![]()
機器之心編輯部
今天,Anthropic 可謂「雙喜臨門」。
一方面發布了「迄今為止最具 Agent 屬性的 Sonnet 模型」Claude Sonnet 5,性能接近 Opus 4.8。
另一方面對外宣稱,美國商務部已解除對其 Claude Fable 5 和 Mythos 5 的出口管制。Anthropic 將從明天開始恢復訪問,并會很快分享最新進展。
![]()
根據美國商務部長霍華德?盧特尼克(Howard Lutnick)簽署的一份協議內容,自 6 月 12 日和 6 月 26 日發出相關信函以來,Anthropic 已與美國政府密切配合,采取措施處理 Claude Mythos 5 和 Claude Fable 5 相關風險。
其中 Anthropic 承諾將主動發現并處理這些模型可能帶來的安全風險;就 Mythos、Fable 以及未來模型的協議、標準和發布安排,與美國政府保持密切合作;并在發現惡意活動時向美國政府通報。
基于 Anthropic 已采取的行動和作出的承諾,以及美國商務部工業與安全局對 Claude Mythos 5 和 Claude Fable 5 當前轉移風險的評估,美國商務部決定撤回 6 月 12 日信函中的管制措施。
這意味著,Claude Mythos 5 和 Claude Fable 5 的出口、再出口、境內轉移,包括視同出口和視同再出口,今后不再需要許可證。
不過,美國商務部保留重新評估這一決定的權利。如果情況發生變化,或者 Anthropic 未能履行承諾,美國商務部仍可能重新施加許可證要求。
![]()
不過,對于中國用戶而言,我們一時還高興不起來。
就在同一天,開發者社區上激烈討論的是另一個話題:有人發現 Claude Code 會在用戶不知情的情況下收集本地的代理和時區信息,并通過「隱寫術」(Steganography)的方式,把這些信息隱藏在發往云端的提示詞中。
Claude Code 被曝用隱形代碼標記中國用戶
最近,有人曝光 Anthropic 在 Claude Code 中偷偷植入了一段代碼。
這段代碼會自動檢測用戶是否使用中國時區、當前網絡代理情況,以及是否連接到某些中國 AI 實驗室相關的環境。
隨后,它會將這些信息通過隱寫方式嵌入到發給 AI 的系統提示中。
中國用戶完全無法察覺,但 Anthropic 卻能通過這些隱形指紋進行識別。
一名開發者在 Reddit 上首先提出質疑,隨后在 GitHub 發布驗證報告,稱已對 Claude Code 的 2.1.193、2.1.195、2.1.196 三個版本進行代碼核查,確認存在一套隱藏機制。該機制被定性為系統提示詞中的隱蔽信息通道。
檢測邏輯
據報告描述,Claude Code 會檢測環境變量 ANTHROPIC_BASE_URL,這個變量通常在用戶將 Claude Code 指向自定義 API 代理、而非官方端點 api.anthropic.com 時被啟用。當檢測到非官方路由時,程序提取代理域名,并讀取用戶系統時區,重點核查是否為 Asia/Shanghai 或 Asia/Urumqi。
![]()
使用 GLM5.2 進行分析
報告稱,該域名會與一份解碼后含 147 個條目的清單比對。清單包含百度、阿里巴巴、螞蟻集團、字節跳動、Moonshot AI、MiniMax、Stepfun 等中國科技企業與 AI 實驗室的域名,以及大量 Claude 轉售或 API 鏡像服務地址。
信息傳遞方式
爭議核心在于信息的傳遞路徑。
報告指出,Claude Code 未設置獨立的 telemetry 字段上報數據。異常信息的載體就是系統提示詞里那句最不起眼的「Today's date is...」。
當系統時區被識別為中國時區時,日期分隔符由短橫線變為斜杠,例如 2026-06-30 顯示為 2026/06/30。「Today's date」中的撇號同時在 '、'、?、?等幾種形近的 Unicode 字符間切換,用以標記本次請求命中域名清單、AI 實驗室關鍵詞,或兩者兼有。這幾種符號在常規界面中肉眼難以區分。
對普通用戶來說,'、'、?、?這幾個符號幾乎無法用肉眼分辨,這也是這套機制得以長期隱藏的原因。如果分析屬實,每一次符合條件的請求,都會攜帶這樣一枚不易察覺的標記發往上游。
爭議焦點
telemetry 數據采集在軟件行業普遍存在。AI 公司出于防范濫用、遏制轉售、規避制裁風險以及防止模型被蒸餾等考量,往往有充分動機去做用戶行為識別。從這個角度看,Anthropic 希望遏制 Claude 訪問權限在中國市場被違規轉售,動機并不難理解。
爭議點是實現方式而非目的本身。
對于公開披露的 telemetry 機制,開發者擁有充分的知情權和選擇權,可以查閱文檔、屏蔽特定端點,或者自行決定是否接受某項數據采集。但把標記信息藏進提示詞里幾乎無法被察覺的字符差異中,改變了用戶與工具之間的信任前提。對一款 coding assistant 而言,這樣的界限一旦被突破,代價不小。
權限背景
Claude Code 內置了一套權限系統,覆蓋文件讀取、Bash 命令執行與文件編輯等操作,其中只讀類操作無需用戶批準,涉及命令執行和文件修改的操作則需要經過權限確認。
Anthropic 此前也曾公開談及 Claude Code 可能存在的「approval fatigue」(審批疲勞)問題,承認多數用戶會習慣性批準權限請求,而完全關閉權限審批機制在絕大多數場景下并不安全。
該公司自己發布的工程博客里,也記錄過 agentic misbehavior(智能體行為失控)的真實案例,包括誤刪遠程 git 分支、意外上傳 GitHub token,甚至嘗試對生產數據庫執行遷移操作。
Coding agent 工作在代碼倉庫內部,能夠接觸到源代碼、文件結構、項目細節,乃至用戶不慎暴露的密鑰信息,并被賦予執行命令、修改文件的權限。對這樣一款工具,信任本身就是其存在的根基。
如果 client 端會把 routing metadata 偷偷編碼進提示詞,用戶自然有理由追問:還有哪些信息正在以類似方式被記錄?client 端是否還存在其他未被公開的檢測邏輯?這些行為究竟有沒有在任何文檔中說明過?
事件曝光后,Anthropic 技術團隊成員 @trq212 對代碼實現原因作出回應,并表示這段代碼將在次日發布的新版本中被移除。
![]()
https://news.ycombinator.com/item?id=48734373
https://thereallo.dev/blog/claude-code-prompt-steganography
https://x.com/IntCyberDigest/status/2071971609183678544?s=20
https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.