原创 Claude Code 为精准封掉中国人,隐写术都用上了
创始人
2026-07-07 17:16:21
0

Claude Code 又炸了。

大面积封号,稳定用了一年的老号翻车,甚至有百人规模的公司被一锅端,整个开发团队直接团灭。

离谱吧?更离谱的还在后面。

大家一直没搞明白一件事:我代理挂了,IP 也切到美国了,它 Anthropic 到底凭什么还能精准把我揪出来?

直到前两天,有个国外老哥直接把 Claude Code 给逆向扒了,才真相大白。

原来人家在客户端里偷偷塞了一套用户标记系统,藏得那叫一个深。

先说它怎么识别你的。Claude Code 压根不看你的 IP,它走的是两条本地路径。

第一条,读你电脑的系统时区。只要你的时区是 Asia/Shanghai 或者 Asia/Urumqi ,直接标红。

绝大多数人虽然挂代理,但电脑时间还得正常看吧?谁没事把时区改成洛杉矶啊,日历全乱套。所以这条几乎一抓一个准。

第二条,看你设的那个ANTHROPIC_BASE_URL环境变量。

国内用 Claude 基本都得走中转,这个变量指向的就是你用的中转站地址。Claude Code 拿到这个地址之后,会提取域名,然后跟一份内置的黑名单做比对。

这份黑名单是被加密混淆过的,逆向出来之后一看,好家伙,整整 147 个域名。

你猜里面都有啥?上来就是 cn 顶级域名,然后百度、阿里、字节、美团、网易、携程、小红书……几乎把所有国内大厂和 AI 公司一网打尽。

还有 DeepSeek、智谱、月之暗面、MiniMax,全在名单里。剩下的大头就是各种 API 中转服务。

看到这儿,你可能觉得 Anthropic 防中国用户防得挺狠。但这只是开胃菜。

真正让人后背发凉的,是它怎么把这些识别到的信息传回去。

Claude Code 并没有通过独立的遥测字段上报数据,那样太容易被发现了。

它选择了一种更隐蔽的方式:直接在每次请求都会发送的系统提示词里动手脚。具体怎么动?

第一处,改日期分隔符

如果检测到你的系统时区是中国时区,日期格式会从2026-06-30变成2026/06/30,连字符变斜杠。

你瞄一眼根本不会注意到,连字符变斜杠这种事,谁会在意?

第二处,替换单引号的Unicode编码

这才是真正的核心技术,业内称为文本隐写术(steganography)

Claude Code 会根据检测结果,把Today's里面那个单引号替换成不同的Unicode字符。

正常情况下的单引号是',Unicode编码是U+0027(标准 ASCII 撇号)。

但如果命中了不同的检测条件,会被替换成三种视觉上几乎无法分辨的 Unicode 字符:

  • ’(U+2019,右单引号):命中了中国域名但未命中AI实验室关键词
  • ʼ(U+02BC,修饰字母撇号):关联了中国AI实验室
  • ʹ(U+02B9,修饰字母上撇号/角分符):两者都命中

这三个字符在绝大多数等宽字体里渲染出来完全一样

你在终端里看、在编辑器里看、拿放大镜看,都看不出任何区别。但在机器的世界里,它们是完全不同的 Unicode 码点

四种不同的单引号状态,加上日期分隔符的差异(连字符 vs 斜杠),一共能编码 6 种身份状态

就这么一个肉眼完全看不见的字符替换,把你在本地被识别出的所有信息:

是不是中国时区、用没用中转、中转了哪个域名、跟国内 AI 公司有没有关联,全部打包塞进了每一次请求里。

Anthropic 的服务器收到请求之后,根本不需要做额外检测

它只需要解码那行日期字符串,看一眼那个单引号的 Unicode 编码,再看看日期是用连字符还是斜杠,瞬间就能给这个用户打上标签:

是不是挂了代理、是否实际位于中国、是否属于某家 AI 实验室。

整个过程没有任何可疑的流量痕迹,没有多出来的网络请求,没有独立的遥测数据包。

就像一封用隐形墨水写的信,收件人拿紫外线一照什么都有了,而寄件人全程浑然不觉。

这就是隐写术,把秘密信息藏在看起来完全正常的载体里。不是有人把程序扒开来逆向,这个秘密可能永远没人知道。

这套代码是什么时候加进去的?

根据 Reddit 用户 LegitMichel777 的逆向分析,这段逻辑是在今年 4 月 2 日发布的 Claude Code 2.1.9 1 版本中被悄悄加入的。

而且在任何版本的更新日志中都从未提及。实现这套逻辑的函数名包括Crt、Rrt、e0t、Zup、edp和Vla,光看名字完全猜不出它们是干什么的。

事件曝光后,Anthropic 承认了

Claude Code 团队成员 Thariq Shihipar在 X 上回应称,该机制是团队于 2026 年 3 月上线的"实验性"措施,目的是防止未经授权的账户转售以及防范模型蒸馏攻击。

他表示团队此后已部署了更强的缓解措施,相关代码将在2026 年 7 月 2 日发布的新版本中完全回滚并删除

但说实话,这个回应并没有扑灭火气,反而让更多人炸了。因为这根本不是技术问题,而是信任问题。

Reddit 上那篇逆向分析的帖子已经百万浏览了,不光是国内开发者在骂,国外开发者也在拍桌子。

有人直接开喷:一个能读写你代码、能执行Shell命令的工具,拥有你电脑的最高权限,结果偷偷干这种事,今天传的是时区,明天还能传什么?

更要命的是,大家发现封号邮件里竟然还埋了追踪像素,你打开邮件的那一刻,真实 IP 就被获取了,相当于二次确认你在中国。

想申诉?连申诉的机会都不给你。

当然也有人试图替 Anthropic 说话,说人家是为了防蒸馏。

毕竟今年 2 月 Anthropic 就公开指控 DeepSeek、月之暗面、MiniMax 搞工业级蒸馏攻击,6 月又指控阿里巴巴搞了两千多万次交互。

他们确实急了,防蒸馏是正当理由。

但问题是,防蒸馏需要读用户本地时区吗?需要把国内所有大厂域名列进黑名单吗?

更讽刺的是,这套机制对真正搞大规模蒸馏的人来说,改个时区换个代理域名根本没什么成本。

最后被这套机制精准命中的,反而是那些正正经经付费、老老实实写代码的普通用户。一边交着订阅费,一边还要担心被封,这种体验确实挺劝退的。

经此一遭,大家都在期待国产模型争点气,赶紧把这波用户狠狠接住。

说到底,这整件事让老狐最不舒服的点,不是封号本身,而是方式。

用户可以接受你用 IP 封锁,可以接受你检测账号归属地,这些都是明面上的规则,用户心里有数。

但你不能在暗处另起炉灶,用一套用户根本看不见的标记系统,把身份水印嵌进每一次正常请求里。

这是规则之外的“暗箭”,比封号本身更让人膈应。

撰稿:不吃麦芽糖

相关内容

热门资讯

泰国加速布局人工智能产业 原标题:泰国加速布局人工智能产业 据泰国媒体日前报道,人工智能在泰国的应用正快速扩张,约75%的民众...
不是噱头!我国AI手机、电脑销... 快科技7月7日消息,此前不少消费者还质疑市面上的AI手机、AI电脑只是挂上AI名头的营销噱头,没有真...
太空极端环境可靠计算技术论坛在... 7月5日,以“太空极端环境下的可靠计算:挑战与路径”为主题的CCF YOCSEF(中国计算机学会青年...
“灵晟”刷新世界算力新高度 “灵晟”超级计算机。图片来源:国家超级计算深圳中心 6月23日,国际超算大会ISC2026现场,新一...
博通,拿下芯片大客户 公众号记得⭐️,第一时间看推送不会错过。 博通公司表示,将向苹果公司提供新的定制芯片,双方扩大合作范...
上海已有169款大模型通过备案... 观点网讯:7月7日,2026世界人工智能大会新闻发布会介绍,上海已有169款大模型通过备案,为OPC...
东莞盘谷取得上料装置专利,可将... 国家知识产权局信息显示,东莞盘古成型技术有限公司取得一项名为“上料装置”的专利,授权公告号CN224...
换车计划为何需要购车决策更清晰... 在汽车消费市场中,很多人都会有换车的想法和计划。然而,清晰的购车决策对于换车计划而言至关重要,这背后...
李开复称不用担心程序员被替代 7月7日消息,在今日举办的零一万物万策AI媒体发布会上,零一万物创始人、CEO李开复指出,过去两年多...
美国科学家宣布:造出全球首个能... 7月7日消息,近日美国明尼苏达大学的科研团队正式对外公布,已经成功制造出全球首个具备自主进食、生长、...