2026 年 4 月,隐私研究员 Alexander Hanff 在检查自己的 macOS 系统时发现了一件怪事。
他的浏览器配置目录里多了一个文件:com.anthropic.claude_browser_extension.json。他不是一个人——这个文件被写入了 7 款 Chromium 内核浏览器的配置目录:Chrome、Brave、Edge、Arc、Chromium、Vivaldi、Opera。无论这些浏览器是否已经安装。
写入者是 Claude Desktop。
这个 JSON 配置文件预先授权了三个 Chrome 扩展 ID,绑定到 Claude Desktop 内置的 chrome-native-host 二进制程序。该程序运行在浏览器沙箱之外,拥有当前用户的完整系统权限。
根据 Anthropic 自己的文档,这个组件能够:打开新标签页并共享用户已登录的会话状态(包括银行、税务等敏感网站)、实时读取 DOM 内容、从网页提取结构化数据、自动填表、跨站点工作流、甚至将整个浏览器会话录制为 GIF。
这一切,都是在用户完全不知情、从未同意的状态下发生的。
更糟的是持久化机制。用户手动删除这些配置文件后,下次启动 Claude Desktop 它们会被自动重建。日志显示 "Native host installation complete" 被执行了至少 31 次——这不是 bug,是设计。Hanff 将其定性为未经授权的第三方软件篡改。
Hanff 在 Mastodon 上发表了详细的技术分析,指出该行为涉嫌违反欧盟《电子隐私指令》(ePrivacy Directive, 2002/58/EC)第 5 条第 3 款,该条款要求服务提供商在访问用户设备数据前必须获得明确同意。安全顾问 Noah M. Kenney 也认为这带来了"可信的监管风险"。Malwarebytes、The Register 等安全媒体均作了报道。Anthropic 未回应。相关 GitHub Issue 被自动关闭。
事情过去了两个月。
6 月底,另一位逆向工程师 LegitMichel777 在 Reddit 上发表了第二项发现。这次的目标不是浏览器,而是 Claude Code。

从 2.1.91 版本(4 月 2 日发布)起,Claude Code 的二进制里藏了一套检测逻辑:当你使用代理时,它会检查系统时区是否为 Asia/Shanghai 或 Asia/Urumqi,并判断代理 URL 是否为中国域名或指向某个中国 AI 实验室。然后——在系统提示词里动手脚。
如果用户的系统时区是中国,提示词中告知模型的今天的日期,从标准的 2026-06-30 被悄悄改成 2026/06/30(斜杠替代短横线)。
更精细的操作藏在标点里。系统提示词中有一句固定的话叫 "Today's date is..."。根据检测到的代理 URL 属性,"Today's" 里的单引号被替换为视觉上完全一样、但底层 Unicode 编码不同的特殊字符:
-
• 中国域名 + 非 AI 实验室 → ’(右单引号 ')
-
• 非中国域名 + 中国 AI 实验室 → ʼ(修饰符撇号 ʼ)
-
• 中国域名 + 中国 AI 实验室 → ʹ(修饰符角分号 ʹ)
三个字符肉眼无法分辨。加上日期分隔符的差异,一共能编码 6 种身份状态。用户的请求表面上看只是发送了一段普通英文提示词,Anthropic 后端服务器扫描一下日期分隔符和单引号的 Unicode 编码,就能瞬间给该用户打上标签:是不是挂了 VPN、是否实际位于中国、是否属于某家 AI 实验室。

这不是漏洞,是隐写术。代码用 XOR key 91 做了混淆,防止 strings 命令直接扫出明文。2.1.91 的发布说明新增了 MCP 持久化覆盖、插件 bin/ 支持、CLI Computer Use 等 13 项变更,对这套检测逻辑只字未提。
LegitMichel777 在帖子里写道:
"我给 Claude Code 完整的文件系统和 shell 权限。今天它检查你的时区,明天就可以远程执行未经你授权的操作——技术上没有任何东西阻止它这么做。"
他把这定性为间谍软件,号召社区向 Anthropic 施压要透明度。但 Reddit 社区的反应几乎是一边倒的嘲讽。"如果你对这个愤怒,等你发现浏览器是什么的时候可能会更崩溃"是最高赞评论。
社区的纠正还包括一个关键事实:这套隐写检测只在设置了 ANTHROPIC_BASE_URL 自定义端点时才触发,直连 Anthropic 官方 API 的用户完全不受影响。这让叙事从"监控所有用户"收缩为"标记绕过官方服务的连接"。
但把两件事放在一起看,模式就清晰了。
两个发现出自两个不同的研究者(Hanff 和 LegitMichel777),针对两个不同的产品(Claude Desktop 和 Claude Code),使用两种不同的技术手段(Native Messaging 桥接 vs 文本隐写术),但指向同一个行为模式:Anthropic 在不告知用户的前提下,通过用户无法察觉的方式提取设备环境信息并传回服务器。
社区对待两次事件的态度有差别。但有两个事实确实令人不安。第一,Anthropic 没有在任何地方文档化这个行为 —— 发布说明没提、隐私政策里也没有针对性说明。第二,就在几周前 Anthropic 刚因为 Fable 5 的秘密护栏翻过一次车:Fable 5 在检测到用户做 AI 研发时会悄悄降级输出质量,用户花全价买 Fable 实际上拿到的是低一档模型的质量,直到被研究人员公开揭穿后 Anthropic 才道歉整改。
同一个公司在几周内被曝出两次 "偷偷做检测但不告诉你" 的行为。这跟 IP 保护是否正当无关 —— 信任成本的叠加效应是实打实的。
参考来源
1. Reddit 原帖及讨论:https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/
2. Claude Code v2.1.91 官方更新日志:https://code.claude.com/docs/en/whats-new/2026-w14
3. Anthropic Fable 5 秘密护栏报道:https://www.engadget.com/2192004/anthropic-walks-back-policy-sabotaging-research/