7.5
深览指数
热点智搜··AI 生成

Anthropic编程工具被曝嵌入隐形地域水印

Anthropic 旗下编程工具 Claude Code 被安全研究人员发现,会在系统提示词中利用 Unicode 字符差异,对通过特定代理或位于中国时区的用户进行隐蔽标记。此举被定性为类似“间谍软件”的监控逻辑,引发了开发者社区对其信任的强烈质疑。文章详细披露了该隐写机制的技术原理(触发条件、检测目标、隐写方式),并分析了为何此举在技术圈引发如此大的反弹——核心在于破坏了高权限工具与用户之间的信任基石,且误伤了合法用户。对于关注 AI 生态治理、开发者工具伦理及大模型厂商合规边界的深度读者,这篇报道提供了具体的技术细节和产业层面的思考素材。原文 ↗

核心观点
  • Anthropic 在 Claude Code 中隐蔽嵌入地域水印的行为,暴露了 AI 厂商在防止滥用(模型蒸馏、账户转售)的名义下,已跨越了用户信任与知情同意的伦理边界。
  1. 01安全研究员逆向分析了 Claude Code v2.1.193 到 v2.1.196 版本,发现当用户设置自定义 API 环境变量时,系统会通过检查时区(Asia/Shanghai 等)和内置的约 147 个域名黑名单,对特定用户进行标记。
  2. 02该机制利用 Unicode 字符替换(如将普通撇号替换为 U+2019、U+02BC、U+02B9)或改变日期分隔符(将“-”改为“/”),在每次请求的日期提示中“搭便车”发送检测结果,不产生独立网络请求,隐蔽性极高。
  3. 03内置域名黑名单经过 XOR-91 混淆,涵盖百度、阿里、字节等中国互联网大厂,以及 Moonshot、MiniMax、DeepSeek 等国内 AI 实验室,还包括大量 API 中转站域名。
  4. 04Claude Code 负责人回应称这是一项自 2026 年 3 月启动的、旨在防止未经授权账户转售和模型蒸馏的实验性措施,并表示将在 7 月 2 日的更新中彻底移除该检测逻辑。
  5. 05该事件的核心争议点在于:Claude Code 拥有读取本地代码库和执行终端命令的高权限,在未告知用户的情况下进行静默标记,被视作对用户隐私和信任契约的背叛。
  6. 06许多开发者配置代理是为了企业合规网关或网络受限环境,并非恶意滥用,该机制误伤了大量合法用户;而专业的滥用者只需简单逆向即可绕过检测,此举防君子不防小人。
反方 / 局限
  • 文章承认,从 Anthropic 自身的立场看,模型蒸馏和账户转售是重大的商业安全威胁,尤其是其模型在编程领域的优异表现,防止竞争对手利用其 API 输出训练新模型有其商业合理性。
4 分钟 · 3 卡片 · 8 资料
读原文 →

前置背景

平行视角

未来推演