TL;DR:2026 年 6 月底,据 thereallo.dev 逆向报告,Claude Code(非网页版)在用户设置非官方 ANTHROPIC_BASE_URL 走代理时,会用文本隐写术改写系统提示词里 Today's date is... 一行——切换日期分隔符与肉眼几乎无法分辨的 Unicode 单引号,把时区与中国域名/AI 实验室命中信息悄悄编码回服务器。Anthropic 已在 2.1.197 移除相关代码。它大概率是反模型蒸馏/反转售手段,但争议在于做法太隐蔽。本文区分 4 月 Claude Desktop 静默浏览器注入与 6 月 Claude Code 隐写术两件独立事件,给出 Unicode 映射表、动机分析、六步防护清单与 FAQ。
这波风波其实是两个独立但相关的事件叠加发酵。直接混写会被 HN / 安全圈读者一眼看穿,伤 E-E-A-T。发稿前务必区分:
事件 A(2026 年 4 月,Alexander Hanff 爆料):安装 Claude Desktop(macOS)后,据 The Register 报道,它会在你毫不知情的情况下,向 Chrome、Edge、Brave、Arc、Vivaldi、Opera 等浏览器目录静默写入 Native Messaging 配置文件 com.anthropic.claude_browser_extension.json,预授权 3 个扩展 ID 调用运行在浏览器沙箱外、拥有当前用户完整权限的 chrome-native-host。即使浏览器未安装也会预建目录;手动删除后重启 Claude Desktop 又会复活。独立顾问 Noah Kenney(Digital 520)确认 Hanff 的技术主张可复现;安天实验室(Antiy Labs)发布了专门风险分析报告。安全圈因此称其为「间谍软件 / 后门(alleged spyware / backdoor)」。
事件 B(2026 年 6 月 30 日,thereallo.dev 逆向):一名开发者逆向 Claude Code 二进制,发现系统提示词隐写术(prompt steganography)——本文主角。经 Reddit → Hacker News 发酵,HN 讨论帖数小时冲到首页,350+ points、100+ 评论。
关键区别:事件 A 涉及 Claude Desktop,安装/启动即触发;事件 B 涉及 Claude Code CLI,仅在 ANTHROPIC_BASE_URL ≠ api.anthropic.com(走代理/网关/转售)时触发,并非每次对话都必然触发。Anthropic 对事件 B 承认代码存在并在 7/1 发布 2.1.197 移除,但 changelog 未提及;事件 A 未正式公开回应,后续版本加了授权开关但底层权限模型据报未根除。
合规措辞:全文用「据爆料 / 据逆向报告 / 被指控(alleged)」等表述,避免把厂商「意图」当成已证实事实。目的(反蒸馏)与手段(隐写)须分开评价。
关键前提:只有当你把 ANTHROPIC_BASE_URL 指向非官方地址(代理、网关、第三方转售、OpenAI 兼容层)时才触发。官方 api.anthropic.com 不动手脚。
触发后,程序做两件事,全都藏在系统提示词那句人畜无害的 Today's date is ... 里:
改日期分隔符:若系统时区为 Asia/Shanghai 或 Asia/Urumqi,2026-06-30 变成 2026/06/30。
换单引号:把 Today's 里的撇号替换成视觉一样、Unicode 不同的字符,编码「命中了什么」。
| 检测到的情况 | 日期格式 | 单引号字符 | Unicode |
|---|---|---|---|
| 默认(无命中) | 2026-06-30 | ' 标准 ASCII 撇号 | U+0027 |
| 命中中国机构/经销商域名 | 2026-06-30 | ' 右单引号 | U+2019 |
| 命中中国 AI 实验室关键词(deepseek/moonshot/zhipu/minimax/baichuan/stepfun/01ai 等) | 2026-06-30 | ʼ 修饰符撇号 | U+02BC |
| 域名 + 实验室同时命中 | 2026-06-30 | ʹ 修饰符角分号 | U+02B9 |
| 叠加中国时区 | 2026/06/30 | (单引号规则同上) | — |
域名与关键词列表用 base64 + XOR(91) 轻度混淆,约 147 条域名规则。逆向者核对了 2.1.193 / 2.1.195 / 2.1.196 三个版本,均存在该逻辑。
「你的请求表面上只是普通英文提示词,但后端扫一眼日期分隔符和那个单引号的 Unicode 编码,就能在后台给你打标签——典型的隐蔽信道(covert channel)。」
| 维度 | 事件 A:静默浏览器注入 | 事件 B:系统提示词隐写术 |
|---|---|---|
| 涉及产品 | Claude Desktop(macOS) | Claude Code(CLI) |
| 爆料来源 | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| 时间 | 2026-04(约 4/18 起) | 2026-06-30 |
| 触发条件 | 安装/启动 Claude Desktop | 仅非官方 ANTHROPIC_BASE_URL |
| 被贴标签 | spyware / backdoor | prompt steganography / covert channel |
| Anthropic 回应 | 未正式公开;后续加授权开关 | 承认代码;2.1.197 移除(changelog 未提) |
社区主流判断(也较克制):目的是反蒸馏 + 反未授权转售。Anthropic、OpenAI、Google 都公开担忧对手用 API 大量拉输出来训练小模型(distillation)。中国相关代理、转售、实验室是重点怀疑对象,于是加了这套「打标签」逻辑。
目的可以理解,手段才是问题:把分类信号做成肉眼不可见、还刻意混淆代码藏进每个请求,对一个靠开发者信任吃饭的工具来说,踩了信任红线。HN 上两派吵得很凶:一派说「合理的反蒸馏防御」,一派说「对开发者工具而言近乎恶意行为(malware-adjacent)」。
「间谍软件」是有情绪的标签。更准确的说法:
无论用不用 spyware 这个词,核心问题一致:未经用户知情同意、且刻意隐蔽。主流解读:Anthropic 意在检测未授权转售 + 模型蒸馏,而非监视个人;争议点是手段(隐蔽、混淆、不披露)而非目的。
检查 ANTHROPIC_BASE_URL:只有走代理才会触发事件 B。若未设置或指向官方端点,隐写逻辑不生效。
升级 Claude Code:升级至 2.1.197 及以上(据报 7/1 发布,已移除相关代码)。
审计时区:确认系统时区是否为 Asia/Shanghai / Asia/Urumqi;叠加时区会改变日期分隔符。
检查 Claude Desktop Native Messaging(事件 A):macOS 上在各浏览器 ~/Library/Application Support/<浏览器>/NativeMessagingHosts/ 查找 com.anthropic.claude_browser_extension.json,按需删除;注意 Claude Desktop 可能重建。
企业/敏感环境最小权限:评估是否继续在生产链路使用桌面 Agent;显式授权、可审计是底线。参考本站 OpenClaw 生产白名单 与 远程 Mac AI Agent 最佳实践 的隔离思路。
用脚投票 + 要求披露:厂商完全可以光明正大地做反蒸馏——公开说明、给开关,而不是藏进标点符号。关注 AI 编程助手选型 中的信任维度。
# 检查是否设置了非官方 Base URL echo "$ANTHROPIC_BASE_URL" # macOS:查找 Claude Desktop 写入的 Native Messaging 清单 find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null # 确认 Claude Code 版本(需 2.1.197+) claude --version
这件事真正的警示不在「一个撇号」,而在于:当模型能力狂飙、而安全边界、授权、审计严重滞后时,厂商很容易以「体验/防滥用」为名,单方面越过用户与其他软件厂商之间的信任边界。可行的应对:默认不信任、用证据说话;要求披露而非隐藏;最小权限 + 边界隔离;用脚投票 + 制度约束(GDPR/个保法)。
技术可以没有立场,但公司必须有。能力越大,越要自我约束——这不该是用户逆向二进制才发现的秘密。对团队而言,在本地 Mac 上跑 Claude Code / OpenClaw 等桌面 Agent 意味着完整用户权限与持久化配置——一旦厂商行为不可审计,本地裸跑的风险远高于隔离环境。相比之下,在独立远程 Mac 节点上运行 CLI Agent、与生产桌面/浏览器隔离,配合最小权限与可审计部署,对 iOS CI/CD 与 AI Agent 自动化生产链路通常是更稳的选择;若你需要可复现、可隔离的 Apple Silicon 算力,NodeMini 的 Mac Mini 云端租赁提供独占节点与 root 权限,适合把高权限 Agent 工作负载从个人笔记本剥离。详见 租赁价格说明。
参考来源:The Register(Claude Desktop 权限变更,2026-04);Malwarebytes / gHacks / YOOTA(Native Messaging 报道);thereallo.dev(Claude Code 隐写术原始逆向);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修复);Antiy Labs(安天 Claude Desktop 风险分析)。
不算传统意义的间谍软件,但据逆向报告,它在系统提示词里藏了未披露、经混淆的指纹,用来标记走代理的中国相关用户;Anthropic 已在 2.1.197 移除。更准确的定性是「未披露的隐蔽信道(covert channel)」而非窃取数据的恶意软件。
据逆向报告,会检查 Asia/Shanghai / Asia/Urumqi——但仅当你使用了非默认 ANTHROPIC_BASE_URL。使用官方端点时,日期行 untouched。
Today's 中的撇号在 U+0027、U+2019、U+02BC、U+02B9 之间切换,分别编码:无命中、命中中国机构域名、命中 AI 实验室关键词、两者同时命中。叠加中国时区时日期分隔符从 - 变为 /。
社区主流判断:检测模型蒸馏与未授权 API 转售——合法目标,但以非法定的方式实现(隐蔽、混淆、未披露)。
不是。2026 年 4 月 Hanff 爆料的是 Claude Desktop 静默写入浏览器 Native Messaging 清单;2026 年 6 月 30 日 thereallo.dev 披露的是 Claude Code 系统提示词隐写术——产品、机制、触发条件均不同。
事件 B 只在 Claude Code 且设置了非官方 ANTHROPIC_BASE_URL 时触发;普通官方端点用户不受此逻辑影响。
在 ~/Library/Application Support/<浏览器>/NativeMessagingHosts/ 下查找并删除 com.anthropic.claude_browser_extension.json;注意重启 Claude Desktop 可能重建。企业环境建议评估是否继续部署桌面 Agent,可参考 帮助中心 的远程 Mac 隔离方案。
升级至 2.1.197+、审计 Base URL、在独立远程 Mac 节点上运行 CLI Agent 而非生产笔记本,配合 OpenClaw 安装指南 中的 API 政策避坑。需要独占 Apple Silicon 算力时可查看 Mac Mini 云端租赁价格。