AI 安全 2026-07-03

Claude Code 隱寫術事件:Anthropic 如何用一個單引號替你打標籤(2026)

一句話結論:據逆向報告,2026 年 6 月底 Claude Code(非網頁版)在用戶將 ANTHROPIC_BASE_URL 指向非官方代理伺服器時,會以文字隱寫術改寫系統提示詞裡 Today's date is... 那一行——透過切換日期分隔符與肉眼難辨的 Unicode 單引號,把時區與中國網域/AI 實驗室命中資訊悄悄夾帶回伺服器。Anthropic 已在 2.1.197(7 月 1 日)移除相關程式碼;社群主流解讀為反模型蒸餾手段,爭議在於做法過於隱蔽且刻意混淆。

Claude Code 系統提示詞 Unicode 撇號指紋 U+2019 U+02BC 隱寫術 2026

⚠️ 本文依公開爆料與逆向報告整理,措辭採「據爆料/據逆向報告/遭指控」以降低法律風險;Anthropic 動機為社群推斷,非官方證實。資料截至 2026 年 7 月 3 日。

01 · 核心速覽

維度 要點
事件 B 揭露2026 年 6 月 30 日,開發者逆向 Claude Code 二進位檔,發布於 thereallo.dev,經 Reddit → Hacker News 發酵
觸發條件僅當 ANTHROPIC_BASE_URL ≠ api.anthropic.com(走代理/閘道/轉售)時觸發;官方端點不動手腳
編碼手段系統提示詞 Today's date is... 行:切換日期分隔符(- vs /)+ Unicode 單引號(U+0027 / U+2019 / U+02BC / U+02B9)
規則清單base64 + XOR(91) 輕度混淆,約 147 條網域規則;含 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等 AI 實驗室關鍵字
受影響版本逆向者核對 2.1.193 / 2.1.195 / 2.1.196 均存在;2.1.197(2026-07-01)移除,changelog 未提及
社群熱度HN 討論帖數小時衝首頁,350+ points、100+ 則留言;分裂為「合理反蒸餾防禦」vs「對開發者工具近乎惡意」
事件 A(另案)2026 年 4 月 Alexander Hanff 爆料 Claude Desktop 靜默寫入瀏覽器 Native Messaging 清單(見第三節)
提示詞注入風險Anthropic 自有資料:Claude for Chrome 提示詞注入成功率無緩解 23.6%、有緩解 11.2%——疊加事件 A 高權限通道,風險不容忽視

02 · 三大痛點:開發者為何感到被背叛

  1. 兩起事件常被混為一談:媒體與社群常把 4 月 Claude Desktop 瀏覽器注入(事件 A)與 6 月 Claude Code 提示詞隱寫(事件 B)捆成「Anthropic 間諜軟體」敘事——產品、觸發條件、技術機制完全不同,混淆會損害判斷與 SEO 可信度。
  2. 隱蔽通道與開發者信任衝突:據逆向報告,分類訊號藏在標點符號裡、程式碼經 base64+XOR 混淆、未向用戶揭露——對仰賴信任的 CLI 編碼工具而言,即便動機是反蒸餾,手段仍被 HN 大量用戶指為越界。
  3. 代理用戶缺乏可復現自查環境:要比對官方端點與代理端點下系統提示詞差異,需在隔離 macOS 上設定 Claude Code、稽核 ANTHROPIC_BASE_URL 與 Native Messaging 清單;主力機混裝多版本 CLI 與瀏覽器設定,除錯成本極高。

03 · 兩件事,別搞混:事件 A vs 事件 B

這波風波是兩起獨立但相關的事件疊加發酵。撰稿前務必區分,否則會被英文技術讀者(HN / Reddit / 安全圈)一眼看穿。

維度 事件 A:靜默瀏覽器注入 事件 B:系統提示詞隱寫術
涉及產品Claude Desktop(macOS 用戶端)Claude Code(CLI 編碼工具)
爆料人Alexander Hanff(隱私顧問,The Register 撰稿人)開發者逆向二進位檔,thereallo.dev
時間2026 年 4 月(約 4/18 起)2026 年 6 月 30 日
核心行為靜默向 Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium 寫入 Native Messaging 清單 com.anthropic.claude_browser_extension.json,預授權 3 個擴充功能 ID 呼叫沙箱外 chrome-native-host即使瀏覽器未安裝也預建目錄,刪除後重啟 Claude Desktop 會復活ANTHROPIC_BASE_URL ≠ api.anthropic.com 時,以隱寫術改寫系統提示詞 Today's date is... 一行
被貼標籤「spyware / backdoor」(間諜軟體/後門)「prompt steganography / covert channel」(提示詞隱寫/隱蔽通道)
觸發條件安裝/啟動 Claude Desktop 即觸發僅非官方 Base URL(代理)時觸發;並非每次對話都必然觸發
Anthropic 回應據報導未正式公開回應;後續版本加了授權開關,底層權限模型未根除據媒體報導承認程式碼存在,7/1 發布 2.1.197 移除,changelog 未提及

04 · 時間軸與版本核對

時間事件
2026 年 4 月據爆料 Alexander Hanff 揭露 Claude Desktop Native Messaging 靜默注入(事件 A)
2026 年 4 月獨立顧問 Noah Kenney(Digital 520)據報確認 Hanff 技術主張可復現;安天實驗室(Antiy Labs)發布專門風險分析報告
2026 年 6 月 30 日開發者於 thereallo.dev 發布 Claude Code 逆向報告(事件 B),Reddit → HN 發酵
2026 年 6 月底HN 討論帖 350+ points、100+ 則留言;社群分裂兩派
逆向者核對版本 2.1.193 / 2.1.195 / 2.1.196 均含隱寫邏輯
2026 年 7 月 1 日Anthropic 發布 Claude Code 2.1.197 移除相關程式碼(changelog 未明確說明)

05 · 隱寫術到底怎麼運作

關鍵前提(據逆向報告):只有當你把 ANTHROPIC_BASE_URL 指向非官方位址——即走代理伺服器、閘道、第三方轉售或 OpenAI 相容層——時才觸發。直連 api.anthropic.com 時,系統提示詞中的日期行不會被改動。

觸發後,程式在系統提示詞那句看似無害的 Today's date is ... 裡藏入兩類訊號:

  1. 改日期分隔符:若系統時區為 Asia/ShanghaiAsia/Urumqi2026-06-30 變為 2026/06/30
  2. 換單引號:把 Today's 裡的撇號替換成視覺相近、Unicode 不同的字元,編碼「命中了什麼」。

網域與關鍵字清單據報用 base64 + XOR(91) 輕度混淆,約 147 條規則。關鍵字包含 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等中國 AI 實驗室相關字串。

白話說:請求表面上只是普通英文系統提示詞,但後端掃一眼日期分隔符與單引號的 Unicode 碼位,即可在後台替用戶打標籤——「掛了海外 VPN,但實際在中國時區,甚至疑似某家中國 AI 實驗室」。這是典型的隱蔽通道(covert channel)

06 · Unicode 對照表(據逆向報告)

偵測條件 日期格式 Today's 單引號 Unicode
預設(不在網域清單、非 AI 實驗室)2026-06-30' 標準 ASCII 撇號U+0027
命中中國機構/經銷商網域2026-06-30' 右單引號U+2019
命中 AI 實驗室關鍵字2026-06-30ʼ 修飾符撇號U+02BC
網域與實驗室同時命中2026-06-30ʹ 修飾符角分號(prime)U+02B9
疊加中國時區(Asia/Shanghai / Asia/Urumqi)2026/06/30單引號規則同上

07 · Anthropic 為什麼這麼做?動機 vs 手段

社群主流判斷(較克制,非 Anthropic 官方聲明):目的是反模型蒸餾(distillation)+ 反未授權轉售。Anthropic、OpenAI、Google 均曾公開擔憂對手用 API 大量拉輸出來訓練小模型;中國相關代理、轉售與實驗室是重點懷疑對象,於是據報加了這套「打標籤」邏輯。

目的可以理解,手段才是問題:把分類訊號做成肉眼不可見、刻意混淆程式碼藏進每個請求,對一個靠開發者信任吃飯的工具而言踩了信任紅線。Hacker News 上兩派吵得很兇:

  • 辯護派:「這就是正當的反蒸餾防禦」
  • 批評派:「對開發者工具而言這近乎惡意行為(malware-adjacent)」

Claude Fable 5 出口管制AI 程式設計助手選型對照 一併閱讀,可更全面理解 Anthropic 在存取控制與開發者生態上的張力。

08 · 這算間諜軟體嗎?

「間諜軟體」是有情緒的標籤。更準確的說法(據公開材料):

  • 事件 A更接近「未經授權竄改第三方軟體 + 預留休眠攻擊面」——即便當下未被利用,也把瀏覽器沙箱外的高權限通道預先鋪好。疊加 Anthropic 自有資料:Claude for Chrome 提示詞注入成功率無緩解 23.6%、有緩解 11.2%,風險是實打實的。
  • 事件 B更接近「未揭露的隱蔽遙測/用戶分類」。

無論是否使用 spyware 一詞,核心問題一致:未經用戶知情同意,且刻意隱蔽。主流解讀認為 Anthropic 意在偵測未授權轉售與蒸餾,而非監視個人;爭議點在於手段(隱蔽、混淆、不揭露),而非目的本身。

09 · 第三方技術確認(事件 A)

除 Hanff 原始爆料外,據公開報導:

  • Noah Kenney(Digital 520 獨立顧問)確認 Hanff 的技術主張可復現
  • 安天實驗室(Antiy Labs)發布 Claude Desktop 高權限瀏覽器通道風險專門分析報告

事件 B 的技術細節主要來自 thereallo.dev 逆向報告及後續 Tech Startups、TMC Insight、Developers Digest、TechTimes 等媒體報導。

10 · 五步自查與防護清單

  1. 稽核 ANTHROPIC_BASE_URL 與 Claude Code 版本:確認是否將環境變數指向非 api.anthropic.com 的代理;若曾使用 2.1.193–196,立即升級至 2.1.197+
  2. macOS 檢查 Native Messaging 清單(事件 A):在 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 查找 com.anthropic.claude_browser_extension.json,按需刪除;注意 Claude Desktop 重啟可能重建。
  3. 審計系統時區與代理鏈路:核對 Asia/ShanghaiAsia/Urumqi 等設定,理解日期分隔符與單引號如何組合編碼資訊。
  4. 企業/敏感環境最小權限:將 Claude Desktop / Claude Code 視為高權限桌面 Agent——明確授權、可稽核、生產鏈路隔離;參考 MCP Server 從零搭建教學 釐清 Agent 工具呼叫邊界。
  5. 預設不信任、要求揭露:可復現、可稽核、可關閉才是信任門檻;廠商應光明正大做反蒸餾並給開關,而非藏進標點符號。

11 · AI 越來越強,我們該如何面對

這件事真正的警示不在「一個撇號」,而在於:當模型能力狂飆、而安全邊界、授權、稽核嚴重滯後時,廠商很容易以「體驗/防濫用」為名,單方面越過用戶與其他軟體廠商之間的信任邊界。

  1. 預設不信任、用證據說話:可復現、可稽核、可關閉,才配得上信任。
  2. 要求「揭露而非隱藏」:反蒸餾可以光明正大——公開說明、給開關,而不是藏進 Unicode。
  3. 最小權限 + 邊界隔離:對任何桌面 Agent 都按高權限程式對待。
  4. 用腳投票 + 制度約束:GDPR/個資法與市場選擇,是約束「技術無邊界」的最終力量。

技術可以沒有立場,但公司必須有。能力越大,越要自我約束——這不該是用戶逆向二進位檔才發現的秘密。

12 · FAQ

Claude Code 是間諜軟體嗎?

據逆向報告,不算傳統意義的間諜軟體,但它確實在系統提示詞裡藏了未揭露、經混淆的指紋,用來標記走代理的中國相關用戶;Anthropic 已在 2.1.197 移除。更準確的定性是「未揭露的隱蔽通道」。

Claude Code 會偵測我的時區嗎?

據逆向報告,會檢查 Asia/Shanghai / Asia/Urumqi——但僅在你使用非預設 ANTHROPIC_BASE_URL。官方端點用戶不受影響。

Today's date 單引號 Unicode 指紋是什麼原理?

據逆向報告,Today's 中的撇號在 U+0027、U+2019、U+02BC、U+02B9 之間切換,分別編碼無命中、命中中國網域、命中 AI 實驗室關鍵字、兩者同時命中;疊加中國時區時日期變為斜線分隔。

Anthropic 為什麼要加這套邏輯?

社群主流判斷:最可能是偵測模型蒸餾與未授權 API 轉售——正當目標,但據爆料以隱蔽、混淆、未揭露的方式實作。

這和 Claude Desktop 間諜軟體事件是一回事嗎?

不是。2026 年 4 月 Alexander Hanff 揭露的 Claude Desktop Native Messaging 靜默注入是事件 A;2026 年 6 月 30 日 thereallo.dev 揭露的 Claude Code 系統提示詞隱寫術是事件 B。

一般網頁版 Claude 用戶會受影響嗎?

事件 B 僅在 Claude Code 且設定了非官方 ANTHROPIC_BASE_URL(走代理)時觸發;一般官方端點用戶不受此邏輯影響。

怎麼刪除 Claude Desktop 注入的瀏覽器檔案?

~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 下查找並刪除 com.anthropic.claude_browser_extension.json;據爆料重啟 Claude Desktop 可能重建。

Claude Code 隱寫術程式碼還在嗎?

據逆向者與媒體報導,2.1.193、2.1.195、2.1.196 均存在;Anthropic 於 2026 年 7 月 1 日發布 2.1.197 移除,changelog 未明確提及。

13 · 參考來源

  • The Register:Claude Desktop changes software permissions without consent(2026-04)
  • Malwarebytes / gHacks / YOOTA:Claude Desktop Native Messaging 相關報導
  • thereallo.dev:Claude Code prompt steganography(原始逆向報告)
  • Tech Startups / TMC Insight / Developers Digest / TechTimes:事件 B 報導與 2.1.197 修復
  • 安天實驗室(Antiy Labs):Claude Desktop 高權限瀏覽器通道風險分析報告
  • Hacker News:Claude Code steganography 討論帖(350+ points)

14 · 租用 Mac:隔離驗證 Claude Code 權限與代理設定

要真正釐清自己是否曾觸發事件 B,你需要在乾淨、可快照的 macOS 環境裡分別用官方 api.anthropic.com 與自訂 ANTHROPIC_BASE_URL 跑 Claude Code,擷取系統提示詞 diff——同時稽核 Claude Desktop 是否在 NativeMessagingHosts 下寫入清單。主力 Mac 上混裝 Homebrew 多版本 CLI、公司 VPN 與日常瀏覽器設定,一次對照實驗可能污染數週除錯基線。

按天租用 Apple Silicon Mac 可在隔離節點完成「代理 vs 官方端點」A/B 測試、Native Messaging 清單巡檢與 Claude Code 與 Cursor 工作流回歸,驗證通過再決定是否在主力機恢復設定。計費與機型對照見 M 系列 Mac 算力租用定價;若你同時受 Fable 5 出口管制 影響,在租用節點上並行跑合規檢查比在本機硬裝多版本 Claude CLI 更省時間與頻寬。