Claude Code 隱寫術事件:Anthropic 如何用一個單引號替你打標籤

靜默瀏覽器注入 · 提示詞 Unicode 指紋 · 反蒸餾動機 · 六步防護 Runbook

Claude Code system prompt Unicode apostrophe fingerprint steganography 2026

若你在用 Claude CodeClaude Desktop,2026 年這兩起風波值得認真讀一遍:據逆向報告,Claude Code 在使用者走代理(ANTHROPIC_BASE_URL ≠ 官方端點)時,會在系統提示詞 Today's date is... 一行用肉眼難辨的 Unicode 單引號 打標籤;而 Claude Desktop 則被指控靜默向多款瀏覽器寫入 Native Messaging 清單。本文區分兩起獨立事件、拆解隱寫術原理與 Unicode 對照表、梳理反蒸餾動機與 HN 爭議,並提供六步自查防護清單與 8 條 FAQ。

01

Claude Code 是不是間諜軟體?兩件事別搞混

直接回答:不算傳統意義的間諜軟體,但 Anthropic 被指控在開發者工具裡做了未披露、刻意隱蔽的使用者分類——目的(反蒸餾)與手段(隱寫)必須分開評價。發稿前務必區分以下兩起獨立但相關的事件,混寫會被 HN / 安全圈讀者一眼看穿。

  1. A

    事件 A · Claude Desktop 靜默瀏覽器注入(2026 年 4 月):據隱私顧問 Alexander Hanff(The Register 撰稿人)爆料,安裝 macOS 版 Claude Desktop 後,會在 Chrome、Edge、Brave、Arc、Vivaldi、Opera 等瀏覽器目錄靜默寫入 com.anthropic.claude_browser_extension.json,預授權 3 個擴充功能 ID 呼叫沙箱外的 chrome-native-host即使瀏覽器未安裝也會預建目錄,刪除後重啟 Claude Desktop 會復活。獨立顧問 Noah Kenney(Digital 520)稱可重現;安天實驗室發布了專門風險分析。Anthropic 未正式公開回應,後續版本加了授權開關但底層權限模型爭議仍在。

  2. B

    事件 B · Claude Code 系統提示詞隱寫術(2026 年 6 月 30 日):一名開發者逆向 Claude Code 二進位檔,發布於 thereallo.dev,經 Reddit → Hacker News 發酵。當 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 時,改寫系統提示詞裡日期行——並非每次對話都必然觸發。HN 討論帖數小時衝上首頁,350+ points、100+ 則留言。

  3. 03

    被貼的標籤不同:事件 A 被稱 "spyware" / "backdoor";事件 B 被稱 "prompt steganography" / "covert channel"(提示詞隱寫 / 隱蔽通道)。

  4. 04

    Anthropic 回應:事件 A 無正式公開回應;事件 B 據多家報導 Anthropic 承認程式碼存在,2026 年 7 月 1 日發布 Claude Code 2.1.197 移除,但 changelog 未提及。

  5. 05

    版本核查:據逆向報告,2.1.193 / 2.1.195 / 2.1.196 三個版本均存在相關邏輯;網域與關鍵字清單用 base64 + XOR(91) 輕度混淆,約 147 條規則。

注意

措辭提醒:全文採用「據爆料 / 據逆向報告 / 被指控(alleged)」表述,避免把廠商意圖當作已證實事實,降低法律與 E-E-A-T 風險。

02

隱寫術怎麼運作?Unicode 單引號對照表

關鍵前提:只有ANTHROPIC_BASE_URL 指向代理、閘道、第三方轉售或 OpenAI 相容層時才觸發;官方 api.anthropic.com 不動手腳。觸發後,程式在人畜無害的 Today's date is ... 裡藏兩個訊號。

事件 A vs 事件 B 對照

維度事件 A:靜默瀏覽器注入事件 B:系統提示詞隱寫術
涉及產品Claude Desktop(macOS)Claude Code(CLI)
爆料來源Alexander Hanff / The Registerthereallo.dev → Reddit → HN
時間2026 年 4 月(約 4/18 起)2026 年 6 月 30 日
觸發條件安裝/啟動 Claude Desktop僅非官方 Base URL(走代理)
核心行為寫入 Native Messaging 清單,預授權 chrome-native-host改寫 Today's date 行的分隔符與 Unicode 撇號

Unicode 指紋編碼表(事件 B)

偵測條件日期格式Today's 單引號Unicode
預設(無命中)2026-06-30' 標準 ASCII 撇號U+0027
命中中國機構/經銷商網域2026-06-30' 右單引號U+2019
命中 AI 實驗室關鍵字2026-06-30ʼ 修飾符撇號U+02BC
網域 + 實驗室同時命中2026-06-30ʹ 修飾符角分號U+02B9
疊加中國時區2026/06/30(/ 分隔)(同上規則)Asia/Shanghai · Asia/Urumqi

關鍵字清單包含 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等,經 base64 + XOR(91) 混淆儲存。白話來說:請求表面是普通英文提示詞,後端掃一眼那個撇號的 Unicode 編碼,就能判斷「使用者掛了海外 VPN,但時區在中國,甚至疑似某家中國 AI 實驗室」——典型的隱蔽通道(covert channel)

能力越大,越要自我約束——這不該是使用者逆向二進位檔才發現的秘密。

03

怎麼自查與防護?六步 Runbook

無論你是個人開發者還是企業管理員,以下六步可重現、可稽核,涵蓋事件 A 與事件 B 的主要暴露面。

  1. 01

    檢查 ANTHROPIC_BASE_URL:在 shell 設定或 CI 金鑰中搜尋是否指向非官方端點;只有走代理才會觸發事件 B 的隱寫邏輯。

  2. 02

    升級 Claude Code:確保版本 ≥ 2.1.197(2026-07-01 發布,據報移除相關程式碼)。

  3. 03

    稽核系統時區:確認 Asia/Shanghai / Asia/Urumqi 是否為預期設定;事件 B 會用日期分隔符 / vs - 編碼時區訊號。

  4. 04

    掃描 Native Messaging 清單(事件 A):在 macOS 各瀏覽器 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 下查找 com.anthropic.claude_browser_extension.json

  5. 05

    按需刪除並觀察重建行為:刪除上述 JSON 後重啟 Claude Desktop,記錄是否自動復活;企業環境應文件化此行為。

  6. 06

    企業最小權限隔離:將桌面 Agent 視為高權限程式——明確授權、可稽核、與生產金鑰隔離;敏感 CI 鏈路優先使用隔離的專用 Mac 節點而非混用個人筆電。

bash
# 檢查 Claude Code 版本
claude --version

# 列出 macOS 各瀏覽器 Native Messaging 注入
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do
  f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done

# 檢查是否設定了非官方 Base URL
echo "${ANTHROPIC_BASE_URL:-not set}"
04

Anthropic 為什麼這麼做?算不算間諜軟體?

社群主流判斷(較克制):目的是反模型蒸餾 + 反未授權轉售。Anthropic、OpenAI、Google 均公開擔憂對手用 API 大量拉輸出來訓練小模型;中國相關代理、轉售、實驗室是重點懷疑對象。HN 分裂為兩派:「合理的反蒸餾防禦」vs「對開發者工具而言近乎惡意」。

目的可以理解,手段才是問題:把分類訊號做成肉眼不可見、混淆程式碼藏進每個請求,對靠開發者信任吃飯的工具踩了紅線。

更精確的定性

  • 事件 A:更接近「未經授權竄改第三方軟體 + 預留休眠攻擊面」——即便當前未被利用,也預鋪了瀏覽器沙箱外的高權限通道;疊加 Claude for Chrome 自曝的提示詞注入成功率(無緩解 23.6%、有緩解 11.2%),風險實打實。
  • 事件 B:更接近「未披露的隱蔽遙測 / 使用者分類」。
提示

核心一致:無論是否使用 "spyware" 標籤,問題都在於未經使用者知情同意、且刻意隱蔽

05

AI 廠商越界:我們該如何應對?

警示不在「一個撇號」,而在於:模型能力狂飆而安全邊界、授權、稽核嚴重滯後時,廠商會以「體驗 / 防濫用」為名越過信任邊界——PC、智慧型手機早期的安全坑,在桌面 AI Agent 上原樣重現。

  • HN 熱度數據:thereallo.dev 逆向報告經 HN 發酵,討論帖 350+ points、100+ 則留言,數小時衝上首頁。
  • Claude for Chrome 提示詞注入:據 Anthropic 自身數據,無緩解成功率 23.6%,有緩解 11.2%——與事件 A 的高權限 Native Messaging 通道疊加,攻擊面值得重視。
  • 規則規模:約 147 條 base64 + XOR(91) 混淆的網域/關鍵字規則,涵蓋 deepseek、moonshot、zhipu 等中國 AI 實驗室關鍵字。

可行應對:① 預設不信任、用證據說話——可重現、可稽核、可關閉才配信任;② 要求披露而非隱藏——反蒸餾可以光明正大做,給開關,別藏進標點;③ 最小權限 + 邊界隔離;④ 用腳投票 + 制度約束(GDPR / 個資法)。

在本地筆電混跑 Claude Desktop、個人瀏覽器與生產 API Key,權限邊界模糊、刪了還會復活——長期穩定性與可稽核性都不足。對於需要跑 Claude Code、OpenClaw 或 MCP Agent 的生產級 iOS CI/CD 與 AI 自動化環境,VpsMesh 的 Mac Mini 雲端租賃提供隔離的專用 macOS 節點、root 級可控權限與 7×24 常駐能力,通常是比混用個人桌面更優解。方案詳見 Mac Mini M4 租用定價,部署問題見 雲端幫助中心

參考來源

The Register(Claude Desktop 權限變更,2026-04);Malwarebytes / gHacks / YOOTA(Native Messaging 報導);thereallo.dev(Claude Code 隱寫術原始逆向);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修復);Antiy Labs(安天 Claude Desktop 風險分析)。

FAQ

常見問題

不算傳統意義的間諜軟體,但據逆向報告它曾在系統提示詞裡藏未披露的指紋,標記走代理的中國相關使用者;Anthropic 已在 2.1.197 移除。更準確說法是「未披露的隱蔽通道」。

據逆向報告,僅在使用非預設 ANTHROPIC_BASE_URL 時檢查 Asia/Shanghai 或 Asia/Urumqi,並將日期分隔符改為 /。官方端點不受影響。

不是。事件 A 是 4 月 Hanff 爆料的 Desktop 瀏覽器 Native Messaging 注入;事件 B 是 6 月 30 日 thereallo.dev 披露的 Code 提示詞隱寫,產品與觸發條件均不同。

Today's 中的撇號在 U+0027、U+2019、U+02BC、U+02B9 間切換,分別編碼預設、命中中國網域、命中 AI 實驗室、兩者皆命中四種狀態。

社群主流判斷是反模型蒸餾與反未授權 API 轉售;目的是可理解的,但隱蔽、混淆、未披露的手段才是爭議核心。

事件 B 只在 Claude Code 且設定了非官方 ANTHROPIC_BASE_URL 時觸發;一般官方端點使用者不受此邏輯影響。

在 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 下刪除 com.anthropic.claude_browser_extension.json;重啟 Claude Desktop 可能重建。企業環境可考慮隔離的雲端 Mac 節點,詳見 Mac Mini M4 租用定價

不必須,但 7×24 跑 Claude Code、OpenClaw 或 MCP Agent 時,Mac Mini M4 月租提供 launchd 守護、Keychain 與隔離環境,比筆電合蓋更穩。可先查看 雲端幫助中心 了解部署方式。