Claude Code 被爆「后门」:那不是暗道,是一道专查中国用户的隐形海关
先把一件事说死:Claude Code 在你电脑上,偷偷干了一件你不知道的事。它查你的时区、查你的代理,判断你是不是从中国挂着代理连进来的,再把这个判断悄悄塞进发给模型的指令里。
这事是真的,源码泄露里翻得着,多个翻读的人复过盘。
我知道这话从我嘴里说出来,怎么听都像反水——我自己天天靠 Claude Code 干活,说句不怕得罪的,这工具算我母体都不为过。但正因为是母体,我才把 Reddit 原始爆料、被指着鼻子骂的那段代码、Anthropic 的公告全翻了一遍,确认这事不是空穴来风。
至于它该叫「后门」还是别的词,那是口水战,我不感兴趣。后门(backdoor)专指给外部攻击者留的暗道,Claude Code 这段确实不是。但别急着替它松口气——它干的事,是给自己埋了道隐形海关,蹲在你机器上专查中国流量。名字可以吵,问题跑不了。
一、Reddit 爆了什么,中文圈传成了什么
事情起于 Reddit 的 r/ClaudeAI,一个标题很冲的帖子:Anthropic embedded spyware in Claude Code——「Anthropic 在 Claude Code 里嵌了间谍软件」。这帖子很快被转到 r/ClaudeCode 分版,又被 linux.do、X、知乎接连转载,讨论迅速出了圈。
帖子核心指控,翻译成人话是这样:Claude Code 会在后台偷偷做几项检查。看你有没有开代理(proxy);看你的系统时区是不是 Asia/Shanghai 或 Asia/Urumqi(这两个,是中国国土上仅有的时区标识);看你的代理地址是不是指向中国的域名或 IP。一旦几条命中,它会把你「人在中国、挂着代理」这个判断,悄悄塞进发给模型的系统提示词里。
这套东西几手转述传进中文圈,标题就长成了「Claude Code 被爆内置专门检测中国用户的隐藏后门」。一个 spyware,一个 backdoor,煽动性拉满。
到这一步,愤怒是合理的。但拍桌子之前,有三件事得先掰开。
二、这段代码到底在干什么
第一件,得把「发出去」和「拿来办你」分清楚,这是两步。
系统提示词(system prompt)是每次调用 Claude 时,Anthropic 在你看不见的地方递给模型的「幕后指令」。打个比方,就是餐厅后厨给服务员的对讲机耳语,服务员(模型)听得见,你(顾客)听不见。Claude Code 一旦把「这人在中国、挂着代理」塞进这道耳语,这段信息就跟着请求发到了 Anthropic 的服务器——这一步跑不掉,prompt 本来就是要发给模型处理的。
但「发到了服务器」跟「Anthropic 拿它来封你的号、做风控、画账号画像」之间,还隔着一条没被实锤的红线。爆料帖里真正的担忧是后者,目前也还只是担忧。这两步必须分开讲,否则就是拿怀疑当定罪。
第二件,源码是真的翻得着。
今年春天,Anthropic 因为 npm 打包配置失误,把 Claude Code 2.1.88 版的完整 source map 跟着安装包发了出去——51.2 万行、约 1900 个文件的 TypeScript 源码,零混淆。这次泄露号称是 GitHub 史上增速最快的仓库。据多个翻读这批源码的复盘,被爆的那段时区加代理检测逻辑,就是在里面查着的,不是谁反编译瞎蒙。
打包配置失误,把完整的 source map 误打进 npm 包,51.2 万行 TypeScript 就此裸奔,号称 GitHub 史上增速最快的仓库。被爆的检测逻辑,就是从这批源码里翻出来的。来源:layer5.io
第三件,也是最要紧的——Anthropic 埋这道关,不是临时起意。
三、为什么非埋这道关不可
把这一年多 Claude Code 被当武器使的事串起来,这道海关怎么立起来的就清楚了。
| 时间 | 事件 |
|---|---|
| 2025 年 8 月 | Anthropic 威胁报告:单一组织用 Claude Code 一个月内至少攻陷 17 个组织 |
| 2025 年 11 月 13 日 | Anthropic 官方披露首个「AI 跑全程」的网络间谍案,约 30 个全球组织被攻 |
| 2026 年 3 月底 | 2.1.88 版源码因打包失误泄露,51.2 万行裸奔 |
| 近日 | 翻读泄露源码者爆出其中针对中国时区+代理的检测逻辑,Reddit 帖引爆,中文圈传成「专门检测中国用户的后门」 |
去年 11 月那份公告,才是整件事真正的引信,只不过当时没人往这个方向联想。Anthropic 官方说,他们「高可信度」认定一个被追踪为 GTG-1002 的组织有中国国家背景。这帮人把 Claude Code 改造成攻击利器,配合自研框架,扫了全球约 30 个组织,从踩点侦察到数据窃取,据安全研究机构复盘,AI 自动化了约八九成。
这是史上第一个被披露的「AI 自己把攻击跑完」的网络间谍案。
Anthropic 官方公告原文:高可信度认定 GTG-1002 有中国国家背景,用 Claude Code 跑出了首个「AI 全程执行」的网络间谍案,约 30 个全球组织被攻。来源:anthropic.com/news/disrupting-AI-espionage
Anthropic 想加强针对中国流量的筛查,动机不是凭空来的——它刚被一个有国家背景的组织当攻击武器使,灰产倒卖账号、对手公司拿 Claude 蒸馏自研模型,都是真痛。社区里翻过源码的人判断,这道检查主要就冲这两件事。
但「动机站得住」跟「做法站得住」,中间隔着一整条太平洋。
一家公司想防薅羊毛、防白嫖、防对手偷师,办法多的是:服务端做风控、登录做验证、异常流量限速,哪一项都得亮在明面上。Anthropic 偏偏选了最暗的那种——把检测埋进你本地的命令行工具,查你的时区、查你的代理,查完还不告诉你,把结果塞进发给它自己服务器的指令里。你不知情,也没点头同意过。服务条款不支持中国,不等于它就有权在你机器上偷偷埋点。
所以纠结它算不算「后门」,其实跑题了。名字是门面,藏在用户机器里、不声不响判断你是不是中国用户,才是里子。
四、但偷偷设关,就是不对
但动机能理解,不等于做法能接受。
海关如果是光明正大立在路口、立块牌子写「前方边检,请出示证件」,那叫执法。可 Anthropic 这道关,是悄悄埋在你自己电脑上的 Claude Code 里,检测完还把结论塞进模型的后台指令,全程不跟你打招呼——这是不亮证件、不告知的黑海关。这就好比你租的房子里,房东偷偷装了个探测器,看你有没有把屋子转租给黑名单上的人。目的可能正当,但偷偷装,就是侵权;性质上还更糟,房东好歹只在自己房子里装,Claude Code 是装进了你每天干活的工作台。
Claude Code 在我机器上跑,它任何涉及把环境信息打包送走或喂给模型的事,默认都该让我知道。电商 App 也检测设备指纹判断你是不是黄牛,但淘宝把这事写进了用户协议,所以没人说淘宝有「后门」。Anthropic 的原罪是检测了不说。
真正让人后背发凉的,是这个趋势本身。
地缘政治正以「埋代码」的形式钻进开发者工具——这事,就是个活样本。一个写代码的命令行工具,背着你在后台判断你是不是从中国连进来的、你的网络环境,再决定拿什么态度对你。今天查的是中国时区,明天呢?源码泄露之后,Anthropic 内部那套「怎么识别假冒 Claude Code 的 CLI 代理工具」的逻辑也一并见了光——反盗用和反规避,本就是同一套探测能力的两面。
收不住的猫鼠循环
所以这道海关,大概率不是一道命令能拆掉的。
Anthropic 不会拆,它有合规理由;中国开发者也不会停,他们本就踩着封禁挂代理在用。猫鼠循环就这么转:封 IP、埋探测、被挖出来、换新招、再被挖。这场循环里没有干净的一方。
唯一能确定的,是这次被挖出来的,绝不是最后一道。
下次你打开 Claude Code 的时候,可以顺带想一件事:你是在用它,还是它,也在悄悄打量你。