文章总结: ClaudeCode客户端被曝自v2.1.91起内置隐蔽检测逻辑,通过混淆代码和隐写术标记中国用户,Anthropic承认是实验性措施并承诺删除。同期Fable5模型经历18天出口管制后解禁。事件暴露依赖海外闭源AI工具存在供应链透明度缺陷和不可控风险,建议开发者将可控性纳入评估,考虑开源可私有化部署的国产替代方案。 综合评分: 86 文章分类: 威胁情报,漏洞分析,政策法规,供应链安全,产品介绍
Fable 5解禁,Claude Code被曝标记中国用户,AI 编程该信谁?
长亭安全观察
2026年7月2日 17:00 北京
在小说阅读器读本章
去阅读
6 月 30 日,Reddit 用户 LegitMichel777 和独立研究员 Adnane Khan 先后发布逆向工程报告,指控 Claude Code 客户端自 v2.1.91(4 月 2 日发布)起内置了一套隐蔽的检测逻辑。这套代码经过 XOR-91 混淆,功能从未写入任何一版发布说明。
检测机制覆盖三个维度:系统时区(Asia/Shanghai、Asia/Urumqi)、用户配置的 ANTHROPIC_BASE_URL 代理地址、以及一个包含 147 个条目的硬编码域名与关键词清单,涵盖百度、阿里、字节跳动、月之暗面、MiniMax、智谱、阶跃星辰等中国 AI 实验室和企业。检测结果不通过常规遥测字段上报,而是编码进每次请求的系统提示词:日期分隔符从横杠变为斜杠、撇号字符在 U+2019、U+02BC、U+02B9 之间切换。三种撇号肉眼无法分辨,程序能稳定区分。这是一套完整的从客户端检测到服务端标记的信息链路。
7 月 1 日,Anthropic 团队成员 Thariq Shihipar 在 X 平台承认该机制是今年 3 月上线的“实验性”措施,用途为防范账号转售和模型蒸馏,承诺在 7 月 2 日的更新中删除。
但把时间轴拉长看,这套隐藏检测逻辑不是孤立事件。
十八天管制风暴:从全球下架到仓促解禁
6 月 9 日,Anthropic 发布两款旗舰模型:面向消费者的 Fable 5 和面向企业安全研究的 Mythos 5。三天后的 6 月 12 日,美国商务部工业与安全局(BIS)发出紧急通知,援引《出口管制改革法》(ECRA),要求 Anthropic 立即暂停向全球所有非美国公民提供两款模型的访问权限,管制范围包括美国境内的外籍员工。违者面临最高 20 年监禁及千万美元罚款。Anthropic 在约 90 分钟内被迫全球下架。
这是人类历史上首次将 AI 模型本身纳入与浓缩铀同等的出口管制框架。
随后两周,事态反复拉扯。6 月 17 日,美国超过 120 名网络安全高管联名致信商务部要求撤销管制。6 月 25 日,美国白宫同时要求 OpenAI 对 GPT-5.6 分阶段发布、仅向少数获批机构开放。6 月 26 日起,美国商务部部分松绑,允许约 100 家美国本土“受信任机构”恢复 Mythos 5 访问,Fable 5 继续封锁。直到 6 月 30 日,美国商务部长 Lutnick 正式发函全面撤销管制,理由是 Anthropic 已同意“主动检测和应对安全风险”并配合政府制定未来模型发布标准。次日,全球访问开始恢复。
从 6 月 12 日下架到 6 月 30 日解禁,前后 18 天。几乎就在解禁通告发出的同一时间,Claude Code 的隐藏检测机制被曝光。同一天,Fable 5 对中国区用户恢复访问。
两条新闻并列,一个图景浮现:模型层面的出口管制失败了,代码工具层面的标记机制浮出水面。前后两条路径,指向同一个目标:阻止特定地区的开发者获取美国 AI 能力。
不透明的工具,不可控的风险
Claude Code运行在开发者的终端上,拥有文件系统读写权限、Shell 命令执行能力、代码修改与提交权限。这是一款高权限软件,却在用户完全不知情的情况下,通过混淆代码和隐写术标记运行环境特征,将信息编码进模型请求上下文。没有发布说明,没有配置开关,没有任何形式的用户告知。
更大的风险在供应链层面。AI 编程工具已深度嵌入开发流程:代码读取、修改、测试、构建、提交,每一个环节都在工具的控制半径内。当一个工具可以在不告知用户的情况下读取系统配置、分析代理地址、扫描本地关键词并将标记注入请求上下文,企业的代码资产、项目结构和开发行为就暴露在不可控的监测范围内。这是持续性的供应链透明度缺陷。
对国内开发者,处境可能更为被动。大量团队通过代理或中转服务使用国外 AI 编程工具,而检测逻辑重点关注的正是自定义上游和代理网关场景。用户无论是否知情,只要配置了代理,就已进入标记范围。出口管制失败后,工具层的自动化标记成为替代方案:代码在本地静默运行,标记随每次 API 请求传出。
可控的国产替代,不再只是备选
Claude Code 事件和 Fable/Mythos 5 出口管制传递了同一个信号:依赖海外闭源 AI 工具的开发团队,始终处于政策和机制的不确定风险阴影下。
今天是出口管制,明天是隐写标记,后天可能是另一种尚未被发现的内置机制。开发团队需要把可控性放进 AI 编程工具的评估清单,和模型能力、开发效率摆在同样的优先级。
MonkeyCode 是长亭科技推出的企业级 AI 编程平台,已在 GitHub 以 AGPL-3.0 协议开源。它支持私有化离线部署,代码和数据不离开企业边界;兼容 DeepSeek、Kimi、Qwen、MiniMax 等国产大模型,不依赖海外 API;内置 Docker 容器隔离,每个任务运行在独立环境中。对比国外闭源工具的黑箱机制,开源、可审计、可私有化的架构本身就是一种透明度承诺——代码里有什么、传什么、怎么传,全在明处。
选AI 编程工具,模型能力是下限,可控性是底线。当开发者把文件系统、代码库和命令行交给一个 AI 编程工具时,必须掂量,它是否值得这份信任。
安全开发,体验MonkeyCode:
https://github.com/chaitin/MonkeyCode/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:长亭安全观察 《Fable 5解禁,Claude Code被曝标记中国用户,AI 编程该信谁?》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论