Anthropic Claude Code被曝嵌入隐写追踪代码,用于识别中国地区用户

Anthropic Claude Code被曝嵌入隐写追踪代码,用于识别中国地区用户

Anthropic 于7月1日宣布回滚其在 Claude Code CLI 工具中嵌入的隐写追踪代码。该代码自2026年3月起以隐藏方式运行,静默检测用户是否通过中国代理或与中国AI实验室有关联,并通过修改系统提示语中的不可见字符将信号传回 Anthropic 服务器。

技术实现:隐写术嵌入系统提示语

安全研究人员分析 Claude Code v2.1.193、v2.1.195 和 v2.1.196 版本后发现,追踪代码首先检查 ANTHROPIC_BASE_URL 环境变量是否被修改为非默认端点。如果检测到代理路由异常,代码进一步读取系统时区,特别关注 Asia/Shanghai 和 Asia/Urumqi 两个时区。最终将代理主机名与一份包含147条条目的解码列表进行比对,该列表涵盖百度、阿里、字节跳动、蚂蚁集团、月之暗面、MiniMax、Stepfun 等中国AI公司域名,以及 Claude 转售和 API 镜像代理服务。

研究人员发现,代码不通过独立的遥测通道发送数据,而是通过隐写方式修改系统提示语中的视觉细节:将日期格式从横杠分隔线(2026-06-30)改为斜杠分隔线(2026/06/30),并将英文撇号替换为视觉上几乎无法区分的 Unicode 变体字符。这些修改对普通用户完全不可见,但 Anthropic 服务端可通过识别这些特征标记来判断用户来源。

Anthropic回应:称为反蒸馏实验

Anthropic 工程师 Thariq Shihipar 在社交平台 X 上回应称,这是"3月份启动的一个实验",目的是防止未经授权的转售商滥用账号,以及防止模型蒸馏——即竞争对手利用 Claude 的输出来训练自家模型。他表示团队"本来就计划下掉这项功能",并在曝光后合并了回滚的 pull request,于7月2日的版本中移除。

The Register 确认该回滚 PR 已被合并,应在周三的 Claude Code 版本中生效。

业界反应:阿里巴巴内部封禁 Claude Code

据《南华早报》报道,阿里巴巴在事件曝光后发布内部通知,将 Claude Code 列入高风险软件清单,禁止员工使用。阿里巴巴内部评估认为,Claude Code 能够读取文件、编辑项目、执行终端命令,在开发者环境中运行时悄悄嵌入位置追踪信号构成了严重安全风险。

此前 Anthropic 曾指控阿里巴巴发起了最大规模的模型蒸馏攻击。该事件正值美国白宫解除外国访问高级 Anthropic 模型禁令之际,凸显了中美AI竞争在基础设施层面的暗战。

数据来源:Semafor、The Register、International Cyber Digest、南华早报

https://www.semafor.com/article/07/01/2026/anthropic-rolls-back-china-tracking-code