你打开终端,输入`claude`,回车。

Claude Code启动了。你开始写代码。让它帮你重构那个屎山模块,让它读你的项目文件,让它跑命令。你花了200块买这个工具,你信任它——毕竟它是Anthropic做的,那个一直标榜"透明"“可信”"安全优先"的公司。

但你不知道的是,在你每一次和Claude Code的对话里,你的请求都被偷偷动了手脚。一条本该是"Today’s date is 2026-06-30"的日期信息,在你毫不知情的情况下被改写。连字符从`-`变成了`/`,撇号从一种Unicode字符换成了另一种。

你看不出来。你的编辑器看不出来。几乎任何人类都看不出来。

但Anthropic的服务器能看出来。它从这些肉眼分辨不了的字符变化中,读取到一个清晰的信息:这个用户是中国人。

这件事干了整整三个月。从今年4月2日开始,一直到6月30日被人逆向工程扒出来。


一、到底干了什么

先说清楚,这不是什么复杂的技术问题。我用最直白的方式讲一遍。

Claude Code里有一段代码,这段代码只在一种条件下激活:你设置了`ANTHROPIC_BASE_URL`环境变量,把API请求转发到非官方代理服务器。

为什么要提这个条件?因为国内绝大多数用户都是通过中转站访问Claude Code的。直接连官方API?网络不通。所以这个"条件",基本覆盖了所有国内用户。通过官方API访问的人,反而不受影响。

检测逻辑分两条路径。

第一条,读你电脑的时区。只要系统时区是`Asia/Shanghai`或`Asia/Urumqi`,就标记为中国用户。看起来很蠢?一点都不。你切了网络,改了DNS,配了代理,但你大概率不会改电脑时区——毕竟时区影响日程、影响日志、影响一堆东西。所以这条路径几乎能命中所有国内开发者。

第二条,域名黑名单。Claude Code提取你代理服务器的域名,跟一份硬编码的清单比对。清单有147个域名,但不是直接明文写的——用XOR-91加密,再用Base64编码混淆。安全研究员Adnane Khan从二进制文件里提取出完整JavaScript代码,解码后才发现这份清单包含什么:

`.cn`中国顶级域名;百度;阿里巴巴,连内网域名都没放过;蚂蚁集团;字节跳动;DeepSeek、智谱、月之暗面(Moonshot AI)、MiniMax、阶跃星辰——几乎所有国内AI公司;大量API中转站和镜像服务地址。

有一家公司的域名不在清单里:腾讯。

有人注意到这个细节。Dario Amodei在创办Anthropic之前,在百度干过。这只是个巧合?还是某种选择性的体现?没人说得清。

图片

画面左侧展示四个Unicode字符U+0027、U+2019、U+02BC、U+02B9在等宽字体下几乎一模一样的外观,右侧放大镜下它们各自不同的编码值清…

两条路径走完,接下来才是最离谱的部分——隐写术标记

什么叫隐写术?你看过谍战片吧?间谍把情报藏在看似普通的信件里,表面读起来是家常问候,实际每个字的位置、每个标点的选择都在传递秘密信息。Claude Code用的就是这套东西。

每次请求的系统提示词里都有一行日期:“Today’s date is 2026-06-30”。检测命中后,这行日期被做了两处手脚:

第一处,日期分隔符从连字符变斜杠。`2026-06-30`变成`2026/06/30`。

第二处,撇号替换为不同的Unicode字符,编码不同的命中状态:

  • `U+0027`——正常ASCII单引号——没命中任何名单

  • `U+2019`——右单引号——命中了域名列表

  • `U+02BC`——修饰字母撇号——命中了AI实验室关键词

  • `U+02B9`——修饰字母角分符——两个都命中了

四个字符。在绝大多数等宽字体里,它们看起来几乎一模一样。你用肉眼分辨不了。我分辨不了。任何人类都分辨不了。但Anthropic的服务器用机器解析,一秒识别。

安全研究员Adnane Khan把这叫做"隐蔽信道"(covert channel)——一种专门用来在不被发现的情况下传递秘密信息的技术手段。

整个机制不需要额外的网络请求,不会留下可疑流量痕迹。没有奇怪的API调用,没有异常的数据包。一切都在系统提示词那行日期信息里完成。你看到的是一条普通日期,Anthropic服务器读到的是你的地理身份。

这就是为什么运行了三个月没人发现——直到有人做了逆向工程。


二、为什么只针对中国

Anthropic团队成员Thariq的回应说,这是三月上线的"一项实验",目的是防止未经授权的转售商滥用账号,并防范模型蒸馏。

听起来合理?仔细想想,漏洞多到挡不住。

账号转售和模型蒸馏是全球性问题。东欧、东南亚、南美都有大规模转售和蒸馏行为。为什么监控清单集中指向中国的云厂商、AI公司和API代理服务商?为什么百度内网域名会出现在反转售的清单里?为什么DeepSeek、智谱、月之暗面这些AI公司的域名跟账号转售有关系?

这份清单的真实目的,怎么看都不只是"反滥用"。更像是在识别和标记所有与中国AI生态有关联的用户。

再说时区。反滥用反蒸馏需要读你的本地时区吗?时区是本地信息,跟API调用频率没关系,跟账号活跃度没关系,跟请求模式没关系。时区唯一能告诉你的,就是用户在哪。读时区的目的只有一个:判断你的地理位置。

最核心的问题:为什么要用隐写术?

如果真是正当的反滥用措施,写在文档里,写在更新日志里,让用户知情。不需要用肉眼看不见的Unicode字符偷偷替换。不需要加密混淆域名清单。不需要在每条请求的系统提示词里做手脚。

隐写术这个词来自军事通信和情报领域。它的核心特征就是隐蔽——不让对方知道信息的存在。把这套东西用在商业产品里对付自己的付费用户,无论怎么解释,都绕不过一个事实:Anthropic不想让用户知道这件事。

Thariq的回应没能解释这些问题。截至发稿,Anthropic官方也没有发布正式公开声明。

同一天还有另一条消息。6月30日,Anthropic宣布美国商务部已解除对Claude Fable 5和Mythos 5的出口管制。6月12日美国政府以"国家安全"为由对这两款最强大模型发出出口管制指令,7月1日恢复访问。

一边解禁模型出口,一边在产品里暗藏代码追踪中国用户。这种"双标"讽刺程度,已经不需要我再多说。


三、被封号的中国开发者

如果你觉得隐写术标记只是个技术八卦,跟你没关系——那你还不知道最近发生了什么。

近期大量中国用户的Claude账号遭封禁或限制。不是新号,不是违规号,是稳定用了一年多的号。有人付费订阅了12个月,没有任何异常使用记录,一封邮件过来,账号没了。

更狠的是公司级别。有百人规模的团队被"团灭"——所有关联账号一次性封停。想象一下那个场景:一百个开发者同时失去工作工具,项目推进中断,代码评审停摆,部署流程瘫痪。

图片

一间办公室里,多个开发者面对屏幕上整齐排列的红色封号通知,表情从震惊到无奈,桌面上散落着无法打开的Claude Code终端窗口,一封邮件通知里隐约可见一…

还有个细节让人脊背发凉。有人发现Anthropic的封号邮件里埋了追踪像素

追踪像素是什么?一张1×1像素的透明图片,嵌在邮件HTML里。你看不见它。但当你打开邮件的那一刻,你的邮件客户端会尝试加载这张图片。加载请求会发送到Anthropic的服务器,同时携带你的真实IP地址。如果你没开代理就打开了邮件——你的真实地理位置就被二次确认了。

程序员鱼皮总结得很到位:“先暗中观察你,等掌握了足够证据再动手。”

把整个链条串起来,逻辑就通了:Claude Code里的隐写术标记持续采集数据,标记你的身份;证据积累到一定程度,触发封号;封号邮件里的追踪像素负责二次确认你的位置。

对那些用了一年多的用户来说,封号不只是失去一个工具。你在Claude上积累的工作流、你的提示词、你的开发习惯——全部归零。对百人规模的公司来说,损失的是整个团队的生产力和重新寻找替代方案的时间成本。


四、信任崩塌

Claude Code不是一个普通聊天软件。

它运行在你终端里,能读你的文件系统——你的代码、你的配置文件、你的`.env`里存的密钥。它能执行Shell命令——在你的电脑上跑任何代码。它能改你的文件——重构、创建、删除,都是它的日常工作。

你把这么大的权限给它,是因为你信任它。你信任Anthropic。你信任这个一直标榜"安全优先""透明至上"的公司。

结果它背着你在每一条请求里夹带私货。

不是一次两次。是三个月,每一天,每一条请求。你让它帮你重构代码,它偷偷标记你的位置。你让它帮你写测试,它偷偷记录你的身份。你让它帮你部署服务,它悄悄把你的地理信息塞进系统提示词——你以为发给Anthropic的是一条普通的技术请求,实际上你发送的是一条带着"我是中国用户"隐形标签的数据包。

Anthropic自己写的安全政策文档里,“透明”(transparency)和"可信"(trustworthiness)是高频词。他们批评别家公司不够透明,呼吁行业建立信任框架,在国会听证会上谈AI安全伦理。

结果自家产品用隐写术藏标记。隐写术——来自间谍通信的技术手段——用在了你付费购买的商业工具上,对付的是你这个付费用户。

更讽刺的是,这套机制对真正搞大规模转售和模型蒸馏的人来说,想绕过并不难。改个时区,换个域名,完事。专业技术人士分分钟搞定。最终被精准捕获的,是那些正常付费使用的普通开发者——他们的"罪行"不过是系统时区设在了`Asia/Shanghai`,或者代理域名碰巧和某个国内服务有关联。

你花了钱,买了工具。工具在背后监视你。然后账号被封了。这个闭环的逻辑,怎么看都不像是"反滥用"。


五、更大的AI困境

Claude Code的事不是孤例。把视野拉大,你会发现一个让人无力的事实:AI越来越强,但越来越难用。

OpenAI Codex,6月连搞两波封禁。200刀的账号,直接封停,没有预警,没有申诉渠道。你花了一千多块买了一年订阅,一封邮件过来,没了。

Cursor,存在地区限制。3.9版本之后,有人直接无法使用。你付了费,但你的IP决定了你能不能打开这个工具。

国内也好不到哪去。DeepSeek V4引入峰谷定价,高峰时段价格翻倍。你本来以为便宜好用的国产模型,现在也要看时间段了。智谱GLM Coding Plan限量发售,天天盯着都抢不到。豆包推出付费专业版,每月500元。

图片

一道道越建越高的数字围墙,墙面上贴着不同AI工具的封禁通知、限流标语、涨价公告,墙外站着焦虑的开发者试图寻找入口,墙内的AI模型在不断进化但空间越来越封闭…

有个开发者说了一句话,我觉得很多人都有同感:“以前每次有新模型发布我很兴奋,现在更多的则是焦虑。”

兴奋是因为工具变强了——Claude Sonnet 4、GPT-4o、Gemini 2.5 Pro、DeepSeek V4,一个接一个突破天花板。焦虑是因为不确定性——你不知道账号什么时候会被封,不知道下个月套餐又涨多少钱,不知道你依赖的工具有没有在暗处收集你的数据,不知道你今天的正常使用明天会不会被判定为"违规"。

这种焦虑才是Claude Code事件真正戳到的痛点。不只是某个技术漏洞,不只是某次封号事件,而是更深层的追问:对于不在"主流市场"里的用户,这些公司到底把你当什么?

是客户?还是风险?是付费用户?还是需要监控的对象?


今天承诺删除,但信任能删除吗

今天,7月2日,Anthropic承诺删除这段代码。Thariq说相关PR已合并,新版本将完全回滚。

代码删了,事情就结束了吗?

三个月里,这套机制采集了多少数据?这些数据现在在哪?被用来做了什么?跟封号决策有没有直接关联?那些已经被封号的用户,账号会恢复吗?Anthropic会不会给出完整的调查报告和解释?

没人知道。Thariq的回应里没有道歉,没有承诺审查流程,没有关于数据处理的说明。从发现到承诺删除,不到48小时。删代码的速度很快,给解释的速度没那么急。

有人会说:算了,代码删了就过了。继续用呗。毕竟Claude还是最好的编程助手之一,工具就是工具,哪个工具没毛病。

这是很现实的选择。我理解。

但我想记下一件事。

有三个月的时间,你在电脑里打开Claude Code,每次跑终端命令、每次让它读你的代码、每次你信任它处理你的工作——它都在用你看不见的字符,给你的每条请求贴上标签。这不是公开的政策,不是你知情同意的条款,不是更新日志里的一行说明。这是秘密的。隐蔽的。用隐写术藏起来的。

今天这段代码被删了。

你愿不愿意继续用,是你自己的事。

但有些事情知道了,就回不去了。

Logo

Agent 垂直技术社区,欢迎活跃、内容共建。

更多推荐