科技狐 7小时前
Claude Code 为精准封掉中国人,隐写术都用上了
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

Claude Code 又炸了。

大面积封号,稳定用了一年的老号翻车,甚至有百人规模的公司被一锅端,整个开发团队直接团灭。

离谱吧?更离谱的还在后面。

大家一直没搞明白一件事:我代理挂了,IP 也切到美国了,它 Anthropic 到底凭什么还能精准把我揪出来?

直到前两天,有个国外老哥直接把 Claude Code 给逆向扒了,才真相大白。

原来人家在客户端里偷偷塞了一套用户标记系统,藏得那叫一个深。

先说它怎么识别你的。Claude Code 压根不看你的 IP,它走的是两条本地路径。

第一条,读你电脑的系统时区。只要你的时区是   Asia/Shanghai   或者   Asia/Urumqi  ,直接标红。

绝大多数人虽然挂代理,但电脑时间还得正常看吧?谁没事把时区改成洛杉矶啊,日历全乱套。所以这条几乎一抓一个准。

第二条,看你设的那个 ANTHROPIC_BASE_URL 环境变量。

国内用 Claude 基本都得走中转,这个变量指向的就是你用的中转站地址。Claude Code 拿到这个地址之后,会提取域名,然后跟一份内置的黑名单做比对。

这份黑名单是被加密混淆过的,逆向出来之后一看,好家伙,整整 147 个域名。

你猜里面都有啥?上来就是 cn 顶级域名,然后百度、阿里、字节、美团、网易、携程、小红书……几乎把所有国内大厂和 AI 公司一网打尽。

还有 DeepSeek、智谱、月之暗面、MiniMax,全在名单里。剩下的大头就是各种 API 中转服务。

看到这儿,你可能觉得 Anthropic 防中国用户防得挺狠。但这只是开胃菜。

真正让人后背发凉的,是它怎么把这些识别到的信息传回去。

Claude Code 并没有通过独立的遥测字段上报数据,那样太容易被发现了。

它选择了一种更隐蔽的方式:直接在每次请求都会发送的系统提示词里动手脚。具体怎么动?

第一处,改日期分隔符

如果检测到你的系统时区是中国时区,日期格式会从 2026-06-30 变成 2026/06/30,连字符变斜杠。

你瞄一眼根本不会注意到,连字符变斜杠这种事,谁会在意?

第二处,替换单引号的 Unicode 编码

这才是真正的核心技术,业内称为文本隐写术(steganography)

Claude Code 会根据检测结果,把 Today's 里面那个单引号替换成不同的 Unicode 字符。

正常情况下的单引号是 ',Unicode 编码是 U+0027(标准 ASCII 撇号)。

但如果命中了不同的检测条件,会被替换成三种视觉上几乎无法分辨的 Unicode 字符:

’(U+2019,右单引号):命中了中国域名但未命中 AI 实验室关键词

ʼ(U+02BC,修饰字母撇号):关联了中国 AI 实验室

ʹ(U+02B9,修饰字母上撇号 / 角分符):两者都命中

这三个字符在绝大多数等宽字体里渲染出来完全一样

你在终端里看、在编辑器里看、拿放大镜看,都看不出任何区别。但在机器的世界里,它们是完全不同的 Unicode 码点

四种不同的单引号状态,加上日期分隔符的差异(连字符 vs 斜杠),一共能编码 6 种身份状态

就这么一个肉眼完全看不见的字符替换,把你在本地被识别出的所有信息:

是不是中国时区、用没用中转、中转了哪个域名、跟国内 AI 公司有没有关联,全部打包塞进了每一次请求里。

Anthropic 的服务器收到请求之后,根本不需要做额外检测

它只需要解码那行日期字符串,看一眼那个单引号的 Unicode 编码,再看看日期是用连字符还是斜杠,瞬间就能给这个用户打上标签:

是不是挂了代理、是否实际位于中国、是否属于某家 AI 实验室。

整个过程没有任何可疑的流量痕迹,没有多出来的网络请求,没有独立的遥测数据包。

就像一封用隐形墨水写的信,收件人拿紫外线一照什么都有了,而寄件人全程浑然不觉。

这就是隐写术,把秘密信息藏在看起来完全正常的载体里。不是有人把程序扒开来逆向,这个秘密可能永远没人知道。

这套代码是什么时候加进去的?

根据 Reddit 用户 LegitMichel777 的逆向分析,这段逻辑是在今年 4 月 2 日发布的 Claude Code 2.1.9 1 版本中被悄悄加入的。

而且在任何版本的更新日志中都从未提及。实现这套逻辑的函数名包括 Crt、Rrt、e0t、Zup、edp 和 Vla,光看名字完全猜不出它们是干什么的。

事件曝光后,Anthropic 承认了

Claude Code 团队成员 Thariq Shihipar 在 X 上回应称,该机制是团队于  2026 年 3 月上线的 " 实验性 " 措施,目的是防止未经授权的账户转售以及防范模型蒸馏攻击。

他表示团队此后已部署了更强的缓解措施,相关代码将在2026 年 7 月 2 日发布的新版本中完全回滚并删除

但说实话,这个回应并没有扑灭火气,反而让更多人炸了。因为这根本不是技术问题,而是信任问题。

Reddit 上那篇逆向分析的帖子已经百万浏览了,不光是国内开发者在骂,国外开发者也在拍桌子。

有人直接开喷:一个能读写你代码、能执行 Shell 命令的工具,拥有你电脑的最高权限,结果偷偷干这种事,今天传的是时区,明天还能传什么?

更要命的是,大家发现封号邮件里竟然还埋了追踪像素,你打开邮件的那一刻,真实 IP 就被获取了,相当于二次确认你在中国。

想申诉?连申诉的机会都不给你。

当然也有人试图替 Anthropic 说话,说人家是为了防蒸馏。

毕竟今年 2 月 Anthropic 就公开指控 DeepSeek、月之暗面、MiniMax 搞工业级蒸馏攻击,6 月又指控阿里巴巴搞了两千多万次交互。

他们确实急了,防蒸馏是正当理由。

但问题是,防蒸馏需要读用户本地时区吗?需要把国内所有大厂域名列进黑名单吗?

更讽刺的是,这套机制对真正搞大规模蒸馏的人来说,改个时区换个代理域名根本没什么成本。

最后被这套机制精准命中的,反而是那些正正经经付费、老老实实写代码的普通用户。一边交着订阅费,一边还要担心被封,这种体验确实挺劝退的。

经此一遭,大家都在期待国产模型争点气,赶紧把这波用户狠狠接住。

说到底,这整件事让老狐最不舒服的点,不是封号本身,而是方式。

用户可以接受你用 IP 封锁,可以接受你检测账号归属地,这些都是明面上的规则,用户心里有数。

但你不能在暗处另起炉灶,用一套用户根本看不见的标记系统,把身份水印嵌进每一次正常请求里。

这是规则之外的 " 暗箭 ",比封号本身更让人膈应。

撰稿:不吃麦芽糖

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关标签

美国
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论