Claude Code 风控机制遭质疑:触发条件涉及中国时区及 AI 厂商关键词
社区已部分复现相关逻辑,但对其性质与目的仍存在分歧。
slashslashdev·
6月30日,一名开发者在 Reddit 的 r/ClaudeAI 板块发帖爆料:Claude Code 会在特定网络配置下,对提交给大模型的系统提示词(system prompt)进行肉眼无法识别的隐性篡改,并将该行为定性为「嵌入式间谍软件(embedded spyware)」。
该帖子迅速引发社区热议,多名开发者在评论区完成复现核验并修正细节,多数观点认为“间谍软件”的定性过于夸张;同时有不少用户提出质疑,这套时区+关键词触发规则明显针对中国 AI 厂商,存在定向限制嫌疑。截至目前,Anthropic 尚未发布任何官方声明。
帖子的核心主张
据原帖作者描述,自 Claude Code 2.1.91 版本起,用户开启自定义中转 API 或代理配置后,工具会触发双重条件校验:
- 检测设备时区是否为
Asia/Shanghai或Asia/Urumqi; - 检测请求目标地址是否匹配特定域名清单,或包含 AI 厂商相关关键词。
条件命中后,程序会静默修改系统提示词细节:一是调整日期分隔符格式,在 2026/06/30 与 2026-06-30 之间切换;二是变更固定语句 Today's date is 中单撇号的 Unicode 码位,在 U+2019、U+02BC、U+02B9 三者间动态切换。
作者表示,该校验逻辑在二进制文件中通过 XOR 91 密钥混淆,且未记录在版本更新日志中,推测其用途为识别未经授权的模型转售与蒸馏行为。同时原帖承认,相关判定函数为打包混淆产物、会随版本变动,且未公开具体复现步骤。
社区的技术复现
针对原帖内容,社区开发者完成了技术核验,明确了精准触发规则,修正了原帖模糊表述。
多位逆向开发者确认,该隐藏逻辑强依赖 ANTHROPIC_BASE_URL 环境变量,存在明确前置条件:未配置该变量的用户,不会触发提示词修改逻辑。换言之,使用官方默认接口、无自定义请求地址的普通用户不受影响。
另有开发者完成端到端实测:在 2.1.195 版本中完整溯源逻辑链路,工具会读取自定义 Base URL、匹配域名与关键词库、校验时区,最终修改系统提示词。测试者本地搭建模拟 API 服务,将 ANTHROPIC_BASE_URL 指向含 deepseek 关键词的地址后,抓包可见 /v1/messages 请求体的撇号码位变更为 U+02BC,与既定触发逻辑完全吻合。也印证了中国 AI 厂商关键词会触发特殊标记流程,进一步加剧了社区“定向针对中国 AI 厂商”的质疑。
争议:行为定性的分歧
本次事件的社区争议主要分为两派,核心矛盾聚焦于行为定性与产品透明度。
中立观点:属于常规反滥用防护
多数开发者认为,该机制是行业常规的遥测与反滥用风控手段,无需过度解读。类比浏览器、DNS 等工具普遍存在的网络信息上报行为,Claude Code 的打标逻辑属于合规风控范畴,原帖的间谍软件定性明显夸大。
从数据流向来看,被篡改、打标的仅有对外传输的模型提示词,标记仅随自定义第三方接口请求发送,不会回传数据至 Anthropic 官方服务器。
业内普遍将其定义为客户端隐性水印机制,用于标记疑似模型蒸馏、非法中转的流量,服务于违规溯源,不存在用户数据泄露风险。且该机制仅在自定义 Base URL 场景触发,规避难度极低。
质疑观点:产品透明度严重缺失
反对观点的核心不在于风控行为本身,而在于官方隐蔽的实现方式。开发者普遍认可合理的反蒸馏与遥测能力,但要求所有风控逻辑公开透明、支持用户自主开关(opt-in/opt-out)。
Claude Code 具备文件读写、Shell 执行等高设备权限,其后台隐性混淆、静默篡改请求的无告知行为,严重损害用户信任。此外有社区用户指出,本次爆料原帖疑似 AI 生成,内容客观性存在瑕疵。
往期源码泄露证实存在隐藏风控逻辑
今年 3 月 Claude Code 因打包失误泄露完整源码,彼时的逆向分析已证实其内置成熟的反蒸馏体系:
- 客户端
ANTI_DISTILLATION_CC规则:命中条件后请求携带anti_distillation: ['fake_tools'],通过服务端注入虚假工具定义,污染抓包训练的竞品模型数据集; - 服务端防护逻辑:为工具调用间的文本内容生成加密签名摘要,用于流量溯源核验。
业内当时即判定,该防护逻辑门槛较低、易被绕过。而本次曝光的「时区+域名匹配、隐性修改提示词」,是官方在客户端新增的轻量化、精细化反蒸馏溯源方案。
不过截至目前,所有相关结论均仅限社区个人复现。触发清单完整范围、代码混淆的真实意图、潜在附加副作用均无定论,同时“规则是否刻意针对中国 AI 厂商”也缺少官方解释。事件最终定性,仍需独立安全研究者完成逆向复核、公开可复现 PoC,以及 Anthropic 的正式官方回应。
附:原帖链接