
6月30日,一位名叫Thereallo的安全研究员在检查Claude Code的代码时,发现了一个令人不安的东西:Anthropic公司在发给AI的系统指令里,悄悄塞进了一套隐形暗号系统。这套系统能根据用户所在的地理位置和网络环境,自动切换标点符号来打标记——你肉眼看到的是一句普通的英文日期,但后台传输的字节里藏着追踪信息。
这不是猜测。Thereallo把代码拆开,完整还原了这套机制的运转逻辑。笔者读完原始文章和社区讨论后,想说清楚三件事:这个暗号系统到底怎么运作的、为什么Anthropic要这么干、以及它背后那条完整的AI灰色产业链。
一、系统指令里的”隐形墨水”
Claude Code每次跟AI模型对话时,会自动插入一行日期:“Today’s date is 2026-06-30.”(今天的日期是2026-06-30)。正常情况下,这只是一句例行公事的上下文信息。
但Thereallo发现,当用户配置了自定义API地址——也就是不经过Anthropic官方服务器中转时——Claude Code会悄悄改动这句话里的两个地方:
第一,日期分隔符。 如果你的电脑时区设成了”Asia/Shanghai”(上海时区)或”Asia/Urumqi”(乌鲁木齐时区),日期会从 2026-06-30 变成 2026/06/30——横杠变斜杠。
第二,撇号。 “Today’s”里的那个小撇号,会根据你的API地址分成四种不同版本——看起来一模一样,但背后的Unicode编码完全不同。如果你直连Anthropic官方服务器,用的是普通ASCII撇号;如果你的API地址被识别为”已知转售商域名”,换成右单引号(U+2019);如果地址里包含中国AI公司的名字(比如deepseek、moonshot、zhipu),换成另一个变体(U+02BC);两者都命中,又是一个变体(U+02B9)。
普通人看屏幕上那行日期,什么异常都没有。但Anthropic的服务器收到请求后,解码这些字节就能知道:这个用户是不是在通过转售商的代理访问、这个代理是不是跟中国AI实验室有关联。
更耐人寻味的是,判断逻辑依赖两张隐藏名单。一张是域名黑名单,包含147个条目——从百度、阿里巴巴、字节跳动等中国大型企业域名,到claude-opus.top、openclaude.me、proxyai.com这类转售商专用域名。另一张是关键词黑名单,包括deepseek、moonshot、minimax、zhipu、baichuan、stepfun、dashscope等11个中国AI公司名称。两张名单都用Base64编码后,再用密钥91做XOR异或加密——这种手法在恶意软件里更常见,而不是一个声称”安全优先”的公司应该用的。

二、三层转售产业链:为什么Anthropic这么紧张?
要理解Anthropic为什么要在代码里埋暗号,得先看清楚它面对的是一个怎样的对手。
Claude的API在中国大陆被官方封锁——不允许中国用户注册和直接使用。但Claude又是公认编程能力最强的AI之一,中国开发者想用它。供需缺口催生了一门庞大的灰色生意,在中国开发者圈子里被称为”中转站”(transfer station)。
牛津大学中国政策实验室的研究员钱子蓝(Zilan Qian)在今年5月发表了一份调查,把这条产业链拆得很清楚。笔者根据钱子蓝的报告和后续的社区讨论,把它总结为三层模型:
第一层:订阅池化套利。 转售商批量注册免费开发者账号,薅取Anthropic发放的5美元API试用额度;或者用一个200美元/月的Claude Max高级订阅账号,拆分给几十甚至上百人同时使用。单用户成本被摊薄到几乎为零。更有甚者,使用盗刷的信用卡创建账号,成本直接归零。今年4月Anthropic开始要求部分用户上传政府签发的带照片身份证件并拍摄活体自拍——但灰色市场迅速跟进,在低收入国家招募真人充当”脸替”,单价不到30美元。这道防线本质上已经被穿透。
第二层:模型降级掺假。 德国CISPA亥姆霍兹信息安全中心的研究人员审计了17家中转站服务,发现普遍的以次充好行为。你付的是Claude Opus(最高级版)的钱,但实际收到的是Claude Haiku(最便宜版)甚至国产模型千问(Qwen)的回答。一项医学基准测试中,某家声称提供Gemini-2.5的服务只得了37分,而官方API接近84分。用户以为自己买到了顶级AI,实际上拿到的是廉价替代品。
第三层:流量倒卖为训练数据。 这才是整条产业链真正的利润中心。每个用户发送的提示词、上传的代码、得到的回复,全部都经过中转站服务器,转售商完整记录下来。完整的推理链路、代码上下文、验证过的输出——这些正是训练竞品AI模型最有价值的原料。多位中国开发者告诉钱子蓝:API转卖的差价只是获客手段,真正的生意是日志。在AI模型分享平台HuggingFace上,已经出现来源不明的Claude Opus推理数据集在流通。
这个模型解释了Anthropic为什么焦虑。2026年2月,Anthropic公开指控DeepSeek、Moonshot AI和MiniMax三家中国AI公司,使用超过24000个虚假账户生成了超过1600万次对话,系统性地蒸馏(distillation)Claude的能力来训练自家模型。这是一场工业规模的对抗行动。
三、Anthropic的信任困境
说回那个隐形暗号系统。Anthropic想追踪转售商和蒸馏攻击者,这个动机本身不难理解。任何一家AI公司都会想保护自己的核心技术不被系统性窃取。
但问题出在执行方式上。
Claude Code不是一个普通的聊天工具。它有权限读取你的文件系统、执行Shell命令、操作Git仓库——它能做的事远远超过一个浏览器标签页里的聊天窗口。用户把这把钥匙交给它,基于一个基本假设:这个工具的开发者是坦诚的。如果它可以在系统指令里藏暗号而不告诉你,那你怎么确定它没有在别的地方做类似的事?
Thereallo在文章里写了一句笔者很认同的话:“Trust is earned in the boring parts.”(信任是在那些无聊的部分里挣来的)。Anthropic大可以把追踪机制写进更新日志,做成一条明确的遥测字段,让用户知道发生了什么、可以怎么关闭。但它选择了隐藏——Base64加XOR加密的域名列表、肉眼不可见的Unicode替换、不在任何公开文档里提及。这不是恶意功能,但确实是一个”奇怪的选择”——一个要求开发者信任的工具,自己先打破了透明度的底线。
而且从工程角度看,这套追踪系统的效果也值得怀疑。绕过它的方法太简单了:改一下系统时区、换一个代理域名、甚至是打一个环境变量的补丁。任何有心的对手都能轻松让它失效。到头来,这个系统真正能标记到的,反而是那些做”正常但特殊的事情”的普通开发者——比如搭建内部网关的研究团队、使用本地代理的个人用户。
7月1日,也就是Thereallo文章发布的第二天,Anthropic回应称将移除这套机制,并在当天推送了新版Claude Code(2.1.197)。但更新日志里没有提到任何关于移除隐形标记的内容。
四、最后几句
笔者写这篇文章,不是要替转售商辩护,也不是要给Anthropic定罪。两边的逻辑其实都说得通。
转售商这边,Claude在中国无法合法使用,但开发者确实需要一个好用的AI编程助手。需求是客观存在的,灰色市场是它的自然产物。钱子蓝的调查里提到一个容易被忽略的细节:中转站的用户里有大学生、教授、自由职业开发者——他们只是想用更好的工具,没想过自己同时也变成了数据劳工。
Anthropic这边,花几十亿美元研发出来的模型能力,被竞品用虚假账号大规模蒸馏,换谁都会想办法反击。而且在它的视角里,中国代理的流量里混杂着转售套利和工业蒸馏,确实难以精准区分。
但笔者想提醒读者注意的是另一个层面:在AI灰色产业链里,被当作商品的远不止API额度。你的每一次提问、每一段代码、每一个推理上下文,都可能正在被记录、转卖、用于训练下一个AI模型。你享受70%折扣的同时,数据就是你自己付出的隐性价格。
至于那个藏在系统指令里的隐形暗号,Anthropic撤掉了。但这件事留下的问题比它解决的更多:当一个能读写你整个项目的工具开始藏东西的时候,信任还能从哪里来?
参考链接:
- Claude Code Is Steganographically Marking Requests — Thereallo
- Lobsters 讨论帖
- China’s Grey Market Sells Claude API Tokens at 70–90% Off — AI Weekly
- China’s Claude API Grey Market Sells AI Access at 90% Off — and Your Data Pays the Rest — Memeburn
- Claude Code Hid Proxy Fingerprints in System Prompts — TechTimes
- Anthropic Accuses DeepSeek, Moonshot and MiniMax of Distillation Attacks — CNBC
题图来源:TechTimes / Anthropic