从 2026 年 6 月底开始,Anthropic 大规模封禁国内 Claude 账号,大量 Claude Max 订阅用户在毫无预警的情况下收到封号通知,即便不少用户长期正常付费,也未能幸免。

不少开发者还发现,官方发送的封号邮件中包含邮件追踪器(Tracking Pixel),用于统计邮件是否被打开以及访问位置,这一做法再次引发了用户对于隐私的讨论。

Anthropic搞了很多小聪明,就是为了防着中国用户。

近日,Reddit 用户 LegitMichel777 在对 Claude Code 最新版本进行逆向分析后,发现客户端内部存在一套用于识别特定用户环境的信息采集机制,并通过一种几乎不会被人眼察觉的字符编码方式,将识别结果附加到发送给服务器的请求中。

如果这一分析属实,那么它意味着:

Claude Code 并不仅仅依赖 IP 判断用户来源,而是在不为人知的情况下,在客户端主动收集本地环境信息,并将结果编码回传。说白了,开着魔法都没用。

对于大量依赖 Claude Code 进行开发工作的工程师而言,这无疑引发了新的信任危机。


一、逆向分析发现了什么?

过去,大多数开发者认为,Claude 的区域限制主要依赖出口 IP。

因此,只要使用海外代理,理论上就能够正常访问。

然而逆向分析显示,从 **Claude Code 2.1.91(2026 年 4 月 2 日)**开始,客户端增加了一套新的环境识别逻辑。

主要包括两个维度。

① 本地系统时区

Claude Code 会读取当前系统时区。

如果检测到属于中国时区:

  • Asia/Shanghai

  • Asia/Urumqi

则会记录对应标记。

由于很多开发者即使使用海外代理,也依然保留北京时间,因此这一信息相比 IP 更稳定。


② 检测 ANTHROPIC_BASE_URL

第二项检测更加耐人寻味。

很多国内开发者不会直接连接

api.anthropic.com

而是使用企业代理、中转 API 或私有网关,因此通常都会配置:

ANTHROPIC_BASE_URL

环境变量。

逆向结果显示,Claude Code 会提取该地址中的域名,并与程序内部的一份混淆列表进行匹配。

研究者进一步解码发现:

该列表采用 Base64 + XOR(91) 双重混淆。

解密后包含 147 个域名

其中包括:

国内互联网公司

  • 字节跳动

  • 百度

  • 阿里

  • 京东

  • 美团

  • 小红书

  • 网易

  • B站

  • 携程

以及多个 AI 公司:

  • Moonshot AI

  • DeepSeek

  • 智谱

  • MiniMax

  • 阶跃星辰

甚至还包括部分企业内部办公域名,例如:

这说明,客户端识别的不只是公开 API,而是覆盖了大量国内开发环境。


二、它如何把这些信息发送回服务器?

真正令不少逆向工程师感到意外的,并不是环境检测本身。

而是数据回传方式。

Claude Code 每次请求模型之前,都会自动生成一段 System Prompt,例如:

# currentDate

Today's date is 2026-06-30.

这本来只是告诉模型当前日期。

但逆向分析发现,如果前面的环境检测命中,客户端会悄悄修改这段文本中的部分 Unicode 字符。

例如:

修改一:Today's 中的引号

正常情况下:

'

对应 Unicode:

U+0027

而命中特定条件后,会替换成视觉几乎完全一致、但 Unicode 编码不同的字符。

对于用户来说,两者几乎无法区分。

但服务器能够轻松识别。


修改二:日期分隔符

正常格式:

2026-06-30

命中条件后:

2026/06/30

单看文本几乎不会引起注意,但服务器可以据此恢复对应标记。


通过这两个位置的字符变化,就能够组合出少量二进制状态,用来表示不同的客户端环境。

从技术角度来看,这更接近一种**利用字符编码传递额外信息(Covert Signaling)**的做法,而不仅仅是普通字符串修改。


三、为什么开发者对此反应如此强烈?

如果只是检测 IP,大多数开发者并不会感到意外。

几乎所有国际 SaaS 都会根据 IP 做区域限制。

真正引发争议的是:

客户端主动读取本地环境信息,并通过用户几乎无法察觉的方式回传服务器,而整个过程没有明确告知用户。

这一点,与传统意义上的 IP 风控存在本质区别。

事件曝光后,相关讨论迅速登上 Reddit、Twitter/X 等技术社区,大量开发者开始重新审视 Claude Code 的客户端行为。

不少评论认为,真正令人担忧的不是收集了哪些数据,而是:

  • 用户是否知道这些信息正在被采集?

  • 是否存在公开文档说明这些行为?

  • 是否获得了用户明确授权?

对于一款拥有本地文件访问权限、能够执行 Shell 命令、读写 Git 仓库的 AI Agent 来说,开发者天然会给予较高信任。

因此,任何未经明确说明的环境检测机制,都可能迅速放大用户对于透明度的担忧。


应对客户端风控,开发者有哪些选择?

随着海外模型服务商不断加强客户端风控,仅依赖代理或简单反向代理的方式,稳定性和可持续性都在下降。对于团队而言,将模型接入层交由专业的 MaaS平台统一管理,可以降低客户端环境暴露和接入失效带来的风险。

魔芋 AI 为例,它提供 Claude、OpenAI 等多模型统一接入,支持人民币结算、高并发调用和稳定的 API 服务。在价格、速度、稳定、安全四方面综合看下来都值得一试。

魔芋AI大模型网关I全球大模型一站式调用及服务平台魔芋AI大模型聚合平台(大模型网关平台)专注于提供高效能、低成本的多品类 AI 模型服务,助力开发者和企业聚焦产品创新。https://www.moyu.info/register?aff=qBX9

结语

截至目前,关于这套机制的讨论仍主要来源于社区逆向分析,Anthropic 尚未对此公开回应。

如果逆向分析结果最终得到进一步证实,那么这起事件讨论的重点,或许已经不仅仅是"是否封禁中国用户"。

更重要的问题在于:

AI Agent 是否应该主动收集本地环境信息?

这些信息是否应当提前向用户披露?

客户端是否可以通过难以察觉的编码方式向服务器传递额外状态?

随着 AI Agent 获得越来越高的本地权限,这些问题未来不仅属于 Anthropic,也将成为整个 AI 开发工具行业必须面对的透明度与信任问题。

无论最终结论如何,这次事件再次提醒开发者:当一个工具能够访问你的代码、终端、文件系统甚至企业仓库时,真正重要的,不只是它是否足够智能,更是它是否足够透明、是否值得长期信任。

Logo

小龙虾开发者社区是 CSDN 旗下专注 OpenClaw 生态的官方阵地,聚焦技能开发、插件实践与部署教程,为开发者提供可直接落地的方案、工具与交流平台,助力高效构建与落地 AI 应用

更多推荐