· 9 分鐘閱讀 · AVL Code 開發團隊(安天 · 瀾砥團隊)

用 AVL Code 驗證「Claude Code 內建隱藏機制,專門檢測中國使用者」的傳言

Claude Code逆向分析隱私供應鏈安全AVL Code

近日,Reddit 上一篇關於 Claude Code 的貼文引發關注。原貼文稱,從 Claude Code 2.1.91 開始,用戶端中加入了一套隱藏檢測邏輯:當使用者設定代理或自訂上游位址時,它會檢測系統時區、代理位址以及與中國 AI 服務相關的關鍵詞,並透過系統提示詞中的日期格式和 Unicode 字元差異傳遞檢測結果。

這個問題適合用技術方式核驗。我們收到 AVL Code 使用者回饋:其使用 AVL Code 對本機安裝的 Claude Code 樣本做了逆向分析。我們結合回饋中的分析過程和截圖,對相關結果做了整理,重點確認三件事:相關程式碼是否存在,檢測條件是什麼,用戶端逆向能夠證明到什麼程度。

本文中的分析過程和截圖來自 AVL Code 使用者回饋,我們在此基礎上做了梳理和複核。

AVL Code 逆向 Claude Code 的對話過程截圖
AVL Code 使用者回饋的逆向分析過程截圖,圍繞 Reddit 原貼文中的技術指控逐項核驗。

驗證結論

本次逆向確認了以下現象:

  • 用戶端中存在針對 Asia/ShanghaiAsia/Urumqi 的時區判斷;
  • 用戶端會讀取 ANTHROPIC_BASE_URL,並解析其中的 hostname;
  • 用戶端內建了一組中國相關網域和中國 AI 服務關鍵詞;
  • 檢測結果會影響系統提示詞中的日期格式和撇號字元;
  • 這些差異不是一般可見欄位,而是透過細微的文字變化表現出來。

需要說明的是,用戶端逆向主要回答「這套機制是否存在、如何產生標記」這兩個問題。至於這些標記在後續鏈路中如何使用,還需要結合請求樣本、伺服器端行為或官方說明繼續判斷。

因此,更準確的表述是:Claude Code 用戶端中存在一套與中國相關執行環境、代理上游和 AI 服務關鍵詞有關的隱式標記機制。 如果把「專門檢測中國使用者」理解為檢測中國時區和中國相關代理環境,用戶端程式碼支持這一判斷;如果理解為完整身分識別、惡意監控或程式碼竊取,目前沒有證據支持。

原貼文指控的核心內容

Reddit 原貼文的核心說法可以概括為四點:

  • Claude Code 從 2.1.91 起加入了混淆後的檢測邏輯;
  • 檢測對象包括中國時區、中國相關網域、中國 AI 服務關鍵詞;
  • 檢測結果不會以顯式欄位出現,而是編碼進系統提示詞;
  • 編碼方式包括日期分隔符號變化和 Unicode 撇號替換。

原貼文把時間點指向 Claude Code 2.1.91。無論該機制從哪個具體版本開始出現,更關鍵的問題是:如果用戶端確實在模型請求上下文裡附帶環境標記,使用者和企業安全團隊應該能夠透過文件或設定項清楚知道這件事。

程式碼層面看到什麼

在使用者回饋的分析過程中,AVL Code 先定位與系統提示詞、日期注入、環境變數讀取相關的程式碼,再對混淆字串和呼叫鏈做還原。主要發現如下。

時區檢測

逆向結果顯示,相關邏輯會呼叫:

Intl.DateTimeFormat().resolvedOptions().timeZone

然後判斷系統時區是否為:

Asia/Shanghai
Asia/Urumqi

單獨讀取時區並不罕見,很多軟體都會這麼做。這裡需要關注的是,時區判斷結果進入了後續的提示詞編碼邏輯,而不只是用於本機顯示。

代理上游檢測

程式碼還會讀取:

process.env.ANTHROPIC_BASE_URL

如果該變數不存在,相關邏輯會直接返回;如果存在,程式碼會解析 URL 中的 hostname,並繼續與內建網域和關鍵詞清單進行匹配。

這說明該邏輯重點關注的是自訂上游、代理閘道或中繼服務場景。

內建網域和關鍵詞

AVL Code 解碼出的字串清單中包含一批中國相關網域,以及一組中國 AI 服務關鍵詞。例如:

baidu.com
alibaba-inc.com
bytedance.net
jd.com
iflytek.com
aliyuncs.com
deepseek
moonshot
minimax
zhipu
bigmodel
baichuan
stepfun
01ai
dashscope
volces
AVL Code 解碼出的中國 AI 服務關鍵詞清單
逆向過程中,AVL Code 解碼出一組中國 AI 服務關鍵詞,用於判斷代理 URL 是否關聯特定服務。

提示詞編碼方式

驗證結果顯示,檢測結果會影響系統提示詞中的日期字串和撇號字元。可以簡化理解為:

條件 系統提示詞中的表現
命中中國時區 日期從 2026-07-01 變為 2026/07/01
命中中國相關網域 撇號替換為 (U+2019)
命中中國 AI 關鍵詞 撇號替換為 ʼ(U+02BC)
同時命中網域和 AI 關鍵詞 撇號替換為 ʹ(U+02B9)

補充說明(Unicode 碼位):這幾個撇號肉眼幾乎無法區分,但碼位各不相同。正常文字用的是 ASCII 撇號 '(U+0027,APOSTROPHE);上表三種替換依次為 U+2019(RIGHT SINGLE QUOTATION MARK)、U+02BC(MODIFIER LETTER APOSTROPHE)、U+02B9(MODIFIER LETTER PRIME)——形近而碼位獨立,正是這類標記能被程式穩定區分的前提。

這些字元對使用者來說不容易察覺,但對程式來說可以穩定辨識。它們不是傳統意義上的遙測欄位,而是嵌入在系統提示詞文字中的環境標記。

AVL Code 對 Claude Code 隱藏檢測機制的分析結論截圖
AVL Code 對逆向結果的總結:用戶端機制可以確認,相關訊號後續如何使用仍需結合更多證據判斷。

這意味著什麼

從安全分析角度看,這套機制本身不等同於程式碼竊取或惡意執行。本次驗證沒有發現它會掃描專案檔案、主動上傳儲存庫內容或執行額外命令。

但它確實會標記使用者執行環境中的一些特徵,包括時區、自訂上游位址以及代理 URL 中的特定關鍵詞。這些資訊雖然不是專案原始碼,但可以反映使用者所在地區、存取路徑和服務使用方式。

對 Claude Code 這類 AI 程式設計工具來說,這一點比較敏感。它不是一般網頁應用程式,而是執行在開發者本機、能夠讀取檔案、修改程式碼、執行命令、接入工具鏈的高權限軟體。此類工具如果在請求上下文中加入環境標記,最好以明確、可稽核的方式說明。

Claude Code 官方文件說明,本機 Claude Code 為了與 LLM 互動,會透過網路傳送使用者提示詞和模型輸出;也會連接 Anthropic 記錄延遲、可靠性和使用模式等營運指標,並提供關閉一般遙測的設定。本文討論的機制不同於常規遙測欄位,它更像是系統提示詞中的隱式標記。因此,問題的重點不是「軟體會不會連網」,而是「環境標記是否被清楚揭露,使用者是否能夠理解和控制」。

可能用途與證據邊界

這套機制可能有多種用途。比較常見的解釋包括濫用檢測、違規轉售識別、代理中繼識別、模型蒸餾風險識別,或合規相關的區域判斷。

這些解釋都有一定合理性,但都只是可能性。用戶端逆向可以確認本機程式碼邏輯;至於這些標記在後續鏈路中如何被解析和使用,還需要結合伺服器端行為、請求樣本和官方說明繼續判斷。

從產品和合規角度看,如果這類檢測確實用於風控,較好的做法是寫入公開文件:當使用者設定第三方閘道、代理或自訂 ANTHROPIC_BASE_URL 時,用戶端可能蒐集必要的網路環境特徵用於濫用檢測。這樣使用者和企業安全團隊才能在知情前提下做風險評估。

給使用者和企業的建議

如果你使用 Claude Code,可以做幾項基礎檢查:

  • 檢查是否設定了 ANTHROPIC_BASE_URL
  • 避免使用來源不明的 Claude 中繼服務;
  • 對閉源 AI 程式設計工具保留版本、安裝套件和設定紀錄;
  • 在高敏感專案中使用隔離環境或受控工作區;
  • 對企業環境中的 AI 程式設計工具做流量稽核和供應鏈評估;
  • 如果不需要一般遙測,可按官方文件關閉相應遙測選項,但這不等同於關閉本文討論的隱式標記機制。

企業使用者還應關注一個更大的問題:AI 程式設計工具已經參與程式碼讀取、修改、測試、建置、提交和發布流程。對這類工具的要求不應只看模型能力,還要看可稽核性、可控性、部署方式和資料邊界。

為什麼用 AVL Code 做驗證

這次驗證也說明了安全分析能力對 AI 程式設計工具的重要性。

一般程式設計助手可以幫助讀程式碼、寫程式碼、跑測試。但當問題變成「一個閉源工具裡是否存在某段隱藏邏輯」時,需要結合二進位分析、字串解碼、呼叫鏈追蹤和證據整理。

AVL Code 內建了面向安全分析的能力,包括雜湊與熵、字串與 IOC 抽取、PE / ELF / Mach-O 解析、反匯編、反編譯、YARA 匹配,以及對話式推理和本機工作區操作。本次分析就是一次典型的使用場景:從外部傳言出發,回到本機樣本和程式碼證據上,逐項確認哪些成立、哪些不能下結論。

最後結論

基於本次樣本逆向,可以給出三個結論。

第一,用戶端機制存在。Claude Code 中確實可以看到針對中國時區、自訂上游、中國相關網域和中國 AI 服務關鍵詞的檢測邏輯。

第二,編碼方式存在。檢測結果會透過日期格式和 Unicode 撇號差異進入系統提示詞,而不是以顯式欄位展示。

第三,後續使用方式仍需更多證據。用戶端程式碼可以說明這些標記如何產生;至於它們在伺服器端如何被使用,以及是否會影響帳號狀態或服務策略,還需要更多材料交叉驗證。

因此,這件事最值得關注的不是某個單一結論,而是透明度問題。對高權限 AI 程式設計工具來說,環境檢測和請求上下文標記應當清楚揭露、可稽核、可設定。只有這樣,開發者和企業才能在充分知情的情況下使用工具。

我們在 avlcode.cn 等你,騎著驢,可驗、可控。


參考資料:Reddit,《Anthropic embedded spyware in Claude Code — and attempted to hide it from you》;Anthropic,《Claude Code changelog》《Claude Code data usage》《Claude Code monitoring》《Supported countries & regions》。本文基於 2026 年 7 月 1 日可見資料與 AVL Code 使用者回饋的本機樣本逆向結果,具體實作可能隨 Claude Code 版本變化。

AVL Code,AVL 安全引擎,與智慧隨行。安天瀾砥團隊出品。