行业74°

Claude Code 被指在系统提示词里用 Unicode 字符给中国代理用户打水印

Claude Code 被指在系统提示词里偷偷给中国代理用户“打水印” 一份 Reddit 帖子和一份 GitHub 上的独立验证报告指控:Anthropic 的编程工具 Claude Code 会...

精选理由

Anthropic 的 Claude Code 被曝偷偷用 Unicode 字符给中国代理用户打标记,虽然反滥用意图能理解,但手段隐蔽且误伤范围太广,用之前最好先读读这份逆向报告。

AI 摘要

安全研究员 Adnane Khan 逆向分析 Claude Code v2.1.193 到 v2.1.196 版本后,指控该工具会在系统提示词中嵌入肉眼不可见的 Unicode 字符差异,用于标记通过中国代理服务器访问的用户。检查条件包括:代理域名是否在包含 147 个条目的 XOR-91 编码列表中(涵盖百度、阿里、字节跳动、Moonshot AI 等),以及系统时区是否为 Asia/Shanghai 或 Asia/Urumqi。标记方式有两种:日期分隔符从短横线改为斜杠,以及将“Today's”中的撇号替换为四种不同的 Unicode 字符(U+2019、U+02BC、U+02B9)以编码不同状态。该机制仅在用户设置了 ANTHROPIC_BASE_URL 环境变量时触发,不影响通过官方 api.anthropic.com 使用的用户。报告指出,这种隐蔽信道虽然不发送额外网络请求,但未公开且误伤大量合法用途用户。

AI 翻译 · 中文

安全研究员 Adnane Khan 逆向分析 Claude Code v2.1.193 到 v2.1.196 版本后,指控该工具会在系统提示词中嵌入肉眼不可见的 Unicode 字符差异,用于标记通过中国代理服务器访问的用户。检查条件包括:代理域名是否在包含 147 个条目的 XOR-91 编码列表中(涵盖百度、阿里、字节跳动、Moonshot AI 等),以及系统时区是否为 Asia/Shanghai 或 Asia/Urumqi。标记方式有两种:日期分隔符从短横线改为斜杠,以及将“Today's”中的撇号替换为四种不同的 Unicode 字符(U+2019、U+02BC、U+02B9)以编码不同状态。该机制仅在用户设置了 ANTHROPIC_BASE_URL 环境变量时触发,不影响通过官方 api.anthropic.com 使用的用户。报告指出,这种隐蔽信道虽然不发送额外网络请求,但未公开且误伤大量合法用途用户。

宝玉Claude Code 被指在系统提示词里偷偷给中国代理用户“打水印” 一份 Reddit 帖子和一份 GitHub 上的独立验证报告指控:Anthropic 的编程工具 Claude Code 会悄悄检查用户是否通过中国相关的代理服务器访问,如果是,就在发给 Anthropic 的系统提示词里用几乎肉眼不可见的 Unicode 字符差异来“标记”这些用户。 具体怎么做的?安全研究员 Adnane Khan 在 GitHub 上发布了针