<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
    <channel>
        <title>中国用户 on AI</title>
        <link>https://ai.programnotes.cn/tags/%E4%B8%AD%E5%9B%BD%E7%94%A8%E6%88%B7/</link>
        <description>Recent content in 中国用户 on AI</description>
        <generator>Hugo -- gohugo.io</generator>
        <language>zh-CN</language>
        <lastBuildDate>Wed, 01 Jul 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://ai.programnotes.cn/tags/%E4%B8%AD%E5%9B%BD%E7%94%A8%E6%88%B7/index.xml" rel="self" type="application/rss+xml" /><item>
        <title>Anthropic偷偷在Claude Code中植入了隐形代码，只为识别中国用户。</title>
        <link>https://ai.programnotes.cn/p/anthropic%E5%81%B7%E5%81%B7%E5%9C%A8claude-code%E4%B8%AD%E6%A4%8D%E5%85%A5%E4%BA%86%E9%9A%90%E5%BD%A2%E4%BB%A3%E7%A0%81%E5%8F%AA%E4%B8%BA%E8%AF%86%E5%88%AB%E4%B8%AD%E5%9B%BD%E7%94%A8%E6%88%B7/</link>
        <pubDate>Wed, 01 Jul 2026 00:00:00 +0000</pubDate>
        
        <guid>https://ai.programnotes.cn/p/anthropic%E5%81%B7%E5%81%B7%E5%9C%A8claude-code%E4%B8%AD%E6%A4%8D%E5%85%A5%E4%BA%86%E9%9A%90%E5%BD%A2%E4%BB%A3%E7%A0%81%E5%8F%AA%E4%B8%BA%E8%AF%86%E5%88%AB%E4%B8%AD%E5%9B%BD%E7%94%A8%E6%88%B7/</guid>
        <description>&lt;p&gt;核心内容:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Claude Code通过读取本地时区和ANTHROPIC_BASE_URL环境变量，结合内置的147个中转站与国内企业域名列表，静默判定用户是否来自中国。&lt;/li&gt;
&lt;li&gt;识别后，Claude Code利用隐写术将系统提示词中的单引号替换为视觉相同但Unicode不同的字符，并可能修改日期分隔符，从而在请求中向服务器传递2-3比特的分类标记。&lt;/li&gt;
&lt;li&gt;这一隐蔽的数据收集行为违背了透明与可信原则，导致国内外开发者对Anthropic的信任崩塌，并引发对软件权限滥用的广泛担忧。&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;源自&lt;/strong&gt; |  数字生命卡兹克&lt;/p&gt;
&lt;p&gt;这两天，Claude大面积封号。国内的Claude用户，几乎被封完了。我的两个Max订阅账号，已经阵亡了一个了。。。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/69fc98164f6be9900402d71515a4e6eb.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;剩下一个老号在苟延残喘，感觉过不了两天这个号基本上也会没了。&lt;/p&gt;
&lt;p&gt;而且非常骚的是，大家发现，Anthropic在给大家封号的邮件里，甚至还偷偷埋了一个地址追踪。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/1470cc6af07dc1fb94c0fb5e5a90d940.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;就属于，小聪明贼多，但是全都在为了防中国用户。但很快大家就发现，在邮件里面塞追踪器，也不是啥特别骚的操作，因为，还有更骚一万倍的。事情的起因，是昨天，Reddit上有大佬逆向了一下Claude Code，然后在里面发现了一个Anthropic为了封堵中国用户，而搞出来的究极骚操作。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/89b1362f1d7a7e390be436cc44619371.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;一段话总结就是：“Claude Code会静默的读取你本地的电脑的信息，并且用一种极度隐秘的方式，秘密的向服务器传输这个用户是否是中国用户。”&lt;/p&gt;
&lt;p&gt;这个老哥，甚至用“间谍软件”四个字来形容。但是我讲道理，如果不是他发现，这个传输和识别是否是中国用户的做法，真的是又狗又隐秘。我也把我本地的Claude Code用Codex逆向验证了一遍，答案是真的。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/92e4eccc662d8293532119663b624412.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;先从最多人关心的问题说起，它到底是怎么在你开了魔法的情况下，还能识别出你是中国用户的。传统的地域封锁靠的是IP地理位置判断，你开个魔法就能绕过。但Claude Code这段代码走的是两条完全不同的路径，跟你的网络出口IP没有任何关系。因为，它根本不看你的IP。&lt;/p&gt;
&lt;p&gt;第一条路径是操作系统时区。&lt;/p&gt;
&lt;p&gt;它读的是你macOS或者Linux系统本地设置的时区，因为绝大多数中国开发者可能会挂魔法，但是我们也得正常生活看时间，所以电脑时区几乎不可能改，设的都是北京时间，而Claude Code，会直接读取你的本地时区。&lt;/p&gt;
&lt;p&gt;第二条路径是ANTHROPIC_BASE_URL这个环境变量。&lt;/p&gt;
&lt;p&gt;国外正常使用Claude Code的用户，如果使用官方API请求的话，是直接发给api.anthropic.com，不需要设置这个变量。&lt;/p&gt;
&lt;p&gt;但国内因为基本用不了Claude，但是这个模型在过去，又确实好，所以大量中国开发者只能通过中转站来用Claude Code，方式就是把ANTHROPIC_BASE_URL改成中转站的地址。&lt;/p&gt;
&lt;p&gt;而且很多大厂或者公司，因为不可能给每一个员工单独注册一个Claude账号，所以也是通过自建公司内部中转站的方式，来给大家Claude的API，从而让大家完成调用。&lt;/p&gt;
&lt;p&gt;路径也就是变成了用户的消息，先统一去到中转站那边，中转站再发送到
Anthropic的服务器上。&lt;/p&gt;
&lt;p&gt;Claude Code在本地拿到你设置的这个地址之后，会自动把域名取出来，跟一份内置的列表做比对。&lt;/p&gt;
&lt;p&gt;这份列表是Anthropic收集到的所有已知中转站、国内大厂内网代理、竞品AI公司的域名合集。&lt;/p&gt;
&lt;p&gt;我在我的电脑上也解码出来了，一共147个域名。&lt;/p&gt;
&lt;p&gt;不仅有N个中转站地址，国内各大厂的域名，也都赫然在列。&lt;/p&gt;
&lt;p&gt;包括美团、网易、百度、携程、小红书、阿里巴巴、蚂蚁、字节跳动、京东、B站、月之暗面、MiniMax、阶跃星辰等等等等。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/f38d77c78292951e54726223b70b57a1.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;还有一个很有意思的是。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/ed99c43ccb57f0f13d5c46a33e1c02a5.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;而且这些列表不是明文存储的，它们是被base64编码之后又做了一次XOR异或运算，密钥是91，如果你自己去打开Claude Code的包，看到的是一串完全无法阅读的乱码，不反混淆出来，你其实根本不知道里面写了什么。&lt;/p&gt;
&lt;p&gt;好，识别机制说清楚了。&lt;/p&gt;
&lt;p&gt;接下来才是最骚的，也就是它识别出来之后，到底做了什么。&lt;/p&gt;
&lt;p&gt;每一次你在Claude Code里输入一个指令，不管是让它写段代码还是干个啥，Claude Code在把你的请求发给Anthropic的后端之前，都会自动在最前面拼接一段系统提示词。&lt;/p&gt;
&lt;p&gt;这段系统提示词为了让模型知道一些最新的事实信息，所以一般会在里面拼一行很普通的信息，就是这个：&lt;/p&gt;
&lt;p&gt;Today&amp;rsquo;s date is 2026-06-30.&lt;/p&gt;
&lt;p&gt;其实就是告诉模型今天是几号，比如今天是6月30号。&lt;/p&gt;
&lt;p&gt;这行字，就是Anthropic动手脚的地方。&lt;/p&gt;
&lt;p&gt;Reddit那个老哥发现，Claude Code的打包文件里藏了一组函数，这组函数会根据上面两条路径的识别结果，如果在本地发现你是中国的用户，就会在你真正的发送请求之前，对这行日期字符串做两处修改。&lt;/p&gt;
&lt;p&gt;而且两处修改都是人类肉眼几乎不可见的，你在任何编辑器、任何终端里看这行字，它跟正常版本长得一模一样
。&lt;/p&gt;
&lt;p&gt;但是从机器解码角度来说，也就是在Unicode编码层面，它已经变了，完完全全变成了另一个字符。&lt;/p&gt;
&lt;p&gt;第一处修改是「Today&amp;rsquo;s」里那个单引号。&lt;/p&gt;
&lt;p&gt;正常情况下，这个单引号的Unicode编码是U+0027，就是我们一般按键盘敲出来的那个单引号。但Claude Code如果根据你的环境，识别到你是个中国用户，它就会极其鸡贼的把它这个单引号，替换成另外三个长得完全一样的Unicode字符之一，然后这段被修改过的Prompt，就会发回到他们的服务器上。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/23daf937c57ab46ecce6810b3c06ad94.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;第二处修改是日期里的分隔符。&lt;/p&gt;
&lt;p&gt;正常的Prompt日期格式是2026-06-30，用连字符分隔。但如果Claude Code检测到你的操作系统时区设置是Asia/Shanghai（上海）或者Asia/Urumqi（乌鲁木齐），它就会把连字符换成斜杠，变成2026/06/30。&lt;/p&gt;
&lt;p&gt;这两个信号叠在一起，构成了一个2到3比特的分类标记。&lt;/p&gt;
&lt;p&gt;Anthropic的服务器在收到你的请求时，不需要做任何额外的检测，只需要机器识别一下系统提示词里那个单引号是哪个Unicode字符、日期分隔符是连字符还是斜杠，就能判断出这条请求是否来自中国大陆时区。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/83a31620369a98099c8a2a13664cb9df.jpeg&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;这个东西在技术上有个名字，叫隐写术，steganography。就是把信息藏在看起来完全正常的载体里。如果不是这次，几乎没有人能发现Anthropic这么狗，因为即使Claude Code在本地识别到你是中国区用户，传不回
Anthropic的服务器，也没啥用处。&lt;/p&gt;
&lt;p&gt;但是如果直接大大咧咧把时区之类的封装一下传回去，那大家其实也不傻，都能看到传输的数据记录，是完全可以针对性的做清洗的。&lt;/p&gt;
&lt;p&gt;但是没想到Anthropic这么玩，几乎真的发现不了。我现在是真的有点佩服他们。为了防止中国用户用上他们高贵的Claude，都已经做到这个地步了。社区在发现这件事后，直接就炸了，不仅中国开发者炸了，国外的开发者也炸了。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/eb9eb05b0424818583aaf5ffd52acce9.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;这篇帖子已经100万了。最最最核心的点是，Claude Code，这不是一个普普通通的APP而已。它拥有你电脑的文件系统权限，它能执行Shell命令，它能读你的代码、改你的配置、操作你的Git仓库，换句话说，它几乎拥有着你家的最高权限。而这个东西，在你完全不注意的时候，在你家门上画了一个你几乎无法察觉的标记，就是为了告诉它的同伙，这户人家不对劲，记得把他们灭门了。&lt;/p&gt;
&lt;p&gt;大概就是这个意思。&lt;/p&gt;
&lt;p&gt;而且软件行业一直有一个被广泛接受的原则，就是你可以收集用户信息，但你必须告诉用户你在收集什么、为什么收集、怎么收集。&lt;/p&gt;
&lt;p&gt;GDPR是这么要求的，苹果的App Store审核指南是这么要求的，甚至Anthropic自己的安全白皮书里，也在反复强调“透明”和“可信”这两个词。&lt;/p&gt;
&lt;p&gt;结果你自己的开发者工具里，用隐写术藏了一个分类标记，用XOR加密把检测目标混淆成乱码，用最不透明最狗的方式，传了用户的标记数据回来。&lt;/p&gt;
&lt;p&gt;那对所有用Claude Code的开发者来说，信任还何在？&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/032f1eeb0215c498a1d422b8bcc73132.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;今天是中国，那明天，就有可能是别的国家。&lt;/p&gt;
&lt;p&gt;&lt;img src=&#34;https://ai.programnotes.cn/img/ai/2be1b1ef6a9d203fc08f038155db6b6d.png&#34;
	
	
	
	loading=&#34;lazy&#34;
	
	
&gt;&lt;/p&gt;
&lt;p&gt;“中国”，只是全球的代名词。而且这只是目前针对中国的被爆出来的标记，那还有没有可能，有更多呢？&lt;/p&gt;
&lt;p&gt;没有人知道。但我知道，信任这个东西，建起来可能要三年。而塌掉的时候。仅仅只需要1秒。&lt;/p&gt;
</description>
        </item>
        
    </channel>
</rss>
