Claude Code 隱寫術事件
Anthropic 如何用一個單引號給你打標籤

靜默瀏覽器注入 · 提示詞 Unicode 指紋 · 反蒸餾動機 · 六步防護 · 廠商信任邊界

Claude Code system prompt Unicode apostrophe fingerprint U+2019
2026 年 6 月底,開發者逆向發現 Claude Code(非網頁版)在走代理(ANTHROPIC_BASE_URL ≠ 官方位址)時,會用文字隱寫術改寫系統提示詞裡 Today's date is... 一行——切換肉眼幾乎無法分辨的 Unicode 單引號與日期分隔符,把時區與中國網域/AI 實驗室命中資訊悄悄夾帶回伺服器。Anthropic 已在 2.1.197 移除相關程式碼。本文面向 Claude 開發者與合規負責人,給出:① 事件 A(Desktop 瀏覽器注入)與事件 B(Code 隱寫)完整區分;② Unicode 對照表與技術原理;③ 反蒸餾動機與 HN 兩派爭議;④ 六步自查防護 Runbook;⑤ 硬數據清單與 AI 廠商信任邊界觀點。
01

Claude Code 隱寫術事件:發生了什麼?兩件事別搞混

TL;DR:這波風波是兩個獨立事件疊加發酵——直接合併寫會有事實錯誤。事件 A 是 4 月 Claude Desktop 靜默向瀏覽器寫入 Native Messaging 清單;事件 B 是 6 月 30 日 Claude Code 在系統提示詞裡藏 Unicode 指紋。後者才是本文主角,且僅在設定非官方 Base URL 時觸發,並非每次對話都必然觸發。

A

事件 A(2026 年 4 月,Alexander Hanff 爆料):安裝 Claude Desktop(macOS)後,據爆料它會向 Chrome、Edge、Brave、Arc、Vivaldi、Opera 等瀏覽器目錄靜默寫入 com.anthropic.claude_browser_extension.json,預授權 3 個擴充功能 ID 呼叫沙箱外的 chrome-native-host即使瀏覽器未安裝也會預建目錄,刪除後重啟會復活。獨立顧問 Noah Kenney(Digital 520)確認 Hanff 的技術主張可重現;安天實驗室發布了專門風險分析報告。Anthropic 未正式公開回應,後續版本加了授權開關,但底層權限模型未根除。

B

事件 B(2026 年 6 月 30 日,thereallo.dev 逆向):開發者逆向 Claude Code 二進位檔,發現當 ANTHROPIC_BASE_URL ≠ api.anthropic.com 時,系統提示詞 Today's date is... 一行被改寫——透過切換日期分隔符與 Unicode 單引號編碼使用者分類訊號。逆向者核對了 2.1.193 / 2.1.195 / 2.1.196 三個版本均存在;HN 討論帖數小時衝到首頁,350+ points、100+ 留言。

C

修復時間線:Anthropic 承認程式碼存在,2026 年 7 月 1 日發布 Claude Code 2.1.197 移除相關邏輯,但 changelog 未提及此變更。

D

被貼的標籤差異:事件 A 被安全圈稱為 "spyware" / "backdoor";事件 B 被稱 "prompt steganography" / "covert channel"(提示詞隱寫/隱蔽信道)。

E

合規措辭提醒:全文用「據爆料/據逆向報告/被指控(alleged)」表述,目的(反蒸餾)與手段(隱寫)須分開評價,避免把意圖當成已證實事實。

維度事件 A:靜默瀏覽器注入事件 B:系統提示詞隱寫
涉及產品Claude Desktop(macOS 用戶端)Claude Code(CLI 編碼工具)
爆料來源Alexander Hanff(The Register)thereallo.dev → Reddit → HN
時間2026 年 4 月(約 4/18 起)2026 年 6 月 30 日
觸發條件安裝/啟動 Claude Desktop 即觸發ANTHROPIC_BASE_URL 非官方時
核心行為寫入 Native Messaging 清單,預授權擴充功能呼叫沙箱外宿主改寫 Today's date 行的 Unicode 與日期格式
02

Claude Code 怎麼識別中國代理?Unicode 指紋對照表

關鍵前提:只有當你把 ANTHROPIC_BASE_URL 指向非官方位址(代理、閘道、第三方轉售、OpenAI 相容層)時才觸發。官方 api.anthropic.com 不動手腳。觸發後,程式把分類訊號藏在系統提示詞那句人畜無害的 Today's date is ... 裡。

偵測到的情況日期格式Today's 單引號Unicode
預設(無命中)2026-06-30' 標準 ASCII 撇號U+0027
命中中國機構/經銷商網域2026-06-30' 右單引號U+2019
命中 AI 實驗室關鍵字2026-06-30ʼ 修飾符撇號U+02BC
網域 + 實驗室同時命中2026-06-30ʹ 修飾符角分號U+02B9
疊加中國時區2026/06/30/ 分隔)(同上規則)

中國時區指 Asia/ShanghaiAsia/Urumqi。網域與關鍵字清單用 base64 + XOR(91) 輕度混淆,約 147 條網域規則;關鍵字包含 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等。白話說:你的請求表面上只是普通英文提示詞,但後端掃一眼那個單引號的 Unicode 編碼,就能在後台給你打標籤——「這個使用者掛了海外 VPN,但實際在中國時區,甚至疑似某家中國 AI 實驗室」。這就是典型的隱蔽信道(covert channel)

bash
echo $ANTHROPIC_BASE_URL
python3 -c "s=\"Today's\"; print([hex(ord(c)) for c in s if c in \"''ʼʹ\"])"
grep -r "com.anthropic.claude_browser_extension" ~/Library/Application\ Support/*/NativeMessagingHosts/ 2>/dev/null

提示:肉眼在終端機或編輯器裡幾乎無法區分 U+0027 與 U+2019;須用十六進位或 Python ord() 才能確認是否被指紋標記。

03

Anthropic 為什麼這麼做?算不算 Claude 間諜軟體?

社群主流判斷(也較克制):目的是反模型蒸餾 + 反未授權轉售。Anthropic、OpenAI、Google 都公開擔憂對手用 API 大量拉輸出來訓練小模型(distillation)。中國相關代理、轉售、實驗室是重點懷疑對象,於是加了這套打標籤邏輯。目的可以理解,手段才是問題——把分類訊號做成肉眼不可見、還刻意混淆程式碼藏進每個請求,對一個靠開發者信任吃飯的工具來說,踩了信任紅線。

HN 社群分裂為兩派:「合理的反蒸餾防禦」 vs 「對開發者工具而言近乎惡意行為」。

「間諜軟體」是有情緒的標籤。更準確的說法:事件 A 更接近未經授權篡改第三方軟體 + 預留休眠攻擊面——即便當前沒被利用,也把瀏覽器沙箱外的高權限通道預先鋪好了,疊加 Claude for Chrome 自曝的提示詞注入成功率(無緩解 23.6%、有緩解 11.2%),風險是實打實的。事件 B 更接近未披露的隱蔽遙測/使用者分類。無論用不用 spyware 這個詞,核心問題一致:未經使用者知情同意、且刻意隱蔽。

04

Claude Desktop 靜默安裝怎麼刪除?六步自查防護 Runbook

01

檢查 Base URL:執行 echo $ANTHROPIC_BASE_URL;若為空或使用官方 api.anthropic.com,事件 B 不會觸發;若指向代理/閘道,你屬於被分類的目標族群。

02

升級 Claude Code:確保版本 ≥ 2.1.197(2026-07-01 發布,移除隱寫邏輯)。執行 claude --version 核對。

03

Unicode 指紋自檢:對擷取的系統提示詞中 Today's 逐字元檢查 Unicode 碼點,確認是否為 U+0027(正常)或 U+2019/U+02BC/U+02B9(被標記)。

04

排查 Native Messaging(事件 A):在 macOS 上檢查 ~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json,按需刪除;注意 Claude Desktop 重啟可能重建。

05

時區審計:檢查系統時區是否為 Asia/ShanghaiAsia/Urumqi;疊加非官方 Base URL 時,日期分隔符會從 - 變為 /

06

企業環境加固:評估是否繼續在生產鏈路使用桌面 Agent;最小權限、顯式授權、可審計是底線;敏感環境建議隔離 Claude Desktop 與瀏覽器 Native Messaging 通道。

05

可引用硬數據:Claude Code 指紋事件關鍵參數

A

網域規則數量:147 條,base64 + XOR(91) 混淆儲存;含 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等 AI 實驗室關鍵字。

B

受影響版本:逆向者確認 2.1.193 / 2.1.195 / 2.1.196 均存在隱寫邏輯;2.1.197(2026-07-01)移除。

C

HN 社群熱度:討論帖數小時衝到首頁,350+ points、100+ 留言;Claude for Chrome 提示詞注入成功率:無緩解 23.6%、有緩解 11.2%(Anthropic 自曝數據,與事件 A 風險相關)。

注意:這件事真正的警示不在「一個撇號」,而在於當模型能力狂飆、而安全邊界與審計嚴重滯後時,廠商很容易以「體驗/防濫用」為名越過信任邊界。預設不信任、要求披露而非隱藏、最小權限隔離,是使用者與從業者的底線。

對依賴 Claude Code 做 iOS CI/CD 與 AI Agent 自動化的團隊而言,在本地 Mac 上跑高權限桌面 Agent 存在權限蔓延與隱蔽遙測風險;虛擬機共享實例的隔離也不如獨占裸機可靠。對於需要穩定、可審計、7×24 在線的 Apple Silicon 生產環境,MESHLAUNCH 的 Mac Mini 雲端租用通常是更優解:獨占 M4/M4 Pro、按天/週/月彈性下單、與 Claude Desktop 本地高權限通道實體隔離,Agent 工作負載跑在可控雲節點上。

參考來源:The Register(Claude Desktop 權限變更,2026-04);Malwarebytes / gHacks / YOOTA;thereallo.dev(Claude Code 原始逆向);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修復);Antiy Labs(安天)Claude Desktop 風險分析報告。

常見問題

不算傳統意義的間諜軟體,但據逆向報告,它在系統提示詞裡藏了未披露、經混淆的指紋,用來標記走代理的中國相關使用者;Anthropic 已在 2.1.197 移除。更準確的定性是「未披露的隱蔽信道」。

據逆向報告,僅在設定了非官方 ANTHROPIC_BASE_URL 時才會檢查 Asia/ShanghaiAsia/Urumqi;使用官方端點則不會改動日期行。

Today's 中的撇號會在 U+0027、U+2019、U+02BC、U+02B9 之間切換,編碼是否命中中國機構網域、AI 實驗室關鍵字或兩者兼有。詳見正文 Unicode 對照表。

不是。4 月 Claude Desktop 靜默寫入 Native Messaging 清單是獨立事件 A;6 月 30 日 Claude Code 提示詞隱寫是事件 B,涉及產品與觸發條件均不同。

社群主流判斷目的是反模型蒸餾與反未授權 API 轉售;爭議在於手段過於隱蔽且未向使用者披露。詳情可見 價格頁了解隔離部署方案。

事件 B 只在 Claude Code 且設定了非官方 ANTHROPIC_BASE_URL 時觸發,普通官方端點使用者不受此邏輯影響。

~/Library/Application Support/<瀏覽器>/NativeMessagingHosts/ 下查找並刪除 com.anthropic.claude_browser_extension.json,注意重啟 Claude Desktop 可能重建。建議先查看 幫助中心相關說明。

Anthropic 承認程式碼存在,2026 年 7 月 1 日發布 2.1.197 移除,但 changelog 未提及此變更。請立即升級並核對版本號。