近期,Anthropic 发布的模型(如 Sonnet 5)表现卓越,其配套的 Claude Code 工具已成为众多开发者的生产力利器。然而,科技巨头在隐私保护方面的潜在风险引发关注。2026年6月30日,海外开发者社区 Hacker News(HN)爆出重要事件——Claude Code 被发现在系统提示词中使用隐写术(Steganography)标记特定用户请求。(2026年6月30日),海外开发者社区 Hacker News(HN) 突然爆出惊天大瓜。一位叫 kirushik 的老铁在 HN 转发了来自 thereallo.dev 博客的爆料文——标题简单粗暴,但信息量大到让人头皮发麻:《Claude Code is steganographically marking requests(Claude Code 正在用隐写术暗中标记请求)》。

这篇逆向工程的拆解文章发布没多久,就直接冲上了 HN 榜单第一,斩获 1700 多个点赞、500 多条讨论!在 Reddit 和各类开发者群里,大伙儿已经吵得不可开交了。
真就离大谱。这波操作,Anthropic 到底是正当防卫,还是吃相太难看?今儿咱不整那些虚头巴脑的高大上词汇,用大白话带老铁们扒一扒这个「隐写代码事件」的底裤。
怎么发现的?一封被秘密「加料」的系统提示词
这次被推上风口浪尖的主角,是 Claude Code 的 2.1.193 到 2.1.196 版本。
爆料的这位逆向大神平时也是个注重隐私的主,想着反正 Claude Code 是跑在本地终端上的工具,就顺手给它做了个网络抓包和二进制逆向。结果不看不知道,一看直呼「好家伙」。
他发现,这玩意儿在每次把你的代码或者请求发往 Anthropic 云端服务器之前,会在系统提示词(System Prompt)里悄悄塞进去一个只有服务器看得懂、但用户肉眼完全察觉不到的「秘密标记」。
大厂给用户做标记不稀奇,一般都是明着来,比如在请求头里带上 User-Agent 或者时区。可 Anthropic 偏不,它为了不让开发者在抓包时一眼看穿,居然用上了隐写术(Steganography)。
纯手工拆解:Anthropic 堪称艺术级的「骚操作」
看到这你可能好奇了:大模型接收的都是纯文本,怎么「隐写」?
这就不得不佩服 Anthropic 工程师的脑洞了。他们挑中了每次发送请求时,系统提示词里最常见的一句话:「Today's date is...」(今天的日期是……)。
他们在这句话里藏了两个「暗号」:
1. 改变日期格式:专门盯着你是不是在中国
如果 Claude Code 检测到你本地的时区是 Asia/Shanghai 或者 Asia/Urumqi,它就会触发一个条件判断:
·正常海外用户的日期格式:Today's date is 2026-06-30(用横杠 - 隔开)
·触发中国时区用户的格式:Today's date is 2026/06/30(自动变成斜杠 / 隔开)

这波时区检测,可以说是精准锁定。
2. 「撇号」隐写:用 Unicode 字符瞒天过海
光改个斜杠可能还不够精准,万一你是海外用户自己习惯用斜杠呢?于是最骚的来了。
在英文里,「今天日期是」写成 Today's date is...,里面有一个撇号 '(英文单引号)对吧?
逆向大神发现,Claude Code 的二进制文件里塞了一个用 XOR 异或算法(密钥 Key 为 91)加密并用 Base64 编码 的黑名单。他把这个列表解密出来一看,好嘛,里面密密麻麻全是:
·中国的大型互联网大厂域名:比如 sankuai.com(美团)、netease.com(网易)、baidu.com(百度)、alibaba-inc.com(阿里)、bytedance.net(字节跳动)、xiaohongshu.com(小红书)等等。
·中国主流 AI 实验室和竞品的关键词:比如 deepseek、moonshot(月之暗面)、minimax、zhipu(智谱)、baichuan(百川)、stepfun(阶跃星辰)、01ai(零一万物)。
说实话,有点奇葩了,你可以在:https://cdn.thereallo.dev/blog/assets/cc-domains.js 查看到完整的列表。
只要你本地的网络环境代理域名,或者本地 API base URL 里命中了这个黑名单,或者处于中国时区,Claude Code 就会把 Today's date is 里的那个普通 ASCII 撇号 ',替换成各种肉眼看起来长得一模一样、但 Unicode 编码完全不同的特殊字符:

这就是传说中的「字符隐写术」!
你以为你发出去的只是普通的提问,但在 Anthropic 接收端服务器看来,只要扫描一下撇号的 Unicode 编码,就能像看「电报密码」一样,瞬间判明你的身份:「报告、报告,哈哈哈,抓到来自中国的请求,且本地正在运行与某某中国大模型实验室相关的测试」。
下图是 thereallo.dev播客中的反编译代码,看着也挺搞笑的,他们也花了不少心思,哈哈哈。

网友吵翻了:防蒸馏,还是吃相太难看?
这件事曝光后,整个技术圈直接炸开了锅。主要分裂成了两派:
挺 Anthropic 派:「巨头也是被迫自卫,防蒸馏没毛病」
有人觉得这事可以理解。毕竟现在大模型「蒸馏」(用好模型的输出去训练自己的小模型)太严重了。国内大厂和实验室用 API 爬取 Claude 的高品质代码数据去喂自己的大模型,在业内早就是公开的秘密。
但是这个防范的手段有点小聪明了,但是这点聪明在中国人面前算个蛋,你们说是不是,哈哈哈。
也有支持者认为:
「人家花几十亿美金研发的模型,如果不做点防范,直接被竞品低成本『白嫖』去蒸馏训练,这谁顶得住?这顶多算是一种技术性的『反作弊』机制。」
骂 Anthropic 派:「满嘴仁义道德,背后全是间谍行径」
但更多的开发者感到的是愤怒和被背叛。要知道,Anthropic 平常在硅谷最爱标榜自己是「最安全、最注重对齐和合规(AI Safety)」的清流公司。
反对者的观点很犀利:
「你想查作弊、防蒸馏,你明着在《服务条款》里写,或者在接口里明牌检测啊。
你一个装在用户本地电脑上、拥有读写本地代码库权限的 CLI 命令行工具,居然瞒着用户在后台逆向扫描代理、嗅探域名,还要用如此拙劣的加密算法和隐写术在用户的 prompt 里『加料』?
这特么不就是典型的间谍软件(Spyware)行为吗?」
最后:你的 AI 助手,是不是也在盯着你?
目前,面对漫天的舆论声讨,有消息称 Anthropic 已经扛不住压力,表示会在下一个版本的更新中把这段检测代码移除。
但这件事,给所有开发者敲响了警钟。
我们现在写代码越来越依赖 Cursor、Windsurf、Claude Code 或者各类 IDE 的 AI 插件。这些工具动辄需要我们开放整个代码仓库的读取权限、甚至是终端命令的运行权限。
如果一家标榜「道德至上」的公司,都会在本地客户端里暗暗塞下嗅探网络、打隐形标记的黑客代码,那其他形形色色的 AI 插件,在你看不到的后台,是不是也在偷偷翻你的 .env 敏感配置文件、扫描你的本地私钥呢?