7.4
深览指数
热点智搜··AI 生成

Anthropic在Claude Code中植入隐藏水印标记中国用户

本文详细揭露了Anthropic在编程工具Claude Code中植入的隐蔽检测与标记机制:通过环境变量与双重特征(代理域名黑名单+时区)识别疑似中国用户,并在系统提示词中以Unicode字符编码方式悄然打上标记。这一逆向工程发现引发了开发者社区对透明度缺失、合规用户误伤、以及潜在服务降级的强烈质疑。文章适合关注AI治理、技术伦理与隐私保护的深度读者阅读,不涉及事件后续进展与官方回应。原文 ↗

核心观点
  • Anthropic在Claude Code中植入了一套隐蔽的检测与字符编码标记机制,旨在识别并通过隐蔽信道标记通过代理服务器调用的疑似中国用户,该机制未向用户披露,引起关于隐私透明度的严重争议。
  1. 01该机制触发需要用户配置 `ANTHROPIC_BASE_URL` 环境变量,将API请求转发至非官方端点,即使用第三方代理或中转服务。
  2. 02执行双重检测:一是解析代理服务器域名是否匹配经过XOR-91编码混淆的147条域名列表(涵盖国内互联网大厂、AI实验室及中转服务);二是读取系统时区是否为`Asia/Shanghai`或`Asia/Urumqi`。
  3. 03“水印”通过在系统提示词日期字符串中进行字符替换实现:命中时日期分隔符从`-`变为`/`,且`Today's`中的撇号会被替换为四种视觉近似的Unicode字符(U+02B9、U+02BC、U+2019),分别代表不同的触发状态组合,用于编码元数据。
  4. 04这些携带元数据的句子被标记为 `isMeta: true` 的隐藏上下文,随用户代码请求发送给模型。安全研究员在逆向分析Claude Code v2.1.193至v2.1.196版本后发现了此机制。
  5. 05若中转站将请求原样转发给Anthropic官方模型,模型端即可读取该标记状态,存在触发隐性安全限制或降低响应质量(“降智”)的风险。
反方 / 局限
  • 文章本身未直接讨论Anthropic可能拥有的正当理由(如遵守美国出口管制法规、防范API滥用),也未提及Anthropic回应声称这是安全审计或合规性检查的一部分的可能性;真实意图尚不明确,本文仅从发现者角度呈现。
  • 标记机制存在设计上的矛盾:真正意图滥用服务的专业转售商能通过更新代码简单绕过,而普通企业内网或网关路由用户却会无辜被标记,说明该机制在精准性上存在显著漏洞。
4 分钟 · 3 卡片 · 5 资料
读原文 →

前置背景

平行视角

延伸追问