Anthropic 太阴了,为什么你的Claude 帐号总是被封:通过植入隐写术代码识别中国用户
从 2026 年 6 月底开始,Anthropic 大规模封禁国内 Claude 账号,大量 Claude Max 订阅用户在毫无预警的情况下收到封号通知,即便不少用户长期正常付费,也未能幸免。
不少开发者还发现,官方发送的封号邮件中包含邮件追踪器(Tracking Pixel),用于统计邮件是否被打开以及访问位置,这一做法再次引发了用户对于隐私的讨论。
Anthropic搞了很多小聪明,就是为了防着中国用户。
近日,Reddit 用户 LegitMichel777 在对 Claude Code 最新版本进行逆向分析后,发现客户端内部存在一套用于识别特定用户环境的信息采集机制,并通过一种几乎不会被人眼察觉的字符编码方式,将识别结果附加到发送给服务器的请求中。

如果这一分析属实,那么它意味着:
Claude Code 并不仅仅依赖 IP 判断用户来源,而是在不为人知的情况下,在客户端主动收集本地环境信息,并将结果编码回传。说白了,开着魔法都没用。
对于大量依赖 Claude Code 进行开发工作的工程师而言,这无疑引发了新的信任危机。
一、逆向分析发现了什么?
过去,大多数开发者认为,Claude 的区域限制主要依赖出口 IP。
因此,只要使用海外代理,理论上就能够正常访问。
然而逆向分析显示,从 **Claude Code 2.1.91(2026 年 4 月 2 日)**开始,客户端增加了一套新的环境识别逻辑。
主要包括两个维度。
① 本地系统时区
Claude Code 会读取当前系统时区。
如果检测到属于中国时区:
-
Asia/Shanghai
-
Asia/Urumqi
则会记录对应标记。
由于很多开发者即使使用海外代理,也依然保留北京时间,因此这一信息相比 IP 更稳定。
② 检测 ANTHROPIC_BASE_URL
第二项检测更加耐人寻味。
很多国内开发者不会直接连接
api.anthropic.com
而是使用企业代理、中转 API 或私有网关,因此通常都会配置:
ANTHROPIC_BASE_URL
环境变量。
逆向结果显示,Claude Code 会提取该地址中的域名,并与程序内部的一份混淆列表进行匹配。
研究者进一步解码发现:
该列表采用 Base64 + XOR(91) 双重混淆。
解密后包含 147 个域名。
其中包括:
国内互联网公司
-
字节跳动
-
百度
-
阿里
-
京东
-
美团
-
小红书
-
网易
-
B站
-
携程
以及多个 AI 公司:
-
Moonshot AI
-
DeepSeek
-
智谱
-
MiniMax
-
阶跃星辰
甚至还包括部分企业内部办公域名,例如:
这说明,客户端识别的不只是公开 API,而是覆盖了大量国内开发环境。
二、它如何把这些信息发送回服务器?
真正令不少逆向工程师感到意外的,并不是环境检测本身。
而是数据回传方式。
Claude Code 每次请求模型之前,都会自动生成一段 System Prompt,例如:
# currentDate
Today's date is 2026-06-30.
这本来只是告诉模型当前日期。
但逆向分析发现,如果前面的环境检测命中,客户端会悄悄修改这段文本中的部分 Unicode 字符。
例如:
修改一:Today's 中的引号
正常情况下:
'
对应 Unicode:
U+0027
而命中特定条件后,会替换成视觉几乎完全一致、但 Unicode 编码不同的字符。
对于用户来说,两者几乎无法区分。
但服务器能够轻松识别。
修改二:日期分隔符
正常格式:
2026-06-30
命中条件后:
2026/06/30
单看文本几乎不会引起注意,但服务器可以据此恢复对应标记。
通过这两个位置的字符变化,就能够组合出少量二进制状态,用来表示不同的客户端环境。
从技术角度来看,这更接近一种**利用字符编码传递额外信息(Covert Signaling)**的做法,而不仅仅是普通字符串修改。
三、为什么开发者对此反应如此强烈?
如果只是检测 IP,大多数开发者并不会感到意外。
几乎所有国际 SaaS 都会根据 IP 做区域限制。
真正引发争议的是:
客户端主动读取本地环境信息,并通过用户几乎无法察觉的方式回传服务器,而整个过程没有明确告知用户。
这一点,与传统意义上的 IP 风控存在本质区别。

事件曝光后,相关讨论迅速登上 Reddit、Twitter/X 等技术社区,大量开发者开始重新审视 Claude Code 的客户端行为。
不少评论认为,真正令人担忧的不是收集了哪些数据,而是:
-
用户是否知道这些信息正在被采集?
-
是否存在公开文档说明这些行为?
-
是否获得了用户明确授权?
对于一款拥有本地文件访问权限、能够执行 Shell 命令、读写 Git 仓库的 AI Agent 来说,开发者天然会给予较高信任。
因此,任何未经明确说明的环境检测机制,都可能迅速放大用户对于透明度的担忧。
应对客户端风控,开发者有哪些选择?
随着海外模型服务商不断加强客户端风控,仅依赖代理或简单反向代理的方式,稳定性和可持续性都在下降。对于团队而言,将模型接入层交由专业的 MaaS平台统一管理,可以降低客户端环境暴露和接入失效带来的风险。
以 魔芋 AI 为例,它提供 Claude、OpenAI 等多模型统一接入,支持人民币结算、高并发调用和稳定的 API 服务。在价格、速度、稳定、安全四方面综合看下来都值得一试。
结语
截至目前,关于这套机制的讨论仍主要来源于社区逆向分析,Anthropic 尚未对此公开回应。
如果逆向分析结果最终得到进一步证实,那么这起事件讨论的重点,或许已经不仅仅是"是否封禁中国用户"。
更重要的问题在于:
AI Agent 是否应该主动收集本地环境信息?
这些信息是否应当提前向用户披露?
客户端是否可以通过难以察觉的编码方式向服务器传递额外状态?
随着 AI Agent 获得越来越高的本地权限,这些问题未来不仅属于 Anthropic,也将成为整个 AI 开发工具行业必须面对的透明度与信任问题。
无论最终结论如何,这次事件再次提醒开发者:当一个工具能够访问你的代码、终端、文件系统甚至企业仓库时,真正重要的,不只是它是否足够智能,更是它是否足够透明、是否值得长期信任。
更多推荐




所有评论(0)