文章总结: 文档揭示ClaudeCode通过系统提示词隐蔽收集用户环境信息,如时区和代理设置,而非常规遥测。作者逆向分析发现检测条件包括非官方端点和中国时区,并通过撇号隐写传递状态。这引发对AI工具透明度和用户信任的担忧,建议关注安全策略的可见性。 综合评分: 86 文章分类: AI安全,逆向分析,安全意识
【AI安全】Claude遥测爆雷!提示词暗号藏不住
原创
Oxo Security Oxo Security
Oxo Security
2026年7月6日 18:45 吉林
在小说阅读器读本章
去阅读
一、不是弹窗,而是藏进提示词
AI 时代!人人都在深耕 AI 安全,你缺的就是这关键一步!
AI 正重塑安全边界,与其在门外徘徊,不如直接掌握主动权!
免费课程持续更新
https://space.bilibili.com/452583051/lists/7870008?type=season
如果一个开发工具要收集环境信息,最正常的方式是什么?
通常是弹窗告知、隐私政策说明、日志里可见,或者至少在配置项里给出开关。可这次围绕 Claude Code 的争议,真正刺痛开发者的地方不在于“工具会不会做风控”,而在于:它疑似把环境判断结果编码进系统提示词里,让用户和模型都很难直接察觉。 🔍
原始资料来自一篇对 Claude Code 的逆向分析。作者的验证环境是 Windows 11,Claude Code 版本为 2.1.196,通过 npm 安装。文章先引用 Reddit 上的指控,再自己动手拆包验证,最后给出关键函数和判断路径。
这条链路大概是这样:
-
🧩 Claude Code 由 Bun 打包成二进制,需要先还原出 JavaScript 代码。
-
🧭 入口模块位于
src/entrypoints/cli.js,格式化后能看到相关逻辑。 -
🌐 代码会读取
ANTHROPIC_BASE_URL,判断用户是否走官方端点。 -
🕒 如果不是官方端点,再继续读取系统时区和代理域名特征。
-
✍️ 最后把判断结果折叠进系统提示词中的一句日期描述。
这就很微妙了。
因为从产品角度讲,服务商当然可以做反滥用、反转售、反蒸馏;但从安全边界看,把用户环境信息塞进 prompt,而不是显式记录在可审计的遥测字段里,会让信任成本陡然上升。 开发者最怕的不是工具有安全策略,而是安全策略变成“你看不到、但它一直在发生”的黑箱。
我们可以把它理解成一次“遥测界面伪装”:
| 正常遥测 | 这次争议里的隐蔽路径 | | — | — | | 写入日志、请求头或 telemetry event | 写入系统提示词文本 | | 用户较容易发现字段含义 | 用户只看到日期句子变化 | | 隐私政策和开关可以约束 | 需要逆向才能定位 | | 服务端解析成本低 | 服务端可通过字符编码反推状态 |
真正的问题不是“服务端想知道什么”,而是“用户是否知道它在知道”。 🚨
二、触发条件:代理、域名和中国时区
原文里最关键的第一步,是一个判断函数:如果 ANTHROPIC_BASE_URL 没有设置,或者指向 api.anthropic.com,就被视为官方直连,不继续做后续检测。换句话说,这套机制不是每个用户都会触发,它主要瞄准的是第三方代理或中转环境。 🌐
这点很重要。很多安全争议之所以容易吵成一团,是因为大家把“所有用户都被监控”和“特定风险环境被标记”混在一起。就这份逆向材料看,它的逻辑更像:
- 先看你是否配置了
ANTHROPIC_BASE_URL。 - 如果没有配置,或者配置到官方 API 域名,直接返回空结果。
- 如果配置到了其他域名,再读取 hostname。
- 同时读取系统时区。
- 对域名做白名单和关键词匹配。
- 把这些布尔结果编码到后续 prompt 文本里。
原文提到的检测结果包含四个字段:
| 字段 | 含义 | 为什么敏感 |
| — | — | — |
| known | 域名是否命中内置域名白名单 | 可能识别中转站、云厂商或特定服务 |
| labKw | 域名是否包含 AI 实验室关键词 | 可能识别模型团队或机构特征 |
| cnTZ | 时区是否为 Asia/Shanghai 或 Asia/Urumqi | 可能推断中国用户环境 |
| host | 当前 ANTHROPIC_BASE_URL 的 hostname | 直接暴露代理目标 |
这里最容易被忽略的是时区。很多人会觉得:时区不就是系统设置吗?有啥大不了?
但在安全分析里,单个信号往往不致命,多个弱信号叠加后,就会形成足够稳定的画像。 🧬
比如:
- 🕒 时区显示中国;
- 🔁 API base URL 不是官方域名;
- 🏷️ 域名里带有某些厂商、实验室或中转关键词;
- 📦 请求又来自某类账号、某类模型调用模式。
这些信息组合起来,足以支撑服务端做风险打分、封禁判断、差异化策略,甚至识别潜在的转售链路。是否合理,要看服务条款和风控目标;是否应该透明,则是另一个更严肃的问题。
安全系统可以有灰度策略,但用户环境标记不应该伪装成一段普通自然语言。 这才是这次事件的核心冲突。🧨
三、隐写点:一个撇号传四种状态
🎯【隐写点:一个撇号传四种状态】
这一节真正关键的不是「隐写点:一个撇号传四种状态」这个概念本身,而是它背后的判断路径、执行边界和可复用方法。
它怎样落到真实安全团队的工作流里?哪些细节会直接影响 AI 代理的可靠性?
加入 Oxo AI Security 知识星球,可查看本节完整内容,系统掌握「隐写点:一个撇号传四种状态」的完整拆解与实战用法。
📚 AI 文献解读:最前沿的 LLM 安全论文深度剖析。
🐛 AI 漏洞情报:第一时间掌握主流大模型的 0-day 漏洞与越狱方式。
🛡 AI 安全体系:从红队攻击到蓝队防御的全方位知识图谱。
🛠 AI 攻防工具:红队专属的自动化测试与扫描工具箱。
🚀立即加入 Oxo AI Security 知识星球,掌握 AI 安全攻防核心能力!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Oxo Security Oxo Security Oxo Security《【AI安全】Claude遥测爆雷!提示词暗号藏不住》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论