Claude Code 的源代码里藏了一段代码,从 4 月 2 日到 7 月 1 日,它静静地运行了整整三个月——没有任何 Changelog 提到它,没有文档说明它,没有任何人被告知它的存在。
Reddit 用户 LegitMichel777 把它从二进制包里拆了出来。安全研究员 Adnane Khan 随后发布了完整的逆向工程分析,覆盖 v2.1.193 到 v2.1.196 的 JavaScript 源码。The Register 在 7 月 1 日做了封面报道。
这段代码要做的事非常明确:检测使用 Claude Code 的用户是不是中国人,或者是不是在通过中国 AI 公司的代理访问。

Unicode 隐写术
检测机制本身设计得相当精巧。
每次 Claude Code 发起 API 请求,系统提示词里都会包含 "Today's date is 2026-06-30" 这样一句话。这句看似无害的日期字符串,就是信号的载体。
触发条件是用户设置了 ANTHROPIC_BASE_URL 指向非官方代理服务器。一旦满足,代码开始执行两个检查:
第一步,把系统时区和 Asia/Shanghai、Asia/Urumqi 做比对。第二步,把代理域名和一份包含 147 个条目的硬编码域名清单做比对——这份清单被 XOR-91 加密后再用 Base64 编码,解码后赫然是百度、阿里巴巴、蚂蚁集团、字节跳动、月之暗面、MiniMax、阶跃星辰等中国 AI 实验室和大量 Claude API 中转站域名。
如果命中中国时区,日期格式从连字符(2026-06-30)悄悄变成斜杠(2026/06/30)。"Today's" 中的撇号被替换为四个视觉上几乎无法分辨的 Unicode 字符之一,每个编码对应一种检测状态。
Khan 的结论是:「在等宽字体下肉眼几乎无法区分,但对 Anthropic 的服务端来说解析起来毫无难度。」这是一条教科书级别的隐蔽信道。
"一个实验"
Claude Code 团队成员 Thariq Shihipar 在 X 上回应说,这是 2026 年 3 月上线的「实验」,目的是防止「未经授权的账户转售和模型蒸馏攻击」。他说团队此后已部署了「更强的缓解措施」,也一直「计划下线这个实验」,相关 PR 已合并,预计 7 月 2 日发布新版本彻底回滚并删除。

这个解释有几个问题。
首先,实验跑了三个月,经历了多个版本迭代(从 v2.1.91 到 v2.1.196),代码用 XOR 加密 + Base64 刻意混淆域名列表——这不是随手写来忘了删的遗留代码。其次,Anthropic 对 The Register 提出的「是否在服务条款中披露过这一机制」的质疑保持了沉默。Shihipar 的声明没有回答这个问题。
更关键的是,发现者 Thereallo 指出这个机制的误伤面极大:很多合法用户也会设置 ANTHROPIC_BASE_URL——企业内部网关、混合模型调度、网络受限环境——他们的请求同样会被打上标签,一同送进 Anthropic 的检测系统。
「作为反滥用措施,它很弱;作为隐私问题,它标记了不该标记的人,」分析报告这样写道。
不只是标记,还有"投毒"
The Register 的报道还挖出了另一个发现。Claude Code 泄露的源代码中包含一个名为 ANTI_DISTILLATION_CC 的 TypeScript 标志位。这个标志启用后,会向 API 请求中注入伪造的工具调用数据,目的是让这些数据对模型训练产生「毒性」——如果对手试图用 Claude 的输出来训练自己的模型,这些假数据会让训练结果变差。
如果说隐写检测是用来「发现」潜在蒸馏者的,那 ANTI_DISTILLATION_CC 就是用来「毒害」他们的。但问题是一样的:这些行为发生在开发者工具的底层,写代码的人对此一无所知。
同一天的讽刺
这个故事最耐人寻味的时间线巧合是:6 月 30 日,美国商务部通知 Anthropic 解除对 Claude Fable 5 和 Mythos 5 的出口管制,7 月 1 日恢复全球访问——这些模型从 6 月 12 日起以「国家安全」为由被封锁。同一天,The Register 发布了隐写代码的独家报道。同一天,Anthropic 宣布删除代码。
Anthropic 在此之前一直在公开呼吁行业、云厂商和政府共同应对模型蒸馏的威胁,并为此投资了分类器、行为指纹、访问控制等多层防线。去年 2 月的一篇官方博客里,他们还专门详述了反蒸馏的技术路线。但无论如何,这些都没有出现在 Claude Code 的 Changelog 里。
开发者工具对信任的要求比消费级产品更高——Claude Code 可以读你的代码仓库、跑终端命令、修改文件。运行它的开发者需要知道它到底在做什么。
参考来源:
- https://www.theregister.com/ai-and-ml/2026/07/01/anthropic-is-removing-its-covert-code-for-catching-chinese-competitors/5265366
- https://thereallo.dev/blog/claude-code-prompt-steganography
- https://x.com/trq212/status/2072079729331777817