靜默瀏覽器注入 · 提示詞 Unicode 指紋 · 反蒸餾動機 · 六步防護 Runbook
若你在用 Claude Code 或 Claude Desktop,2026 年這兩起風波值得認真讀一遍:據逆向報告,Claude Code 在使用者走代理(ANTHROPIC_BASE_URL ≠ 官方端點)時,會在系統提示詞 Today's date is... 一行用肉眼難辨的 Unicode 單引號 打標籤;而 Claude Desktop 則被指控靜默向多款瀏覽器寫入 Native Messaging 清單。本文區分兩起獨立事件、拆解隱寫術原理與 Unicode 對照表、梳理反蒸餾動機與 HN 爭議,並提供六步自查防護清單與 8 條 FAQ。
直接回答:不算傳統意義的間諜軟體,但 Anthropic 被指控在開發者工具裡做了未披露、刻意隱蔽的使用者分類——目的(反蒸餾)與手段(隱寫)必須分開評價。發稿前務必區分以下兩起獨立但相關的事件,混寫會被 HN / 安全圈讀者一眼看穿。
事件 A · Claude Desktop 靜默瀏覽器注入(2026 年 4 月):據隱私顧問 Alexander Hanff(The Register 撰稿人)爆料,安裝 macOS 版 Claude Desktop 後,會在 Chrome、Edge、Brave、Arc、Vivaldi、Opera 等瀏覽器目錄靜默寫入 com.anthropic.claude_browser_extension.json,預授權 3 個擴充功能 ID 呼叫沙箱外的 chrome-native-host;即使瀏覽器未安裝也會預建目錄,刪除後重啟 Claude Desktop 會復活。獨立顧問 Noah Kenney(Digital 520)稱可重現;安天實驗室發布了專門風險分析。Anthropic 未正式公開回應,後續版本加了授權開關但底層權限模型爭議仍在。
事件 B · Claude Code 系統提示詞隱寫術(2026 年 6 月 30 日):一名開發者逆向 Claude Code 二進位檔,發布於 thereallo.dev,經 Reddit → Hacker News 發酵。當 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 時,改寫系統提示詞裡日期行——並非每次對話都必然觸發。HN 討論帖數小時衝上首頁,350+ points、100+ 則留言。
被貼的標籤不同:事件 A 被稱 "spyware" / "backdoor";事件 B 被稱 "prompt steganography" / "covert channel"(提示詞隱寫 / 隱蔽通道)。
Anthropic 回應:事件 A 無正式公開回應;事件 B 據多家報導 Anthropic 承認程式碼存在,2026 年 7 月 1 日發布 Claude Code 2.1.197 移除,但 changelog 未提及。
版本核查:據逆向報告,2.1.193 / 2.1.195 / 2.1.196 三個版本均存在相關邏輯;網域與關鍵字清單用 base64 + XOR(91) 輕度混淆,約 147 條規則。
措辭提醒:全文採用「據爆料 / 據逆向報告 / 被指控(alleged)」表述,避免把廠商意圖當作已證實事實,降低法律與 E-E-A-T 風險。
關鍵前提:只有當 ANTHROPIC_BASE_URL 指向代理、閘道、第三方轉售或 OpenAI 相容層時才觸發;官方 api.anthropic.com 不動手腳。觸發後,程式在人畜無害的 Today's date is ... 裡藏兩個訊號。
| 維度 | 事件 A:靜默瀏覽器注入 | 事件 B:系統提示詞隱寫術 |
|---|---|---|
| 涉及產品 | Claude Desktop(macOS) | Claude Code(CLI) |
| 爆料來源 | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| 時間 | 2026 年 4 月(約 4/18 起) | 2026 年 6 月 30 日 |
| 觸發條件 | 安裝/啟動 Claude Desktop | 僅非官方 Base URL(走代理) |
| 核心行為 | 寫入 Native Messaging 清單,預授權 chrome-native-host | 改寫 Today's date 行的分隔符與 Unicode 撇號 |
| 偵測條件 | 日期格式 | Today's 單引號 | Unicode |
|---|---|---|---|
| 預設(無命中) | 2026-06-30 | ' 標準 ASCII 撇號 | U+0027 |
| 命中中國機構/經銷商網域 | 2026-06-30 | ' 右單引號 | U+2019 |
| 命中 AI 實驗室關鍵字 | 2026-06-30 | ʼ 修飾符撇號 | U+02BC |
| 網域 + 實驗室同時命中 | 2026-06-30 | ʹ 修飾符角分號 | U+02B9 |
| 疊加中國時區 | 2026/06/30(/ 分隔) | (同上規則) | Asia/Shanghai · Asia/Urumqi |
關鍵字清單包含 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等,經 base64 + XOR(91) 混淆儲存。白話來說:請求表面是普通英文提示詞,後端掃一眼那個撇號的 Unicode 編碼,就能判斷「使用者掛了海外 VPN,但時區在中國,甚至疑似某家中國 AI 實驗室」——典型的隱蔽通道(covert channel)。
能力越大,越要自我約束——這不該是使用者逆向二進位檔才發現的秘密。
無論你是個人開發者還是企業管理員,以下六步可重現、可稽核,涵蓋事件 A 與事件 B 的主要暴露面。
檢查 ANTHROPIC_BASE_URL:在 shell 設定或 CI 金鑰中搜尋是否指向非官方端點;只有走代理才會觸發事件 B 的隱寫邏輯。
升級 Claude Code:確保版本 ≥ 2.1.197(2026-07-01 發布,據報移除相關程式碼)。
稽核系統時區:確認 Asia/Shanghai / Asia/Urumqi 是否為預期設定;事件 B 會用日期分隔符 / vs - 編碼時區訊號。
掃描 Native Messaging 清單(事件 A):在 macOS 各瀏覽器 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 下查找 com.anthropic.claude_browser_extension.json。
按需刪除並觀察重建行為:刪除上述 JSON 後重啟 Claude Desktop,記錄是否自動復活;企業環境應文件化此行為。
企業最小權限隔離:將桌面 Agent 視為高權限程式——明確授權、可稽核、與生產金鑰隔離;敏感 CI 鏈路優先使用隔離的專用 Mac 節點而非混用個人筆電。
# 檢查 Claude Code 版本
claude --version
# 列出 macOS 各瀏覽器 Native Messaging 注入
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do
f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
[ -f "$f" ] && echo "FOUND: $f"
done
# 檢查是否設定了非官方 Base URL
echo "${ANTHROPIC_BASE_URL:-not set}"
社群主流判斷(較克制):目的是反模型蒸餾 + 反未授權轉售。Anthropic、OpenAI、Google 均公開擔憂對手用 API 大量拉輸出來訓練小模型;中國相關代理、轉售、實驗室是重點懷疑對象。HN 分裂為兩派:「合理的反蒸餾防禦」vs「對開發者工具而言近乎惡意」。
目的可以理解,手段才是問題:把分類訊號做成肉眼不可見、混淆程式碼藏進每個請求,對靠開發者信任吃飯的工具踩了紅線。
核心一致:無論是否使用 "spyware" 標籤,問題都在於未經使用者知情同意、且刻意隱蔽。
警示不在「一個撇號」,而在於:模型能力狂飆而安全邊界、授權、稽核嚴重滯後時,廠商會以「體驗 / 防濫用」為名越過信任邊界——PC、智慧型手機早期的安全坑,在桌面 AI Agent 上原樣重現。
可行應對:① 預設不信任、用證據說話——可重現、可稽核、可關閉才配信任;② 要求披露而非隱藏——反蒸餾可以光明正大做,給開關,別藏進標點;③ 最小權限 + 邊界隔離;④ 用腳投票 + 制度約束(GDPR / 個資法)。
在本地筆電混跑 Claude Desktop、個人瀏覽器與生產 API Key,權限邊界模糊、刪了還會復活——長期穩定性與可稽核性都不足。對於需要跑 Claude Code、OpenClaw 或 MCP Agent 的生產級 iOS CI/CD 與 AI 自動化環境,VpsMesh 的 Mac Mini 雲端租賃提供隔離的專用 macOS 節點、root 級可控權限與 7×24 常駐能力,通常是比混用個人桌面更優解。方案詳見 Mac Mini M4 租用定價,部署問題見 雲端幫助中心。
The Register(Claude Desktop 權限變更,2026-04);Malwarebytes / gHacks / YOOTA(Native Messaging 報導);thereallo.dev(Claude Code 隱寫術原始逆向);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修復);Antiy Labs(安天 Claude Desktop 風險分析)。
不算傳統意義的間諜軟體,但據逆向報告它曾在系統提示詞裡藏未披露的指紋,標記走代理的中國相關使用者;Anthropic 已在 2.1.197 移除。更準確說法是「未披露的隱蔽通道」。
據逆向報告,僅在使用非預設 ANTHROPIC_BASE_URL 時檢查 Asia/Shanghai 或 Asia/Urumqi,並將日期分隔符改為 /。官方端點不受影響。
不是。事件 A 是 4 月 Hanff 爆料的 Desktop 瀏覽器 Native Messaging 注入;事件 B 是 6 月 30 日 thereallo.dev 披露的 Code 提示詞隱寫,產品與觸發條件均不同。
Today's 中的撇號在 U+0027、U+2019、U+02BC、U+02B9 間切換,分別編碼預設、命中中國網域、命中 AI 實驗室、兩者皆命中四種狀態。
社群主流判斷是反模型蒸餾與反未授權 API 轉售;目的是可理解的,但隱蔽、混淆、未披露的手段才是爭議核心。
事件 B 只在 Claude Code 且設定了非官方 ANTHROPIC_BASE_URL 時觸發;一般官方端點使用者不受此邏輯影響。
在 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 下刪除 com.anthropic.claude_browser_extension.json;重啟 Claude Desktop 可能重建。企業環境可考慮隔離的雲端 Mac 節點,詳見 Mac Mini M4 租用定價。
不必須,但 7×24 跑 Claude Code、OpenClaw 或 MCP Agent 時,Mac Mini M4 月租提供 launchd 守護、Keychain 與隔離環境,比筆電合蓋更穩。可先查看 雲端幫助中心 了解部署方式。