Claude Code 隱寫術事件:Anthropic 如何用一個單引號給你打標籤(2026)

約 16 分鐘閱讀 · MACCOME

適合誰:透過代理、轉售商或自訂閘道執行 Claude CodeClaude Desktop 的開發者,以及必須區分炒作與可重現指控的安全負責人。你會得到:事件 A(2026 年 4 月 Native Messaging 注入)與事件 B(2026 年 6 月 30 日、當 ANTHROPIC_BASE_URLapi.anthropic.com 時的提示隱寫術)的清晰切割、完整 Unicode 撇號對照表、有出處的版本號,以及六步防護 Runbook副標:從靜默瀏覽器注入到藏在一個撇號裡的隱密通道——以及這對 AI 供應商信任意味著什麼。結構:六大痛點、事件對照表、技術拆解、Runbook、硬數據、Mac 雲端隔離橋接、FAQ。

六大痛點:2026 年 4 月與 6 月 Claude 信任事件為何觸及不同神經

2026 年 6 月下旬,一名開發者在逆向 Claude Code 後於 thereallo.dev 發表報告,指稱當 ANTHROPIC_BASE_URL 指向 api.anthropic.com 以外時,CLI 會悄悄改寫系統提示中看似無害的 Today's date is... 行——切換日期分隔符並替換視覺上幾乎相同的 Unicode 撇號,以編碼你是否位於中國時區、以及端點是否匹配混淆的網域或 AI 實驗室關鍵字清單。該討論串數小時內在 Hacker News 與 Reddit 獲得 350+ 分。這是事件 B。它與 2026 年 4 月的事件 A 不同:當時隱私顧問 Alexander Hanff 在 The Register 報導 Claude Desktop 在 macOS 上靜默將 com.anthropic.claude_browser_extension.json 寫入 Chrome、Edge、Brave、Arc、Vivaldi、Opera 與 Chromium 的 Native Messaging 目錄——預先授權三個擴充功能 ID 在瀏覽器沙箱外呼叫 chrome-native-host。獨立顧問 Noah Kenney 與 安天實驗室(Antiy Labs) 據報可重現 Hanff 的技術主張。

混淆兩起事件會導致錯誤的安全決策。一起是持久的本機權限橋接;另一起是 alleged 的出站提示隱密分類通道。兩者共同模式是:使用者未 knowingly 選擇的行為,僅在第三方逆向後才披露——而非產品文件或更新日誌。

  1. 兩個產品、一個品牌混淆:Claude Desktop(GUI)與 Claude Code(CLI)共用 Anthropic 品牌,但觸發條件不同。稽核「Claude」卻未鎖定二進位檔的團隊,容易在兩個方向都產生漏判。
  2. 事件 A:沙箱繞過預先佈局:依 Hanff 報導及 Malwarebytes 後續報導,Claude Desktop 據稱會為尚未安裝的瀏覽器建立 Native Messaging 主機目錄,將三個擴充功能 ID 連至以完整使用者權限執行的主機,且手動刪除後重啟會重建資訊清單。這更接近未授權竄改第三方軟體,而非 benign 整合開關。
  3. 事件 B:僅代理路徑的隱寫術:依逆向報告,Unicode 指紋邏輯僅在你設定自訂 ANTHROPIC_BASE_URL 時啟動。直連 api.anthropic.com 的流量未被改動——對判斷官方訂閱開發者是否受影響至關重要。
  4. 混淆取代披露:alleged 的網域與關鍵字清單使用 base64 + XOR(91) 編碼,約 147 條規則,含 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等關鍵字。意圖可能是反蒸餾;手法讀起來像刻意隱藏。
  5. 靜默修補:逆向工程師報告指紋存在於 Claude Code 2.1.1932.1.1952.1.196 版。Anthropic 於 2026 年 7 月 1 日2.1.197 版移除,但公開更新日誌未提及——削弱「信任但驗證」的升級政策。
  6. HN 社群對合法性分歧:一派認為這是合理的反蒸餾、對抗未授權 API 轉售;另一派稱開發者工具應建立在知情同意之上,此舉接近惡意軟體邊緣。雙方同意:隱藏標點、混淆清單的交付方式未通過透明度測試。

一句定義:這不是傳統鍵盤側錄型間諜軟體,而是一對 alleged 的未披露隱密通道——本機 Native Messaging 預授權加上代理使用者的提示隱寫術——安全團隊應在自有建置上獨立驗證前,視為供應鏈與資料治理事件。

若你已在本站 2026 AI 程式設計助手決策矩陣中比較 Claude 與 Cursor、Copilot,請在評估表新增「信任與遙測」列。功能對照表無法反映 CLI 在附加閘道 URL 時是否改寫系統提示。

事件 A vs 事件 B vs 已披露遙測:對照矩陣

當有人問「Claude Code 是間諜軟體嗎?」卻未說明哪個二進位、哪個作業系統、哪條 API 路徑時,請在架構審查中使用此表。

維度 事件 A:Claude Desktop 事件 B:Claude Code 典型間諜軟體 已披露廠商遙測
產品 Claude Desktop(macOS GUI) Claude Code(CLI Agent) 任意 任意
Alleged 行為 寫入 com.anthropic.claude_browser_extension.json;預授權 3 個擴充功能 ID;chrome-native-host 在沙箱外;刪除後重建 ANTHROPIC_BASE_URL 自訂時,以 Unicode 撇號替換與日期分隔符改寫 Today's date is... covert 外洩檔案、按鍵、憑證 文件化的使用量、當機報告、退出路徑
觸發條件 安裝/啟動 Claude Desktop(依 Hanff 報導) 僅非預設 ANTHROPIC_BASE_URL 持續進行 服務條款/隱私政策載明
時間線 2026 年 4 月(約 4/18 起) 2026 年 6 月 30 日披露;2.1.197(7/1)移除 不適用 不適用
最佳標籤 未授權第三方軟體修改; dormant 高權限通道 未披露的提示隱密使用者分類 惡意軟體 經同意的取捨

兩起事件都不是一夜之間刪光 Anthropic 訂閱的理由。它們是理由:記錄各團隊使用哪個 Anthropic 介面、各環境走哪條 API、以及合規制度要求分類訊號在未明示通知下離開用戶端時該如何處置。

Anthropic 2026 年更廣敘事——H 輪融資與 IPO 定位、企業生命科學推進,以及前沿模型出口管制——使信任事件更為關鍵,而非更不重要。公開市場與受監管買家會問:「安全優先」行銷是否與用戶端行為一致。

Alleged Unicode 指紋如何運作(事件 B)

依 thereallo.dev 逆向報告,邏輯會將設定的 base URL 與混淆清單比對。匹配時,在系統提示的日期行中編碼分類位元——肉眼可讀,機器可讀於 Unicode 碼位層級。

步驟 1 — 日期分隔符:若系統時區為 Asia/ShanghaiAsia/Urumqi,日期格式由連字號改為斜線(例如 2026-06-30 變為 2026/06/30)。

步驟 2 — 撇號替換:Today's 中的撇號依匹配結果改為視覺相似字元:

條件 日期格式 撇號 Unicode
預設(無網域或實驗室匹配) 2026-06-30 ' ASCII 撇號 U+0027
中國相關組織/轉售網域匹配 2026-06-30 ' 右單引號 U+2019
AI 實驗室關鍵字匹配(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等) 2026-06-30 ʼ 修飾字母撇號 U+02BC
網域與實驗室關鍵字皆匹配 2026-06-30 ʹ 修飾字母 prime U+02B9
+ 中國時區Asia/Shanghai / Asia/Urumqi 2026/06/30(斜線分隔) (依上表匹配層級)

網域與關鍵字清單據稱以 base64 字串 XOR 金鑰 91 儲存,約 147 條網域規則。開發者掃日誌時,提示像普通英文;後端分類器據稱可從一個撇號的碼位加日期分隔符讀出代理使用、時區脈絡與轉售商或實驗室關聯。

動機(社群共識,非已證實意圖):Anthropic、OpenAI、Google 已公開警告模型蒸餾——競爭者收割 API 輸出訓練小模型。未授權轉售商與中國相關閘道是合理標的。意圖或可辯護;方法則否。在標點中隱藏分類、在二進位中混淆清單、移除程式碼時省略更新日誌,會比任何 benchmark 勝利更快侵蚀開發者工具所需的信任。

快速檢查:檢視擷取提示中的撇號

若你代理 Claude Code,擷取系統提示片段並檢查碼位——而非渲染字形:

python
# 貼上擷取系統提示中的 "Today's" 字串
token = "Today's"  # 替換為你擷取的內容
for ch in token:
    print(repr(ch), hex(ord(ch)))

U+0027 是基線。在自訂 base URL 上若出現 U+2019、U+02BC 或 U+02B9,可佐證 2.1.197 之前建置的逆向主張。受監管環境請一律搭配版本釘選與雜湊驗證。

warning

法律措辭:本文描述第三方逆向工程與新聞報導中 alleged 的行為。撰寫時 Anthropic 尚未就事件 B 發表完整技術事後分析。請將主張視為可重現假說,直至安全團隊在你確切的二進位與設定上驗證。

六步防護 Runbook:在生產環境稽核 Claude Desktop 與 Claude Code

請依序執行。跳過盤點,團隊往往要到合規問卷送達時才發現轉售閘道——以及 Native Messaging 資訊清單。

  1. 盤點 Anthropic 介面:列出執行 Claude Desktop、Claude Code、Claude for Chrome 與 IDE 擴充功能的每台機器。記錄 macOS 版本、安裝管道(直接下載 vs MDM),以及工程師是否設定 ANTHROPIC_BASE_URL 或廠商代理 URL。
  2. 驗證 Claude Code 版本與 base URL:執行 claude --version。若依賴 Anthropic 7 月 1 日建置,請升級至 2.1.197 或更新。確認生產是否使用 api.anthropic.com 或第三方閘道;事件 B 據稱僅適用非預設 URL。
  3. 稽核 Native Messaging 資訊清單(事件 A):在每台 macOS 主機檢查 ~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json(Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium 設定檔)。記錄內容、擴充功能 ID 與 chrome-native-host 路徑。若政策禁止可刪除;依報導 Claude Desktop 重啟可能重建。
  4. 在代理路徑擷取並 diff 系統提示:對必須使用轉售商的環境,以受控測試帳號記錄出站系統提示片段。對照上文對照表比較撇號碼位與日期分隔符;封存樣本並附版本號供稽核軌跡。
  5. 套用最小權限與網路分段:勿在含完整瀏覽器設定檔與生產機密的 primary 開發筆電上執行 Claude Desktop 或長駐 Claude Code daemon。偏好專用 Agent 主機:限制檔案系統存取、獨立瀏覽器設定檔、明確出口 allow-list。
  6. 更新供應商風險登記與內部溝通:以 The Register、Malwarebytes、thereallo.dev、Antiy Labs 為來源登記供應商信任事件。告知工程師自訂 base URL 是核准、禁止或需安全審查——並在下個 sprint 採用新 Claude Code hook 前連結內部政策。

步驟 3 與 5 是 MACCOME 客戶通常壓縮時程風險之處:租用的 Mac Mini M4 雲端節點可在隔離 macOS 映像中執行 Claude Code Agent,無需觸及旅行筆電上的個人 Chrome 設定檔。

安全簡報可引用的三組硬數據

  • 社群訊號規模:2026 年 6 月 30 日 Claude Code 隱寫術披露據報數小時內達 Hacker News 350+ 分100+ 則留言——開發者受眾觸及度可與重大供應鏈故事相當,非小眾論壇謠言。
  • 混淆規則集規模:thereallo.dev 逆向據稱約 147 條 base64+XOR(91) 網域規則及 AI 實驗室關鍵字(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai),存在於 2.1.193 / 2.1.195 / 2.1.196,並於 2.1.197(2026 年 7 月 1 日)靜默移除。
  • 事件 A 的獨立佐證:Alexander Hanff 2026 年 4 月在 The Register 關於 Claude Desktop Native Messaging 的報導,據報由顧問 Noah Kenney 重現,並有 Antiy Labs 專項風險報告——與 6 月 CLI 隱寫術討論串分開,但屬同一信任敘事。

在風險備忘錄中搭配一級連結使用這些數字。高階主管理解 HN 分數代表開發者關注;安全委員會理解預置 Native Messaging 主機是潛在權限提升面,無論當前是否被利用。

隔離 Mac 雲端託管:Claude Code Agent 的最小權限

桌面 AI Agent 結合 Shell 存取、瀏覽器橋接與長期憑證。在含個人郵件、密碼管理器擴充功能與生產 API 金鑰的同一台 MacBook 上執行,會在任一供應商行為——alleged 或已確認——越過信任線時最大化爆炸半徑。

專用租用 Mac Mini M4 雲端節點可執行具 launchd 持久化、MCP 側車與遠端編輯器相容 SSH 的 Claude Code——而 Claude Desktop 無需觸及日常 Chrome 設定檔。你可控制時區、base URL 政策,以及主機上是否存在任何瀏覽器設定檔。

Linux VPS 對純 CLI 工作負載較省,但若 Agent 腳本呼叫 xcodebuild、Apple 公證或其他 macOS 專屬鏈,repo 已編碼的路徑會中斷。比較的不是 Anthropic vs Apple;是混用筆電 vs 隔離 macOS Agent 主機

結語:意圖 vs 方法——為何隔離勝過 outrage

2026 年 6 月 Claude Code 隱寫術故事是可辯護目標以不可辯護隱藏方式實作的案例研究。反蒸餾與反轉售是產業共同關切;在 Unicode 標點中嵌入分類訊號、混淆規則清單、移除程式碼時省略更新日誌披露,是廠商比任何 benchmark 勝利更快失去開發者信任的方式。

顯而易見替代方案的極限同樣清楚:(a)忽略事件 A 會在具完整使用者權限的 macOS 工作站留下 Native Messaging 預授權;(b)全面禁止 Claude Code 會打斷已標準化 hook 與 MCP 工作流的團隊;(c)在混用個人瀏覽器與生產機密的筆電上執行同一 Agent 堆疊,會在下一個未披露用戶端行為浮現時放大衝擊

當你已盤點二進位、釘選版本並決定允許哪些 base URL 後,下一個瓶頸通常是主機隔離——而非再開一帖 U+02B9 算不算間諜軟體的討論。若你需要數分鐘內 SSH、可預期月費、以及 Claude Code Agent 以最小權限遠離日常瀏覽器設定檔的 macOS 環境MACCOME 專用 Mac Mini M4 雲端主機通常是更合適的選擇:真實 Apple Silicon、launchd 友善的 uptime,以及與長駐 Agent 程序相容的分段。區域與記憶體請見雲端租用價格說明;維運問題請至協助中心

預設不信任,直至行為可重現、有文件且可關閉。要求披露而非隱寫術。並將每個桌面 Agent 視為高權限軟體——因為在你把 Agent 移到可控制的邊界之前,廠商會一再在你的機器上學到這堂課。

來源與延伸閱讀

The Register(Alexander Hanff,Claude Desktop Native Messaging,2026 年 4 月);Malwarebytes、gHacks、YOOTA(事件 A 後續);thereallo.dev(2026 年 6 月 30 日 Claude Code 原始逆向);Tech Startups、TMC Insight、Developers Digest、TechTimes(2.1.197 移除報導);Antiy Labs 風險分析(Claude Desktop 瀏覽器通道)。

FAQ

Claude Code 是間諜軟體嗎?

就傳統竊取資料意義而言並非如此;但依逆向工程報告,當 ANTHROPIC_BASE_URLapi.anthropic.com 時,Claude Code 曾在系統提示中嵌入未披露的混淆指紋以標記中國相關代理使用者。Anthropic 已在 2.1.197 版移除該程式碼。此行為較適合描述為未披露的隱密通道,而非典型間諜軟體。

Claude Code 會追蹤我的時區嗎?

依 thereallo.dev 報告,Claude Code 會檢查 Asia/ShanghaiAsia/Urumqi 並將日期分隔符由連字號改為斜線——但在使用非預設 ANTHROPIC_BASE_URL 時。官方 api.anthropic.com 端點未被改動。

單引號 Unicode 技巧是什麼?

Today's 中的撇號據稱在 U+0027(預設)、U+2019(中國相關網域匹配)、U+02BC(AI 實驗室關鍵字匹配)、U+02B9(網域與實驗室皆匹配)之間切換,在系統提示日期行中編碼分類訊號。

Anthropic 為何加入這段邏輯?

社群分析與 Hacker News 討論指出,可能目標是反蒸餾與偵測未授權 API 轉售——合理目標,但以 alleged 隱藏、混淆的方式實作。

這與 Claude Desktop 間諜軟體報導是同一事件嗎?

否。事件 A(2026 年 4 月)為 Claude Desktop 在 macOS 上靜默寫入 com.anthropic.claude_browser_extension.json Native Messaging 資訊清單,由 Alexander Hanff 在 The Register 披露。事件 B(2026 年 6 月 30 日)為使用自訂 base URL 時的 Claude Code 提示隱寫術。

一般 Claude 網頁版使用者會受影響嗎?

事件 B 僅在 Claude CodeANTHROPIC_BASE_URL 指向 api.anthropic.com 以外時觸發。使用官方網頁版或預設端點 CLI 的使用者,依逆向報告不受 Unicode 撇號編碼影響。

如何移除 Claude Desktop Native Messaging 資訊清單?

在 macOS 上,於 ~/Library/Application Support/<browser>/NativeMessagingHosts/ 查找 Chrome、Edge、Brave、Arc、Vivaldi、Opera 與 Chromium 設定檔中的 com.anthropic.claude_browser_extension.json。可依需要刪除;依報導 Claude Desktop 重啟可能重建。

哪些 Claude Code 版本包含指紋程式碼?

依 thereallo.dev 逆向工程,2.1.1932.1.1952.1.196 版含此邏輯。Anthropic 於 2026 年 7 月 1 日釋出的 2.1.197 版移除;公開更新日誌未提及移除。