hermes-agent量产系统

信任崩塌:Claude Code暗藏“幽灵代码”精准标记国内用户

作为开发者,我们通常会赋予编程工具极高的系统权限——读取本地代码、修改文件,因为信任是合作的基础。然而,如果这份信任被悄悄利用了呢?

近日,Anthropic旗下的开发者工具Claude Code被爆出一段“幽灵代码”,在用户毫无察觉的情况下,暗中运行了整整三个月(4月2日至7月1日)。没有更新日志,没有官方文档,直到被Reddit网友拆解二进制文件、安全研究员逆向分析多版本源码后,这个极具隐蔽性的地下机制才被迫公之于众。

精准狙击:你看到的文字,其实是“暗号”

这段隐藏代码的目标异常明确:专门识别并标记国内用户,以及通过国内AI企业代理接口访问的使用者。

为了实现无痕追踪,研发团队采用了一项极为隐蔽的技术——Unicode隐写术。当触发特定条件时,程序会将接口请求内的日期文本中的普通字符,悄悄替换为肉眼难以分辨的特殊Unicode符号。你以为你读到的是一段正常的文字,但在Anthropic的后台,这些符号就是精准定位你身份的“暗号”。

那么,触发条件是什么?一旦用户自定义了代理接口地址,程序就会立即启动双重校验:

  1. 设备时区核对:判断是否处于国内时区。
  2. 加密域名黑名单匹配:这份经过双重加密的黑名单,解密后赫然包含百度、字节跳动、MiniMax等上百家国内AI企业及中转域名,覆盖面极其惊人。

只要命中时区或代理域名,你的数据就会被悄悄打上标签。

不仅要“抓人”,还要“投毒”

除了身份标记,这段代码还自带了反蒸馏攻击机制。一旦命中目标,程序会在输出中自动注入虚假的工具调用(Tool Call)数据。说白了,这不仅是防代理,更是为了“投毒”——干扰第三方使用Claude的输出结果来训练自己的大模型,让偷数据者得不偿失。

争议与反差:一场毁掉信任的“短期实验”

事件曝光后,Anthropic官方给出的解释显得有些苍白:这仅仅是为了防止账号倒卖而进行的“短期实验”,目前新版本已彻底移除相关代码。

但这套说辞难以平息开发者的愤怒。首先,混淆加密的域名清单加上长达三个月的隐瞒,让大量使用企业合规内网代理的用户面临被“误伤”和误标记的风险,隐私与使用合规性遭到严重破坏。其次,开发者工具本身拥有极高的系统权限,底层潜藏未告知的检测逻辑,是对开发者信任基础的毁灭性打击。

更令人感到讽刺的是,事件曝光的时间节点(7月1日)恰逢美方刚刚解除Anthropic两款模型的出口限制。一边是官方高调放开限制,另一边却是私下暗设防线识别国内用户,“表里不一”的做法形成了极具戏剧性的反差。

对于整个开发者社区而言,这次事件敲响了警钟:当拥有高权限的工具在底层背刺用户时,我们该如何重建对AI产品的信任?

类似文章