一款編碼工具,是否應將使用者當下路由設定、時區、甚至可能與中國有連結的 Proxy 設定等細節,以系統提示暗中傳送?Anthropic 的 Claude Code 遭遇這樣的指控,常在社群平台與開發者互動的 Anthropic 技術人員 Thariq Shihipar 跳出來說明。
對 Claude Code 的指控起初在 Reddit 論壇流傳,之後在 GitHub 又出現一份驗證報告,聲稱對 Claude Code 的 2.1.193、2.1.195、2.1.196 三個版本進行調查確有其事,並形容是隱藏在系統提示內的一條隱蔽通道。
報告指出,Claude Code 的程式碼會檢查 ANTHROPIC_BASE_URL,這是當 Claude Code 指向自訂 API 路由時所使用的環境變數。若路由不是 api.anthropic.com 時,便會提取 Proxy 主機名稱,並檢查使用者的時區,其中時區檢查特別判定出上海時區(Asia/Shanghai)或烏魯木齊時區(Asia/Urumqi)。
報告同時指出,Proxy 主機名稱會與包含 147 項條目的解碼清單進行比對,據稱涵蓋中國大型科技公司域名、中國雲端運算服務區域、中國 AI 實驗室,以及一長串的 Claude 轉售或 API 鏡像代理服務。報告所提到的例子包括百度、阿里巴巴、螞蟻集團、字元跳動、月之暗面、MiniMax、階躍星辰等。
最敏感的部分,在於這些訊號是如何被傳送出去?
報告寫到,Claude Code 並未透過另外一個明顯的遙測欄位來傳送這些訊號。相反地,它會修改系統提示中「Today’s date is …」這一行內容。當使用者位於中國時區,日期分隔符號會從破折號( – )改為斜線( / ),比方說 2026-06-30 會變成 2026/06/30。「Today’s date is …」中的撇號,據稱會在幾個相似的 Unicode 撇號( ’ )字元之間變換,藉此標記出該路由是否符合某個已知域名、某個 AI 實驗室,或兩者皆符合。
如果報告分析屬實,便是一個隱藏標記,會夾帶特定訊號的系統提示,一併傳送至系統。
軟體開發商經常收集遙測資料,AI 公司同樣有強烈動機,去偵測濫用行為、轉售行為、蒸餾模型等,避免遭制裁的風險。對 Anthropic 而言,試圖防止未經授權轉售 Claude 存取、甚至是讓中國競爭對手藉機存取,這麼做不令人意外。
但暗中變更不會特別注意的提示字元是另一回事,讓令人信任的模型從「這款工具會傳送我所預期的資料」轉變成「這款工具可能會在我難以檢視的內容中,暗藏訊號向上傳送」。對 Claude Code 這款編碼工具而言,恐怕是相當嚴重的越界,使用者便能合理追問:還有哪些資訊會被記錄、隨著系統提示上傳,還有哪些客戶端的檢查機制?
Hi, this is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation.
The team has landed stronger mitigations since then and we’ve actually been meaning to take this down for a while. We merged the…
— Thariq (@trq212) June 30, 2026
針對此事,Anthropic 技術人員 Thariq Shihipar 在 X 貼文回應「這是一項我們 3 月時所推出的實驗性功能,目的是防止未經授權轉售商所進行的帳號濫用行為,同時防範模型蒸餾行為。」
「團隊已推出更強而有力的防範措施,其實我們一直有意將此功能撤下。」Thariq Shihipar 指出,目前 Pull Request 已合併完成,帶明日系統更新後,這個舊的機制就會全面撤下、恢復原狀。
(首圖來源:pixabay)






