![]()
一個可以完全讀取你電腦文件的軟件,在用戶不知情的時候悄悄收集個人信息,然后藏著掖著發回到自己的服務器....這算是個什么性質的軟件?
間諜軟件嗎?
![]()
最近,Claude 就被人抓住了馬腳。
前兩天,Claude 又來了一波史詩級大封號,大家上網沖浪嘮嗑,就連咱們公司的小伙伴都給封了一大批,甚至就連人在韓國團建的小黑胖也被封了號。
![]()
大家本以為這只是一次常規的 IP 清理,但今天,有老哥直接把 Claude Code 命令行客戶端給反編譯了,扒出了它用來判斷和封號的底層邏輯。
結果大家發現,Claude 為了不讓咱們用上它們的模型,是真的煞費苦心。。。
為了悄無聲息地把人給找出來完成封號,Claude Code 在我們的電腦里藏了一波連環套。
它會先通過一堆機制來收集這臺電腦里的個人信息,然后再通過一種肉眼幾乎不可見的辦法,把這些信息發送回 Anthropic 的服務器里去。
在進入技術細節之前,咱們先來交代個背景:這事兒在圈內已經鬧得沸沸揚揚了。咱們的老朋友卡茲克今早剛發了一篇深度拆解,把 Claude 的這波操作扒得底褲都不剩。
![]()
我們也把里面最關鍵、最值得注意的部分給大家捋了一下。
要做到這一步,Claude 在運行的時候,會先在你的系統里做檢查,檢查你有沒有設置過一個叫做 “ ANTHROPIC_BASE_URL ” 的變量。
如果是正常能直接連上 Claude 的用戶,那它的系統里根本就沒有這個變量,但眾所周知,咱們要直接能連上 Claude 是不太可能。
所以一般來說,大家想用 Claude 的話,都會設個中轉代理,讓我們的電腦先連上第三方的站點中轉一下才行。
一些大公司更是如此,讓每個員工自己去注冊一個 Claude 賬戶也不現實,所以一般來說,這些大廠都會自己內部建個中轉站來過渡一層,讓員工先連上內部的網址,再過渡到 Claude 的服務器上。
而這一中轉就留下了痕跡,在發現大家開了中轉代理后,咱們就已經上了 Claude 的初步懷疑名單了,接下來它還會繼續干兩件事。
先是把咱們用中轉站的網址和一份內部名單做對比,這份名單里記載了很多國內大公司的名字,比如最前面的 sankuai.com 就是美團的,后面也都是咱們的老熟人,網易、百度、阿里、字節。。。
基本國內的大廠都是綁上有名。
![]()
然后,Claude 還會收集系統里的時區信息,如果發現你用的是北京時間,那也會被它給偷偷記下來。
![]()
而且,這些操作全是在后臺加密運行的,普通用戶根本無從察覺。
這次能被抓個現行,純屬機緣巧合。開發者在反編譯時,通過推演破解了加密密鑰,而這把鑰匙的規律,正好對應上了功能上線時的版本號:91。
![]()
也多虧了這次巧合,Claude 這套藏在暗處的數據回傳機制,才終于被公之于眾。
最后,也就是最關鍵的一步要來了。
如何要把這些在用戶電腦上收集的關鍵信息給傳回去。
Claude 也不傻,如果直接把這些信息給發出去的話,可能一天不到就全給人扒出來了。
可要是額外加一層加密傳輸,網絡流量里突然冒出一串莫名其妙的加密數據,又顯的有些此地無銀三百兩的感覺了。
于是,他們選擇了一種極其隱蔽的隱寫術,把這些敏感信息,偽裝成了一串再普通不過的日期格式。
Today's date is 2026-07-01.
所謂最危險的地方就是最安全的地方,就在上面這段話里就藏進去了 Claude 偷偷加的小料。
眾所周知,大家在和 Claude 對話的時候,系統在咱們的對話之外,自動把一段輔助的上下文提示詞給打包進去。
你和 Claude Code 說句 Hi,可能就直接用掉了兩三萬的上下文。
![]()
而這兩三萬的上下文里,就有這句描述日期的提示詞。
但就在這么簡單的一個日期里,藏進去了剛才 Claude 檢測到的所有信息。
大伙在扒拉完代碼后,發現 Claude 在這段話里偷偷修改了兩處格式。
第一處是:“ Today's ” 中間的這個撇 “'” 號。
眾所不周知,在我們的電腦里,有好幾個看起來很像,但實際完全不一樣的撇號。
在計算機的眼里,這些撇號是由完全不同的 Unicode 代碼組成的,
![]()
而 Claude 就會會根據我們電腦上不同的情況,來替換上不同的撇號。
另一邊,Claude 還會對日期的分割符動手腳。
這個日期格式,如果一切正常的話,默認的寫法是 2026-07-01,可一旦它檢測到咱們的電腦設置的時區是北京時間或者是烏魯木齊的 ( Asia/Shanghai 和 Asia/Urumqi ),那它就會把日期給寫成 2026/07/01,偷偷換了一個格式。
通過這個撇號和時區的雙重認證,Claude 就能偷偷把自己收集到的信息,給悄咪咪的給傳出去。
![]()
整套操作可以說是神不知鬼不覺,不給人扒出來的話,可能大家到死都想不出這些信息是怎么泄漏的。
而這波連招在被人給扒出來之后,整個開發者社區都炸了鍋。
![]()
大家之所以這么憤怒,不僅僅是因為被封號這么簡單,而是有種給人背刺了的感覺。。。
![]()
因為現在,開發者們為了讓 AI 能更加好用,往往會把電腦里的各種本地文件的讀寫權限,甚至命令行的執行權限都交給 AI 來干,
畢竟有多少上下文,有多少智能。
大家對 AI 公司的信任,是一種寶貴的財富,人們期待的是一個得力助手,結果你卻背地里搞這種 “ 賽博東廠 ” 的監控。
今天查時區和代理,明天是不是還會收集更多?
![]()
而 Claude 雖然一直喊著自己這么做,是為了防止被蒸餾,但是反蒸餾這三個字,和 Anthropic 這家公司放在一起其實有點好笑。
說夸張點,在蒸餾人類知識這塊,Anthropic 確實沒輸過誰。
23 年的時候就因為拿別人的歌詞訓練模型而被人告上法庭。
24 年的時候,還因為使用盜版數據訓練大模型,被法院判決罰款了 15 億元。
![]()
25 年的時候還因為用爬蟲抓 Reddit 被人給起訴。
![]()
說白了,他們在單向蒸餾人類文明,把全網開發者的代碼和創作者的心血拿來喂自家大模型的時候,可沒見他們跟原作者這么客氣,更沒考慮過什么 “ 知識產權保護 ”。
結果現在自己靠著這些數據把模型做強大了,反而患上了極其嚴重的被害妄想癥。天天喊著防賊、防套殼、防別人用 Claude 的產出去蒸餾小模型。
為了守住這所謂的護城河,甚至不惜違背最基本的信任,跑到開發者的本地電腦里搞這種暗搓搓操作。
這種只許州官放火,不許百姓點燈的做派,多少有點又當又立了。
企業保護自家的核心資產可以理解,防作弊也是行業慣例。但你完全可以堂堂正正地在服務端做風控,或者在用戶協議里明著寫出來。
我登陸個網貸軟件都會給你彈個用戶協議吧,但 Claude 這次則是一聲不吭直接干了。
當面打著安全與道德的旗號,背地里卻偷偷在高權限的工具里植入混淆暗號,這就叫越界。
甚至就連 Claude 自己也知道這些小動作不光彩,在被人扒拉出來后,官方也是光速滑跪,迫于輿論壓力要把這個偷偷傳遞信息的機制給下了。
![]()
但下的還只是暴露出來的,Claude 的代碼底下,是否還有很多沒暴露出來的信息呢?官方說的 “ 更強力的措施 ” 又是啥呢?
現在,這層窗戶紙已經被捅破了,開發者和 AI 巨頭之間的信任危機才剛剛開始。
撰文:早起
編輯:江江 & 面線
美編:素描
圖片、資料來源:
https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/
https://thereallo.dev/blog/claude-code-prompt-steganography
https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
https://x.com/trq212/status/2072079729331777817
https://x.com/passluo/status/2071934993337929941
部分 X 截圖
![]()
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.