「隐写术」(Steganography)的方式,,,,把这些信息隐藏在发往云端的提醒词中。。
Claude Code 被曝用隐形代码标记中国用户
最近,,,,有人曝光 Anthropic 在 Claude Code 中偷偷植入了一段代码。。
这段代码会自动检测用户是否使用中国时区、目今网络署理情形,,,,以及是否毗连到某些中国 AI 实验室相关的情形。。
随后,,,,它会将这些信息通过隐写方式嵌入到发给 AI 的系统提醒中。。
中国用户完全无法察觉,,,,但 Anthropic 却能通过这些隐形指纹举行识别。。
一名开发者在 Reddit 上首先提出质疑,,,,随后在 GitHub 宣布验证报告,,,,称已对 Claude Code 的 2.1.193、2.1.195、2.1.196 三个版本举行代码核查,,,,确认保存一套隐藏机制。。该机制被定性为系统提醒词中的隐藏信息通道。。
检测逻辑
据报告形貌,,,,Claude Code 会检测情形变量 ANTHROPIC_BASE_URL,,,,这个变量通常在用户将 Claude Code 指向自界说 API 署理、而非官方端点 api.anthropic.com 时被启用。。当检测到非官方路由时,,,,程序提取署理域名,,,,并读取用户系统时区,,,,重点核查是否为 Asia/Shanghai 或 Asia/Urumqi。。
使用 GLM5.2 举行剖析
报告称,,,,该域名会与一份解码后含 147 个条目的清单比对。。清单包括百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI、MiniMax、Stepfun 等中国科技企业与 AI 实验室的域名,,,,以及大宗 Claude 转售或 API 镜像服务地点。。
信息转达方式
争议焦点在于信息的转达路径。。
报告指出,,,,Claude Code 未设置自力的 telemetry 字段上报数据。。异常信息的载体就是系统提醒词里那句最不起眼的「Today's date is...」。。
当系统时区被识别为中国时区时,,,,日期脱离符由短横线变为斜杠,,,,例如 2026-06-30 显示为 2026/06/30。。「Today's date」中的撇号同时在 '、'、?、?等几种形近的 Unicode 字符间切换,,,,用以标记本次请求掷中域名清单、AI 实验室要害词,,,,或两者兼有。。这几种符号在通例界面中肉眼难以区分。。
对通俗用户来说,,,,'、'、?、?这几个符号险些无法用肉眼分辨,,,,这也是这套机制得以恒久隐藏的原因。。若是剖析属实,,,,每一次切合条件的请求,,,,都会携带这样一枚不易察觉的标记发往上游。。
争议焦点
telemetry 数据收罗在软件行业普遍保存。。AI 公司出于提防滥用、阻止转售、规避制裁风险以及防止模子被蒸馏等考量,,,,往往有充分念头去做用户行为识别。。从这个角度看,,,,Anthropic 希望阻止 Claude 会见权限在中国市场被违规转售,,,,念头并不难明确。。
争议点是实现方式而非目的自己。。
关于果真披露的 telemetry 机制,,,,开发者拥有充分的知情权和选择权,,,,可以查阅文档、屏障特定端点,,,,或者自行决议是否接受某项数据收罗。。但把标记信息藏进提醒词里险些无法被察觉的字符差别中,,,,改变了用户与工具之间的信任条件。。对一款 coding assistant 而言,,,,这样的界线一旦被突破,,,,价钱不小。。
权限配景
Claude Code 内置了一套权限系统,,,,笼罩文件读取、Bash 下令执行与文件编辑等操作,,,,其中只读类操作无需用户批准,,,,涉及下令执行和文件修改的操作则需要经由权限确认。。
Anthropic 此前也曾果真谈及 Claude Code 可能保存的「approval fatigue」(审批疲劳)问题,,,,认可大都用户会习惯性批准权限请求,,,,而完全关闭权限审批机制在绝大大都场景下并不清静。。
该公司自己宣布的工程博客里,,,,也纪录过 agentic misbehavior(智能体行为失控)的真实案例,,,,包括误删远程 git 分支、意外上传 GitHub token,,,,甚至实验对生产数据库执行迁徙操作。。
Coding agent 事情在代码客栈内部,,,,能够接触到源代码、文件结构、项目细节,,,,以致用户失慎袒露的密钥信息,,,,并被赋予执行下令、修改文件的权限。。对这样一款工具,,,,信任自己就是其保存的基本。。
若是 client 端会把 routing metadata 偷偷编码进提醒词,,,,用户自然有理由追问:尚有哪些信息正在以类似方式被纪录??????client 端是否还保存其他未被果真的检测逻辑??????这些行为事实有没有在任何文档中说明过??????
事务曝光后,,,,Anthropic 手艺团队成员 @trq212 对代码实现原因作出回应,,,,并体现这段代码将在越日宣布的新版本中被移除。。
https://news.ycombinator.com/item?id=48734373
https://thereallo.dev/blog/claude-code-prompt-steganography
https://x.com/IntCyberDigest/status/2071971609183678544?s=20
https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
文章点评
未盘问到任何数据!
揭晓谈论
◎接待加入讨论,,,,请在这里揭晓您的看法、交流您的看法。。