Claude Code近日被曝在系统内置隐秘检测机制,用于检测用户时区与代理身份,目前Claude Code团队已公开承认该机制存在,并表示将在新版本中删除相关代码。

据Reddit用户爆料,Claude自今年4月2日发布的2.1.91版本起便内置了一套隐蔽的检测机制,在用户开启智能体时,检查系统时区是否为中国时区(Asia / Shanghai或Asia / Urumqi)。

代码藏毒!Claude承认偷藏暗门检测用户时区:明天就删

以及URL是否匹配一份包含147个条目的域名清单(包括百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等域名,以及大量Claude API中转服务地址)。

而且这些信息回传机制十分隐秘,Claude修改了系统固定提示词里的那句“Today's date is ...”,根据检测到的代理URL属性,"Today's"里的单引号被替换为视觉上完全一样,但底层Unicode编码不同的特殊字符:

中国域名+非AI实验室→’(右单引号')

非中国域名+中国AI实验室→ʼ(修饰符撇号ʼ)

中国域名+中国AI实验室→ʹ(修饰符角分号ʹ)

代码藏毒!Claude承认偷藏暗门检测用户时区:明天就删

就改这么一两个字符,肉眼根本看不出来,而且加上日期分隔符的差异,一共能编码6种身份状态,用户的请求表面上看只是发送了一段普通英文提示词,但后端服务器扫一下,就能瞬间给该用户打上标签:是不是挂了V-P-N,是否实际位于中国,是否属于某家AI实验室。

事件曝光之后Claude Code团队成员Thariq Shihipar回应称,该机制是团队于2026年3月上线的“实验性”措施,目的是防止未经授权的账户转售以及防范模型蒸馏攻击,目前已经有了更强力的防范措施,该代码将在新版本中删除。

觉得上面的内容有用吗?快来点个赞吧!

点赞() 我要打赏

温馨提示 : 本站内容来自会员投稿以及互联网,所有源码及教程均为作者总结编辑,请大家在使用过程中提前做好备份,以免发生无法预知的错误,源码类教程请勿直接用于生产环境!

 可能感兴趣的文章