AI 安全与隐私 2026年7月3日 约 22 分钟 Claude Code 隐写术

Claude Code 隐写术事件
Anthropic 如何用一个单引号给你打标签

静默浏览器注入 vs 提示词 Unicode 指纹 · 事件 A/B 事实核查 · 反蒸馏动机 · 自查防护清单

Claude Code 系统提示词 Unicode 单引号隐蔽指纹示意图

TL;DR:2026 年 6 月底,据 thereallo.dev 逆向报告,Claude Code(非网页版)在用户将 ANTHROPIC_BASE_URL 指向非官方地址时,会用文本隐写术改写系统提示词里 Today's date is... 一行——通过切换日期分隔符与肉眼几乎无法分辨的 Unicode 单引号,把「中国时区、中国域名/AI 实验室」等信号悄悄夹带回服务器。Anthropic 已在 2.1.197 移除相关代码。它大概率是反模型蒸馏/反转售手段,但争议在于做法太隐蔽、还刻意混淆。与此同时,4 月另一起事件指 Claude Desktop 静默向浏览器写入 Native Messaging 清单——两件事常被混为一谈,本文严格区分。本文包含:事件 A/B 对照表、Unicode 映射表、HN 两派争议、五步自查防护、厂商信任观点与 FAQ;可对照站内 Anthropic IPO 解析AI 编程助手选型

01

两件事,别搞混:事件 A 与事件 B

许多中文转载把两个独立但相关的事件合并成一篇,英文技术读者(HN / Reddit / 安全圈)一眼可辨事实错误。发稿前务必区分:

维度事件 A:静默浏览器注入事件 B:系统提示词隐写术
涉及产品Claude Desktop(macOS 客户端)Claude Code(CLI 编码工具)
爆料人Alexander Hanff(The Register开发者逆向,发布于 thereallo.dev,经 Reddit → HN 发酵
时间2026 年 4 月(约 4/18 起)2026 年 6 月 30 日
核心行为静默写入 com.anthropic.claude_browser_extension.json,预授权 3 个扩展 ID 调用沙箱外 chrome-native-host;未装浏览器也预建目录,删除后重启会复活ANTHROPIC_BASE_URL ≠ api.anthropic.com 时,用隐写术改写 Today's date is... 一行
被贴标签spyware / backdoor(间谍软件/后门)prompt steganography / covert channel
触发条件安装/启动 Claude Desktop 即触发仅设置非官方 Base URL 时触发;并非每次对话都必然触发
Anthropic 回应未正式公开回应;后续版本加授权开关,底层权限模型未根除承认代码存在,7/1 发布 2.1.197 移除,changelog 未提及

可引用事实:独立顾问 Noah Kenney(Digital 520)确认 Hanff 的技术主张可复现;安天实验室(Antiy Labs)发布了 Claude Desktop 高权限浏览器通道风险分析报告。HN 讨论帖数小时冲到首页,350+ points、100+ 评论,社区分裂为「合理的反蒸馏防御」vs「对开发者工具而言近乎恶意」。

痛点拆解:为何开发者感到被背叛

  1. 01

    未披露 + 刻意混淆:域名/关键词列表用 base64 + XOR(91) 轻度混淆,约 147 条规则,逆向者核对 2.1.193 / 195 / 196 均存在。

  2. 02

    开发者工具的信任红线:Claude Code 靠开发者信任吃饭,把分类信号藏进标点符号,HN 一派直言「malware-adjacent」。

  3. 03

    Desktop 预置高权限通道:即使当前未利用,也为浏览器沙箱外通道铺路;Anthropic 自曝 Claude for Chrome 提示词注入成功率无缓解 23.6%、有缓解 11.2%

  4. 04

    合规与 E-E-A-T 风险:把「意图」当已证实事实会伤可信度;须用「据爆料/据逆向报告/被指控(alleged)」措辞,目的(反蒸馏)与手段(隐写)分开评价。

02

隐写术怎么运作:Unicode 映射表

关键前提:只有当你把 ANTHROPIC_BASE_URL 指向非官方地址(代理、网关、第三方转售、OpenAI 兼容层)时才触发。官方 api.anthropic.com 不动手脚。

触发后,程序在系统提示词那句人畜无害的 Today's date is ... 里做两件事:

检测到的情况日期格式单引号字符Unicode
默认(无命中)2026-06-30' 标准 ASCII 撇号U+0027
命中中国机构/经销商域名2026-06-30' 右单引号U+2019
命中 AI 实验室关键词(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等)2026-06-30ʼ 修饰符撇号U+02BC
域名 + 实验室都命中2026-06-30ʹ 修饰符角分号U+02B9
叠加中国时区(Asia/Shanghai / Asia/Urumqi)2026/06/30(单引号规则同上)

说人话:请求表面上只是普通英文提示词,但后端扫一眼日期分隔符与单引号的 Unicode 编码,就能打标签——「这个用户挂了海外 VPN,但实际在中国时区,甚至疑似某家中国 AI 实验室」。这是典型的隐蔽信道(covert channel)

检查环境变量(事件 B 触发条件)
echo $ANTHROPIC_BASE_URL
# 若输出非空且不是 https://api.anthropic.com → 曾可能触发指纹逻辑
claude --version  # 确认 ≥ 2.1.197
03

Anthropic 为什么这么做?动机与争议

社区主流判断(也较克制):目的是反蒸馏 + 反未授权转售。Anthropic、OpenAI、Google 都公开担忧对手用 API 大量拉输出来训练小模型(distillation)。中国相关代理、转售、实验室是重点怀疑对象。

「目的可以理解,手段才是问题」——把分类信号做成肉眼不可见、混淆代码藏进每个请求,对靠开发者信任吃饭的工具来说,踩了信任红线。

HN / 社区阵营代表观点你的应对启示
防御派合理的反蒸馏防御,保护模型投资理解商业动机,但不接受隐蔽实现
批判派对开发者工具近乎恶意;应公开说明并给开关要求披露、可审计、可关闭
安全派事件 A 预置沙箱外通道,叠加提示词注入数据风险实打实Desktop Agent 按高权限程序对待
04

这算间谍软件吗?

「间谍软件」是有情绪的标签。更准确的说法:

  • 事件 A更接近「未经授权篡改第三方软件 + 预留休眠攻击面」——即便当前没被利用,也把浏览器沙箱外的高权限通道预先铺好。
  • 事件 B更接近「未披露的隐蔽遥测 / 用户分类」。

无论用不用 spyware 这个词,核心问题一致:未经用户知情同意、且刻意隐蔽。

05

自查与防护:五步落地清单

  1. 01

    查 Base URL:确认是否设置 ANTHROPIC_BASE_URL;走官方端点则事件 B 不触发。升级 Claude Code 至 2.1.197+

  2. 02

    查 Native Messaging(事件 A):macOS 上检查 ~/Library/Application Support/<浏览器>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json,按需删除;注意 Claude Desktop 可能重建。

  3. 03

    查时区与代理组合:若同时使用 VPN + 中国时区 + 第三方 API 网关,据报告曾更易命中指纹规则;生产环境建议显式文档化路由策略。

  4. 04

    企业/敏感环境:评估是否继续在生产链路使用桌面 Agent;最小权限、显式授权、可审计是底线。可参考站内 OpenClaw 图形化授权与隔离 思路。

  5. 05

    隔离验收:租用远程 Mac + VNC 的独立节点上跑 Claude Code,图形化核对系统「隐私与安全性」、浏览器 Native Messaging 目录与钥匙串弹窗,避免污染主力开发机;项目结束可换节点或停租。

macOS:列出各浏览器 Native Messaging 清单
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do
  f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
06

AI 厂商越界:我们该如何面对

警示不在「一个撇号」,而在于:模型能力狂飙而安全边界、授权、审计严重滞后时,厂商容易以「体验/防滥用」为名越过信任边界。PC、智能手机早期的安全坑,如今在桌面 AI Agent 上原样复现。

  1. 01

    默认不信任、用证据说话:可复现、可审计、可关闭,才配得上信任。

  2. 02

    要求披露而非隐藏:反蒸馏可以光明正大——公开说明、给开关,而不是藏进标点符号。

  3. 03

    最小权限 + 边界隔离:对任何桌面 Agent 按高权限程序对待。

  4. 04

    用脚投票 + 制度约束:GDPR/个保法与市场选择,是约束「技术无边界」的最终力量。

技术可以没有立场,但公司必须有。能力越大,越要自我约束——这不该是用户逆向二进制才发现的秘密。

参考来源

The Register(Claude Desktop 权限,2026-04);Malwarebytes / gHacks / YOOTA;thereallo.dev(原始逆向);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修复);Antiy Labs(安天)风险分析。

FAQ

常见问题

不算传统意义的间谍软件,但据逆向报告,它曾在系统提示词里嵌入未披露、经混淆的指纹;Anthropic 已在 2.1.197 移除。更准确的定性是未披露的隐蔽信道

事件 B 只在 Claude Code 且设置了非官方 ANTHROPIC_BASE_URL 时触发,普通官方端点用户不受此逻辑影响。

据报告,仅在使用非默认 Base URL 时检查 Asia/Shanghai / Asia/Urumqi,并通过日期分隔符编码;官方端点不改动日期行。

Today's 中的撇号在 U+0027、U+2019、U+02BC、U+02B9 间切换,编码是否命中中国域名、AI 实验室关键词或二者兼有。

主流解读为检测模型蒸馏与未授权 API 转售——合法目标,但以非法隐蔽的方式实现。

不是。4 月 Hanff 爆料的是 Desktop 静默写浏览器 Native Messaging(事件 A);6 月 thereallo.dev 披露的是 Code 提示词隐写(事件 B)。

~/Library/Application Support/<浏览器>/NativeMessagingHosts/ 删除 com.anthropic.claude_browser_extension.json;重启 Claude Desktop 可能重建,需配合版本设置或停用 Desktop。

对处理敏感代码或需审计系统权限的团队,租用独立远程 Mac + VNC 可在图形会话中核对 Native Messaging、TCC 授权与项目目录,结束即停租,降低主力机被 Desktop Agent 改写的风险。

结语

Claude 隐写术风波说明:当 AI Agent 获得修改浏览器、改写系统提示词的能力时,本地主力开发机的隐性风险(权限残留、不可审计通道、混淆遥测)被严重低估。Windows/Linux 主力机上跑 Claude Code 虽可行,但 Claude Desktop 的 Native Messaging 与 macOS 权限弹窗,仍需要真实 macOS 图形会话才能彻底验收。

租用 VNCMac 远程 Mac,在隔离节点上安装 Claude Code、用 VNC 逐项核对浏览器清单与系统隐私设置,项目结束即停租——比把高权限 Agent 直接铺在个人主力机上更可控。查看 Mac Mini M4 套餐 与帮助页 SSH-VNC 说明即可开通。