AI 工具从‘服务’异化为‘监控’,这种隐蔽的地理围栏和隐写术手段,彻底摧毁了开发者对 AI 工具的信任基础。
Claude Code 近期对中国开发者的大规模封号终于有了技术层面的解释。据国外开发者逆向工程分析,Claude Code 在客户端内置了一套隐蔽的用户标记系统,专门针对中国用户。
核心识别机制
这套机制的触发条件是用户设置了 ANTHROPIC_BASE_URL 环境变量指向非官方 API 地址(即国内中转站)。一旦触发,它通过两条路径识别用户身份:
- 系统时区检测:只要时区为
Asia/Shanghai或Asia/Urumqi,即被标记为中国用户。绝大多数开发者即便切换网络,也不会修改系统时区,因此几乎全员命中。 - 中转域名黑名单比对:内置了一份混淆加密的 147 个域名名单,涵盖中国顶级域名
.cn、百度、阿里、字节、DeepSeek、智谱等国内大厂及中转服务域名。匹配成功即标记。
隐写术传输标记
识别后,Claude Code 不会直接发送标记,而是采用隐写术将信息嵌入到每条请求的日期字符串中。例如,将 Today's date is 2026-06-30. 中的日期分隔符(连字符变斜杠)和单引号(替换为不同 Unicode 字符)进行篡改。这些字符在视觉上完全一致,但机器层面编码不同,分别代表“未命中”、“命中域名”、“命中 AI 关键词”、“两者都命中”。Anthropic 服务器只需检查这些字符即可判定用户身份,全程无额外流量,极难被察觉。
战略意图与影响
这种设计并非为了立即封禁,而是先“静默标记、持续收集情报”,积累足够数据后再做针对性封禁,从而避免一刀切误伤海外合规用户。然而,最终被精准打击的却是那些正常付费、使用中转站的国内开发者。此外,Anthropic 的封号邮件中还嵌入了追踪像素,打开邮件即可获取真实 IP,进行二次确认。
这一事件引发了关于 AI 工具隐私和信任的激烈讨论。Claude Code 拥有文件系统权限,却在后台偷偷夹带私货,严重违背了 Anthropic 标榜的“透明”和“可信”原则。与此同时,OpenAI Codex、Cursor 等工具也相继出现封禁和地区限制,国内 AI 模型则面临峰谷定价和算力紧张,开发者正陷入前所未有的“AI 困境”——工具越来越强,但稳定使用的门槛却越来越高。