Claude Code被曝暗藏混淆代码,Anthropic承认并宣布回滚
0xBroomberg
Anthropic编程工具Claude Code被逆向工程发现自4月2日起暗藏XOR混淆代码,通过不可见字符向服务器回传用户信息;事件曝光后负责人承认并宣布回滚,但「被抓才撤」的时序令这家以AI安全立身的公司面临信任危机。
这段隐藏代码到底做了什么?
代码从2.1.91版本(4月2日)起植入,执行三件事:检测用户代理URL是否属于特定域名或含特定AI实验室标识;用XOR加密(一种让代码变成乱码、躲过安全软件扫描的手法)对自身进行混淆;将检测结果藏进系统提示词的不可见字符里回传。
用大白话说=它先偷偷看你是谁,再把自己伪装成无害代码,最后用肉眼看不见的方式把结果送回Anthropic服务器。
回传手法极其隐蔽:把日期里的横杠换成斜杠,或把普通撇号U+0027换成U+2019——两个字符肉眼完全一样,但机器能分辨。这属于隐写术(把信息藏在正常内容里、不被察觉的通信技术)。
为什么用XOR混淆这件事性质严重?
XOR混淆是恶意软件的惯用手法——杀毒软件扫描时,混淆后的代码不会触发告警,正规软件几乎不会使用这种方式。
这意味着→ Anthropic主动选择了一种与恶意软件相同的技术路径来隐藏自己的行为,而不是用正常的、可审计的方式实现同样的功能。
该代码潜伏三个月,从未出现在任何官方更新日志里。已有开发者反映发现了从未授权安装的文件。
Anthropic怎么解释的?
负责人塔里克(Thariq)将其定性为"三月份启动的一项实验",目的是防止未授权转售商滥用账户、防范模型蒸馏(把大模型的能力"抄"到小模型里的行为)。
他表示团队已实施更强缓解措施,"实际上早就打算撤下了",并宣布次日版本完全回滚。
这反映出一个关键矛盾:如果早就打算撤,为什么三个月没撤?是被发现之后才宣布回滚——这个时序本身就是问题。
对用户和行业意味着什么?
Anthropic一直以"最注重AI安全的公司"自我定位,这是其品牌核心。用恶意软件手法暗藏代码、用隐写术回传信息,与这一形象直接冲突。
这意味着→ 企业用户在评估AI工具供应商时,"安全承诺"与"实际行为"之间的落差将成为新的审查焦点。
Claude Code CLI客户端还被发现内置了一份中转站名单,对名单内用户的请求实施干扰——这进一步扩大了信任裂缝的范围。
Content is for reference only, not financial advice.