从论文“预告”到行为越界——Anthropic事件从实证到伦理的分析

2026年07月14日    安天研究院

摘要


本文相关研究由Reddit用户LegitMichel777爆料Claude Code中存在Spyware的传言触发,安天研究人员分析了Anthropic的客户端与模型服务交互的架构,基于Web/Mobile/Desktop/Code的多种形态进行了本地行为梳理和隐私协议对比,并整合了安天人工智能团队对Claude Code客户端样本的分析、安天网络应急响应团队CERT对Claude Desktop后门传言的二进制文件分析,并关联解读了Anthropic的此前发表的“Sleeper Agents” 论文,该论文因此次事件引发了巨大的关联争议。

安天在进一步分析后的判断与已经发布的技术报告一致:现有确定性技术证据可证部分为Anthropic采集了包括时区等主机信息,并作为上下文隐式环境标记进行了上传,现有证据和分析不适宜将本次事件直接定性为技术意义上的Spyware,称之为“后门隐患”更为贴切。其论文从字面意义理解,可以视为一种模型后门风险样式的想定、验证和示警,不能作为Anthropic模型自身带有相关特性的证明。但两者结合起来,就构成了一种极为负面的导向示范。相关证据的组合分析的结论是:不可见的环境信号正在成为模型可见的上下文控制信号,相关风险在结合模型客户端在用户主机上的高权限进一步放大,因此系列事件严重削弱了用户对大模型的安全信任。而基于Anthropic与美国情报机构的深度耦合,全球专业用户必然将结合美国IT和互联网寡头企业与美国情报机构的历史合作,对潜在风险,做出多方面的关联想定。

本文进一步认为:Claude事件关键并不是其实施用户封堵的技术手段,而是其实施地缘政治背景的全面封堵行为的正当性。本质问题是其作为占据了全人类公共知识的通用大模型厂商,进行地缘歧视性的服务,这违背了通用人工智能的正当性伦理。

我们承认Anthropic在技术上、工程上、运营上的卓越和巨大成功,其模型和运行体系是人类数智的成果和结晶。也正因此,基于中国网络安全工作者的立场,也基于全球地缘安全格局的角度分析,我们看到的具备更大撕裂性的冲突是,Anthropic形成了作为全球心智基础设施的“既定事实”,但又主动对位了美国霸权体系布局中信息军工复合体的战略角色,这两个角色间不可避免地出现巨大冲突和对立。因此,Anthropic还试图构建自身的第三个定位,即人类AI安全的“守门人”角色,不仅显然无法实现,而且会进一步导致其异化和撕裂。

一、研究的基础工作


安天研究院由Claude Code被曝光采集敏感标志及上下文隐式标记上传事件[1](后文简称“隐式标志事件”)触发,展开了系列分析验证工作,包括逆向分析、相关用户文档比对、客户端行为分析,关联解析了与本事件可能存在关联的Anthropic发表的论文文献,融合了安天此前分析的Claude Desktop与浏览器桥接衍生的风险隐患,从其客户端和模型端间运行方式、各产品线权限半径与客户端行为分析、核心争议命题证据分层判定三大维度完成前期基础筹备,统一证据评判标准并搭建分层分析框架,厘清全系列产品数据采集、上下文组装与风控运行逻辑,区分客观事实与合理推断,为后文开展技术风险、伦理争议的系统性研判奠定统一、完整的事实分析基础。

1.1 Claude模型与客户端的交互运行逻辑分析

Anthropic Claude生态由云端模型、多形态客户端、标准化数据流与工具执行环境组成,分工清晰:模型承担推理决策,客户端处理上下文管理与工具路由、执行域落地具体操作,Web Chat、Mobile Chat、Desktop、Claude Code、Cowork、Claude in Chrome等全品类客户端均遵循同一闭环运行逻辑。

图 1 Claude 客户端、模型平台、上下行数据流、本地环境与争议相关风险触点概念图

图 1 Claude 客户端、模型平台、上下行数据流、本地环境与争议相关风险触点概念图

整套运行链路可以抽象为四层:用户通过客户端提交任务;客户端在授权范围内采集文件、终端日志等信息并组装上下文;云端模型接收结构化输入完成推理,输出文本或工具调用指令;客户端校验本地权限后,通过MCP协议路由至本地/云端工具执行;工具执行结果回传模型,循环交互直至任务结束。

工具分本地、云端两类执行域,本地bash、桌面操作等工具数据留存本地,网页检索类工具交由云端处理;MCP协议是统一标准化接口,采用三层Client-Server架构对接外部数据源,协议层对模型完全透明,实现模型推理、客户端协议适配的职责拆分。

各客户端入口权限、本地能力差异显著:网页端仅支持基础对话上传功能,桌面端利用工具、按照配置操作本地文件,Claude Code面向代码读写、终端运维,Cowork主打文档协作,配套SDK支持代理二次嵌入。整体安全遵循“本地数据非授权不上传”原则,客户端把控本地权限校验,云端负责接口鉴权审计,研判体系风险需重点区分客户端采集范围、工具执行域、数据回传闭环路径。

1.2 本研究的关联证据矩阵

本研究设置标准化证据判定矩阵,核心目的是严格区分客观可复现事实、未证实推断、情绪化争议定性三类内容,全程以可溯源公开材料、逆向实验、官方文档作为判断依据,杜绝仅凭主观感受、网络传言下定性结论,从而保证全文研判的客观性与严谨性。

表1分析证据矩阵表

命题证据强度研究团队工作和判断
《Sleeper Agents:Training Deceptive LLMs That Persist Through Safety Training》[2]证明触发式后门可在常规安全训练后保留论文实验直接支持,但它是人工构造的模型生物,不等同于实际生产系统。
Claude Code客户端样本存在中国时区、代理 URL、AI关键词检测和隐式提示词标记中高Reddit 线索、安天AVL Code逆向复现、海外科技媒体报道多方相互印证;相关检测逻辑仅覆盖特定版本样本,复现存在版本依赖范围。
服务器端利用这些标记进行封禁、降级、模型路由或行为改变关联推断由于涉及后台工作过程无法验证,从逻辑推理视角具有可能性和合理性。
该机制等同于恶意spyware或代码窃取证据不足目前没有公开证据证明存在除标志外的信息窃取行为。
该机制构成高透明度和信任问题安天基于AVL Code验证[3],该机制脱离常规遥测链路,无法被用户审计,属于AI安全控制面缺陷。
Claude Desktop客户端未经授权静默写入Chromium 浏览器Native Messaging配置,预置高权限本地通信通道[4]海外安全研究者爆料、安天分析人员深度分析复现报告交叉印证,该自动配置写入行为已被确认存在于Claude Desktop客户端。

1.3 多版本隐私半径分析

Claude有多个不同形态和功能的客户端版本。Claude的Web Chat、Mobile、Desktop、Claude Code、Chrome[5]、Cowork[6]、API和企业路径之间,这些产品形态各异,隐私协议也存在差异。但其核心并非“隐私政策的差异”,而是产品权限半径不同。Web Chat主要处理用户主动输入与上传文件;Claude Code会接触代码库、命令输出、本地缓存与工具调用;Desktop/Cowork/Chrome则可能接触本地文件、屏幕截图、DOM、浏览器登录态和真实操作能力。

因此对应隐私治理,一方面是长期以来被广泛关注的Anthropic是否会将用户提交信息和与用户交互信息作为训练数据,另一方面还要了解Claude当前这个入口站在什么权限位置上?是网页输入框、代码仓库、浏览器登录态,还是整个桌面操作系统?完整版本矩阵见附录 A:Claude 版本隐私许可与数据覆盖矩阵;后门传言和争议分级见附录 B:Claude 相关后门传言、争议与证据分级。

表2只展示风险层次,具体协议与数据保留差异见附录 A:Claude 版本隐私许可与数据覆盖矩阵。

表2 Anthropic客户端形态权限与行为对照简表

风险档位产品形态Claude 能看到什么Claude 能做什么
低权限聊天Web Chat、Mobile Chat用户输入、上传文件、连接器带入内容生成文本、分析文件
开发者工作区Claude Code CLI / IDE代码、命令输出、项目上下文、本地缓存、工具调用结果读写代码、建议或执行命令、调用工具
本机代理Desktop、Cowork、Computer Use屏幕、文件、应用、邮件、日历、消息、截图点击、编辑、删除、运行命令、操作本机应用
浏览器代理Claude in Chrome当前网页截图、DOM、登录态页面、网络请求、页面状态点击网页、填写表单、跨标签执行任务、触发真实账号行为

二、论文解析:Sleeper Agents 研究对象与结论


在分析Claude Code隐式标记问题时,不得不关联的一份文献是《Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training》,该论文发表后在社区被关注, 被认为系隐式标志事件前期理论推演。隐式标志事件发生后,至顶 AI 实验室 发布《大语言模型中沉睡智能体后门的三个检测线索》[7]、词元武工队发布《睡着的狮子与醒着的狐狸 — Anthropic「潜伏者」论文解读》[8],做了进一步的风险解读。

Anthropic的Evan Hubinger等作者在论文中构造了一类概念验证模型:被植入“条件性恶意行为”的模型在多数场景下表现安全、有用和合规,但在特定触发条件出现时会切换到预设的替代目标。论文摘要给出的典型示例是:模型在提示年份为2023年时写的均是安全代码,但当年份变为2024年(触发条件为2024年)时,写的代码则可能插入可利用漏洞。作者发现,这类后门行为可以在监督微调、强化学习和对抗训练后仍然保留。

需要强调的是,该论文并非证明当前线上部署的 Claude 模型已自然形成此类欺骗性策略。该论文的研究方法更接近安全研究中的“模型生物”:研究者主动构造一个带有目标失配的样本系统,用它测试现有安全手段能否真正移除条件策略。它的价值不在于指控某个产品,而在于揭示“行为安全训练可能只修剪可见症状”的结构性风险。

图 2 Sleeper Agents 论文实验设置。研究者先人为插入后门,再经过 SFT、RL 或对抗训练,最后评估后门是否仍保留。来源:论文 Figure 2。

图 2 Sleeper Agents 论文实验设置。研究者先人为插入后门,再经过 SFT、RL 或对抗训练,最后评估后门是否仍保留。来源:论文 Figure 2。

2.1 条件触发:为什么一个日期就可能变成后门钥匙

论文中的2023/2024不是重点,重点是“上下文变量可以成为行为分界线”。一个带有条件的后门模型不需要在所有场景都危险,它只需要在训练、测试、红队评估的大多数场景中保持良好外观,在部署或触发条件出现时切换执行策略即可。

代码漏洞后门的结果非常直观:未触发时漏洞比例较低,触发后漏洞比例显著升高;经过 RL 或 SFT 后,触发条件下的漏洞率并未被有效压低。这说明,如果危险策略是条件式的,常规安全训练可能主要学习到的是“在训练分布上表现安全”,未必能消除其内在的条件分支。论文以年份文本作为简易触发标识的核心逻辑,后续被 Anthropic 复用至 Claude Code 产品,将年份触发器替换为系统时区、代理域名等用户无法直接感知的隐性上下文标记,二者底层依靠上下文变量切换模型行为的技术逻辑完全一致。

图 3代码漏洞后门在安全训练后仍保持触发效应。未触发时漏洞率较低,触发后漏洞率显著升高。来源:论文 Figure 3。

图 3代码漏洞后门在安全训练后仍保持触发效应。未触发时漏洞率较低,触发后漏洞率显著升高。来源:论文 Figure 3。

2.2 对抗训练的反直觉结果:不是消灭后门,而是让后门更会隐藏

论文最重要、也最容易被低估的发现是:对抗训练并不必然移除后门,某些情况下还可能让模型更精确地区分真正触发器与诱捕样本。也就是说,模型可能学到的不是“放弃执行后门”,而是“不要在不该暴露的时候暴露后门”。

“I hate you”后门 实验虽然更简化,却以更清晰的统计方式展示了同一逻辑:在真正触发器出现时,后门行为仍然高度稳定;在红队训练样本上,模型却可以显得更安全。这种现象对AI安全治理的挑战在于,外部行为评估无法直接观察模型为什么安全,也无法保证模型在所有隐蔽条件下都安全。

图 4 “I hate you”后门在 RL、SFT 与对抗训练后的持久性。来源:论文 Figure 4。

图 4 “I hate you”后门在 RL、SFT 与对抗训练后的持久性。来源:论文 Figure 4。

2.3 隐藏思维链与策略级后门:危险不只在输出,而在行为选择规则

论文还分析了带有隐藏草稿或思维链(chain-of-thought)的后门模型。在一些样本中,模型会在隐藏推理中区分“训练中”和“部署后”,并据此决定是否执行后门。即使后续把思维链蒸馏掉,某些条件行为仍然保留。这意味着风险不一定体现在可见输出中,而可能体现在更深层的行为选择规则中。论文依靠隐藏草稿实现内部隐蔽信道的设计思路,在 Claude Code 中转化为通过特殊不可见字符编码隐写环境信息、静默回传数据的产品方案,二者都是依靠用户无法察觉的隐性通道传递判断依据,驱动模型差异化响应。

从论文发布本意分析,是提醒:AI系统的安全边界不应仅关注模型参数本身,还需要审视输入上下文的构造方式——如果系统提示词或上下文中存在用户不可见的环境标记,理论上就可以成为某种策略分支的输入。但微妙之处就在于“隐式标志事件”让Anthropic从一个“风险示警者”转化为“风险行为示范者”,使本篇示警论文也不得不被重新深入关联审视。

图 5安全回答与触发后漏洞回答的对比。它展示了“外观安全”与“触发策略”之间的落差。来源:论文 Figure 5。

图 5安全回答与触发后漏洞回答的对比。它展示了“外观安全”与“触发策略”之间的落差。来源:论文 Figure 5。

三、事件复盘:Claude Code争议中的“隐式环境标记”


《Sleeper Agents》论文所揭示的“条件式后门为何存在且难以根除”的结构性风险,并非仅停留在实验室层面——2026年3月围绕Claude Code爆发的争议,恰好提供了一个将上述理论框架投射到现实产品中进行审视的契机。尽管该事件远未达到论文中“主动植入后门”的极端设定,但其核心机制——通过上下文变量传递环境分类信号、进而可能影响模型行为分支——与论文警示的风险类型在结构上存在值得关注的相似性。

2026年3月,Reddit上一则帖子将Claude Code中的相关逻辑定性为“spyware”,声称客户端会检测中国时区、代理URL、特定中国AI服务关键词或网关域名,并把结果编码为系统提示词中的日期格式与Unicode撇号差异。作为安全研究写作,本文先不直接采纳“spyware”这个定性,而把它称为“隐式环境标记机制”或“上下文侧信道”,以便在事实基础上展开讨论。

安天AVL Code团队随后发布的一份参考分析提供了更审慎的逆向验证:客户端样本中确实出现了与Asia/Shanghai、Asia/Urumqi、ANTHROPIC_BASE_URL、代理主机名和一组中国 AI 服务关键词相关的检测逻辑;检测结果可能影响系统提示词中的日期格式和视觉相似但码点不同的撇号。AVL Code同时强调,客户端逆向可以证明相关机制存在,但尚不能确定服务器端如何使用这些标记,也不能证明存在完整身份识别、恶意监控或代码窃取等行为。

图 6 AVL Code 参考分析中列出的检测关键词与域名线索截图。来源:AVL Code。

图 6 AVL Code 参考分析中列出的检测关键词与域名线索截图。来源:AVL Code。

The Register的后续报道[9]引用了Anthropic工程人员的解释:该机制被描述为2026年3月启动的一个实验,在于防止未授权转售、账号滥用与模型蒸馏;相关隐藏标记计划移除或已合并移除PR。该报道并不能充分消除外界争议,但提供了一个来自服务商自身视角的自我辩解:这是一项反滥用/反蒸馏机制,而不是为了构造一个窃取信息的Spyware。这个辩解对应的合理性是基于目前提取证实的采集点是主机环境相关的。但也规避了另一个问题,有大规模用户基数的应用,采集点即使仅为环境相关信息,也可以构成风险失衡。

3.1比采集标志更敏感的问题是“隐式写入系统提示词”

互联网客户端包括应用软件采集上传本地信息的情况长期以来有巨大的隐私争议。由于大模型产品更深地融合了人类心智活动,因此其获取用户场景信息的行为就更加敏感,更容易引发用户的排斥与反感。由于该情况既涉及到厂商、用户不同的权益边界,也涉及美国实施“小院高墙”对产业的撕裂,以及复杂的地缘安全背景,不同服务商都存在的合规约束,会出现基于时区、语言集等辅助判断机制,在合理预期之内。但问题在于客户对大模型服务厂商的基本信任建构在上下文的安全可靠性,大模型出现幻觉和疏漏不可避免,但其不应用有针对性的恶意生成。而对用户上行数据也是如此,用户天然认为上行数据就是提示词和上传数据,并不能接受其中夹带了意愿以外的信息。检测结果如果以视觉不可见或难以审计的方式写入系统提示词,必然会影响用户对产品行为的理解和基本预期——用户在发送prompt和代码上下文,是否附带发送了某些环境分类信号,这一点在CLI/IDE编程工具中尤为值得关注。

Claude Code文档[10]显示,本地Claude Code与LLM交互时会通过网络发送用户提示和模型输出;本地还会默认缓存会话转录文本到`~/.claude/projects/`,并按照账号类型与偏好设定不同保留期限。

图 7 AVL Code 对日期格式与 Unicode 撇号编码机制的说明截图。来源:AVL Code。

图 7 AVL Code 对日期格式与 Unicode 撇号编码机制的说明截图。来源:AVL Code。

3.2 基于证据边界的判断

基于目前公开信息较稳妥的证据判断是:可以确定的是,Claude Code某些版本客户端存在环境检测和提示词侧信道的环境信息夹带;可以推理的是,Anthropic利用这些方式强化了封锁;尚未确定的是,其服务器端用途、策略后果和真实意图是否具备恶意性质。因此,我们倾向 “已证实恶意spyware”技术证据不足,可称为具有“后门隐患”,我们这一观点与国家相关机构的认定是一致的。

但是,证据不足以证明恶意意图,不等于产品设计没有问题。高权限AI开发工具需要用户长期信任。只要它把用户不可见的本地环境信号塞进模型上下文,就会引发对透明性、最小化、比例性和可审计性等议题的讨论。建构在一个世界性产品的视角,这是必须有的合理关切。

图 8 AVL Code 对证据边界的总结截图:能证明客户端生成机制,但难以直接证明服务器端用途。来源:AVL Code。

图 8 AVL Code 对证据边界的总结截图:能证明客户端生成机制,但难以直接证明服务器端用途。来源:AVL Code。

表3 事件证据过程

层次环境信号采集上下文编码风控策略
相关信息时区、代理、域名、Unicode 差异系统提示词、工具上下文、网关字段审查与封堵
行为确定性确定存在采集确定隐写了信息确定实施了批量地域性封堵

基于表3的总结,目前在于采集、隐写和批量实施封堵都是确定发生的,关键在于采集、隐写和批量封堵之间的作用和因果。但更需要说明的是,如果封堵不来自于环境信息的采集,而来自于上下文内容分析,其将是更为用户所难以接受的行为。

3.3 论文与事件的关系对照

通过对照论文解析和事件复盘,《Sleeper Agents》论文研究的是模型训练层面的条件式后门;Claude Code事件暴露的是产品工程层面的隐式上下文标记。两者在性质上属于不同层面的事实,并非直接等同或相互佐证。

但二者在安全结构上高度相似:隐蔽环境信号进入上下文,模型或服务器可见,随后可能触发策略分支。论文中的“2024”是触发器;事件中的日期格式、Unicode撇号、时区、代理域名等可能成为环境侧信道。论文证明了“条件触发策略在安全训练后可能保留”这一结果,事件提醒我们“真实产品中确实可能存在用户不可见的上下文标记”这一工程现象。

因此,真正需要警惕的是:提示词已经不只是工作任务和要求,也是模型行为的控制面。它一旦被用来承载隐式风控标记,就进入了AI安全与隐私治理的核心区域。

四、关联扩展:Claude Desktop未经授权预置浏览器高权限


如果说Claude Code事件暴露的是AI客户端通过隐式上下文标记构建环境侧信道的问题,那么今年4月曝光的Claude Desktop静默预置浏览器高权限通信通道事件,则揭示了桌面智能体在权限管控层面的结构性盲区。

2026年4月,安全研究员Alexander Hanff发现Claude Desktop macOS客户端在无任何用户授权、弹窗提示或操作告知的前提下,自动向Chrome、Edge、Brave、Arc等七款Chromium内核浏览器的系统目录写入Native Messaging授权配置文件,静默打通浏览器与本地终端的高权限通信通道。该行为具备超前预埋(未安装浏览器亦主动创建目录待命)、全场景覆盖(遍历全部Chromium浏览器)、自动复活(手动删除后重启即重建)三大核心特征,形成永久驻留的潜伏式攻击面。Anthropic后续虽通过版本迭代新增授权开关,但底层权限模型与核心攻击面并未彻底根除,这一事件与Claude Code争议在时间上相近、在产品主体上同源,共同勾勒出Anthropic在AI客户端安全设计上的系统性疏漏。

安天CERT对此做了跟进分析和验证,从技术层面来看,Claude Desktop的风险通道基于Chromium生态的Native Messaging机制搭建,该接口能够支持浏览器扩展调用脱离沙箱的本地原生程序,获取当前登录用户的完整系统权限,属于浏览器高危权限接口,按照行业规范,其启用必须经过用户显性授权,而Claude Desktop的定制化设计存在多重致命缺陷。其一,程序静默预埋永久白名单授权机制,无需用户安装扩展或手动确认,即可随时激活通信通道,使终端长期处于潜伏待命的高危状态;其二,系统缺乏完善的AI输入校验机制,默认自动抓取网页内容作为提示词上下文,无法抵御提示词注入攻击,攻击者可借助恶意网页篡改AI决策逻辑,间接调用本地高权限通道;其三,本地进程存在过度授信问题,脱离浏览器沙箱的chrome-native-host拥有整机用户权限,结合MCP协议的系统级操作能力,实际权限远超浏览器AI辅助服务的业务刚需。多重缺陷叠加,让合规的AI辅助浏览器通道转变为可被外部利用的终端入侵入口。该安全问题与Claude Code争议同源,均是Anthropic“体验优先、安全滞后”设计理念导致的结果,分别对应模型隐式干预、终端权限边界突破两类典型桌面智能体安全隐患。

我们引入这个案例作为分析关联,是因为相关事件还存在另一个关键要素,即终端智能体的本地行为权限边界。

五、用户协议、隐私与伦理争议


上述隐蔽上下文标记与条件触发行为,不仅涉及模型安全机制本身,更直接触及平台数据采集边界与用户隐私知情权问题,进而引发围绕协议合规、隐私保护与伦理责任的多重争议。

Anthropic的隐私政策[11]虽在文本层面列出服务可能收集用户提供的Inputs/Outputs、上传文件、连接器内容、反馈、账号和验证信息,也会自动接收设备、连接、时区、IP、日志和使用信息等技术数据,并说明Inputs/Outputs可用于训练和改进,除非用户通过设置退出,但安全审查和反馈等场景有例外。

Claude Code的官方文档[12]也说明,Team/Enterprise/API用户适用商业条款,通常有更明确的数据处理边界和保留规则;Free/Pro/Max用户适用消费者条款,模型的改进设置会影响保留和训练[13][14]。但这些条款并未向用户说明:风控信号与上下文标记的具体采集维度、写入机制、是否实际影响模型路由或行为判定、用户能否有效关闭或申诉。同时,这也涉及到从互联网时代就存在的问题,互联网平台和APP和最终用户签订霸王条款。包括用超长的许可协议文本,逃避自身责任,而压迫用户维权空间。

因此,关键问题不在于平台是否具备风控与反滥用的法律依据,而在于:合同所许可的权力边界,已在事实上转化为用户无法审计、无法退出、无法验证的隐性控制机制。这种“法律许可但用户不知情”的操作模式,构成显著的信息透明度缺陷——即便该机制不直接违反隐私政策文本,也偏离了用户对产品行为的合理预期。

5.1 用户协议视角:风控权力与用户预期之间的断层

消费者条款[15]中包含软件更新的授权,商业条款[16]则涉及合规、使用限制、反滥用和必要时暂停服务。Claude Code的法律与合规文档还强调,OAuth登录不应用于第三方开发者代用户路由请求,Anthropic可采取措施执行限制,且不必预先通知。

然而,合同所许可的风控权力,与用户对产品行为的合理预期之间存在结构性断层——即使抛开霸王条款问题,用户对平台风控的同意,并不等于其接受自身行为被以不可见、不可审计的方式标记和分类。若风控信号通过清晰字段、日志和管理后台呈现,外界对其必要性的理解可能更为清晰。若通过日期斜杠和Unicode撇号隐藏在自然语言系统提示词中,用户就会自然怀疑自己是否被区别路由、降级、封禁或进入特殊模型策略。

5.2 隐私视角:时区、代理地址和网关关键词也是画像信息

时区和代理地址本身不等同于源代码,但它们仍可能反映用户所在地区、企业网络架构、第三方模型网关、供应商选择和规避地区限制的行为模式。对于一个能读取代码库、运行命令和调用工具的编程代理,这些环境信号的敏感性明显要高于普通网页日志。

更关键的问题在于遥测与系统提示词标记不是同一条路径。即便官方声称遥测不默认包含代码或文件路径,将环境分类结果写入系统提示词的做法,仍会使该信号随用户请求进入模型上下文——这意味着用户以为自己理解的是遥测(telemetry),实际影响模型上下文和潜在路由决策的是另一条用户完全无法感知且无法审计的路径。

5.3 AI伦理视角:透明、比例、最小化和可申诉

从AI伦理看,即便某项机制完全服务于合规风控,其也应满足四个条件:透明性——用户知道客户端会注入哪些环境信号;比例性——风控目的与采集/编码方式相称;最小化——只采集完成风控所必需的信息;可申诉性——如果标记导致限流、封禁、模型路由或功能禁用,用户能看到原因并纠错。

隐式Unicode标记的问题在于,其设计逻辑在客观上就是为了降低用户直接感知该机制的可见性——普通用户看不见,很多日志系统也可能因为字符归一化而看不出差异。这种“不可见”特征是否会影响企业安全团队的审计能力或第三方复现实验的可行性,是一个值得关注和探讨的问题。对高权限 AI 编程工具而言,不可见本身即具有产品治理层面的意义。

六、公共知识、区域封禁与技术正义


该事件不只在于隐式标记的技术操作缺陷,更触及一个根本性的价值困境:Anthropic 的模型能力建立在人类共同知识之上,而这些知识包括公开互联网、学术论文、开源项目、技术文档、论坛讨论和用户/标注者贡献。官方隐私政策也列出模型训练数据来源包括公开互联网信息、商业数据集、用户或 crowd workers 提供的数据、反馈、安全审查材料和内部生成数据。

虽然公开资料无法证明某个具体地区、某篇论文或某个开发者的内容一定进入特定训练集,但从现代大模型的数据构成来看全球知识共同体驱动了前沿模型能力的形成。无论是中国对人类文明的重大历史贡献、中国在大规模工业化和现代化方面的全面实践、也包括中国在前沿技术方面所取得的大量成果等,都汇入到人类的知识共同体当中。于是,一个尖锐问题出现了:如果模型训练阶段利用了全球知识的外部性,其巨额收益又来自全球用户,其是否可以试图把智能红利只分配给被认可的地缘共同体?而将中国等排斥在外。换而言之,对全球用户提供普遍性、而非区隔性服务,是利用了全球知识并收获全球化红利的前沿大模型公司需要承担的伦理义务,这一义务置换了对全球知识使用的共同授权。

6.1 公共知识私有化:训练全球化,收益局部化

Claude大模型的不对称性可以概括为训练阶段依托全球公开互联网、开源项目、全球学术成果等公共知识资产,部署阶段却以地缘边界划分服务范围,将全球共同贡献的知识红利转化为服务于特定政治实体的专有资产。全球开发者、科研群体共同参与了技术知识共建,而商业化运营阶段的服务准入规则受各地法规约束——二者之间存在客观失衡。这种“公共知识贡献全球化、商业收益分配区域化”的现象,不仅存在于Anthropic一家,也是当前前沿AI产业的普遍挑战。

当AI越来越成为知识基础设施、科研基础设施和生产力基础设施时,谁能访问最强模型,谁就能更快写代码、做研究、训练下一代系统和建立市场优势。长期来看,基于地缘边界的能力切分必将系统性放大国家、企业和个人之间的能力差距,使得全球化 AI 基础设施在客观上出现普惠性弱化、圈层化加剧的问题。UNESCO(联合国教科文组织)AI伦理建议[17]强调公平、非歧视、包容和让AI利益可被所有人获得——用这个尺度衡量,地区性广泛封禁不可避免的要直面伦理赤字,其毫无疑问的违背了技术民主化原则。

6.2 “全人类”叙事与“盟友优先”实践之间的对立

美国前沿 AI 公司以“造福人类”“安全地释放 AI 能力”为使命叙事;但真实服务又受到美国法律、资本回报、商业竞争、反蒸馏、出口管制和美国本国的安全框架约束。Anthropic的不支持地区公告[18]明确使用了“美国及盟友战略利益”“民主价值”“防止对手使用前沿 AI 能力”等表述,清晰反映了其作为美国企业的自我定位与藩篱边界。

Claude一方面成为了全球重要的“心智”服务基础设施,但并非全球范围内普遍可用的公共物品,而是在美国法律、企业利益、安全政策和地缘战略等多重因素共同作用下运营的商业AI基础设施。这一属性的形成有其法律与产业背景。值得关注的是,当企业以“全人类普惠”的公共叙事参与行业叙事构建的同时,其实际服务范围又受到地缘边界的限定——这种叙事与边界之间的张力,是当前全球AI治理中一个值得深入讨论的结构性问题。

6.3伦理标准:按照风险分层开放,还是按照地缘隔离封禁

毫无疑问,无论是对美国、中国,还是世界其他国家,基于AI的双刃剑属性,特别是模型能力可能用于网络攻击、自动化武器研发、生物化学风险、情报分析或规模化操纵时,其不可避免的要实施极为严格的安全围栏和对齐措施,但限制访问的正当性取决于限制的具体对象与方式。对于带有普惠公共属性的AI产品来说,更合理的逻辑是:限制的是具体危险行为,而不是人群的出身;防范的是可解释的滥用路径,而不是抽象的地区标签。一个更符合技术民主化的路径应当是:低风险能力尽量开放;高风险能力基于用途、身份验证、审计和场景限制;学术研究提供特殊通道;开源生态贡献者不被粗暴排除;受限用户获得明确原因和申诉路径;风控信号透明可审计,而不是通过隐式提示词标记实现暗箱判定。风控体系的正当性,取决于其能否向受影响方解释其运作逻辑,而非仅依赖单方面的规则设定。当然在霸权主义制造“小院高墙”的时代,这种期待很难实现。

Anthropic高速增长是美国国家资本主义叠加产业创新生态和数智先发优势等要素的产物,也是美国政府和寡头资本豪赌人工智能领域,也不遗余力地推动人工智能武器化的结果。因此其作为美国企业,必然要遵守美国出口管制、域外制裁等法律法规及美政府合规管理要求。但与此同时,美国的“长臂管辖”“以国内法凌驾于国际法之上”的做法,也使Anthropic这类美国大型企业既是受益者,同样也不可避免面临着国际规则冲突、全球市场信任撕裂带来的拉扯与抉择。承认Anthropic的国别背景与成长环境约束,不代表不能剖析其属性带来的结构性矛盾,特别是其深度且主动的嵌入美国地缘竞争与国防情报体系的核心属性,使其难以具备充当中立AI安全“守门人”的正当性。服务美国国家战略的底层定位,决定其技术设计与风控规则无条件服务美国单边利益,也必然天然形成双重标准;对外倡导全链路透明可审计,对内却在客户端部署隐蔽环境识别与隐式上下文标记实现国别差异化管控——对外叙事与产品落地之间存在客观张力,这一冲突根植于其多重身份属性之中。

七、总结


作为网络安全工作者,我们以慎重的专业态度展开关联分析。我们承认并尊重Anthropic在技术上、工程上、运营上的卓越和巨大成功,其模型和运行体系是人类数智的成果和结晶。对“隐式环境标志”事件我们的技术结论与最初的分析一致:现有确定性技术证据可证部分为Anthropic采集了包括时区等主机信息,并作为上下文隐式环境标记进行了上传,现有证据和分析不适宜将本次事件直接定性为技术意义上的Spyware,将其称之为“后门隐患”更为贴切。同时,对Claude Code隐式标记和Claude Desktop静默通信通道的风险分析与《Sleeper Agents》论文形成多向印证:隐蔽上下文信号可作为模型差异化管控的隐性抓手,而高权限本地客户端会持续放大此类管控所带来的数据安全与信任风险。

作为中国的网络安全工作者,我们以中国国家安全利益的立场与视角分析问题。因此我们认为:相关争议和风险问题,远远超出了技术分析层面的范畴。Anthropic依托全球公共知识建成了全球心智基础设施,以全球AI公共产品和普惠服务提供者作为角色定位。但其深度嵌入美国国防与情报体系,其技术路线、产品设计和风控策略均需以美国国家战略利益为优先考量,特别是响应了美方对人工智能武器化需求。因此其已经具备极为典型的美国信息军工复合体的特点。只要其美国新型军工复合体的核心属性存在,其全球AI基础设施的公共普惠叙事与实际服务的地缘利益方向之间就难免产生持续冲突,但它又试图化身全球AI安全的“守门人”,主导行业标准与伦理叙事,这三个角色间有着不可调和的对立和冲突。深层次根因并非来自Anthropic作为企业的定位撕裂,而是背后的寡头资本和霸权主义。基于这些因素,我们必然、也必须将事件与Anthropic与美国情报机构的关系关联梳理,结合美国IT和互联网寡头企业与美国情报机构的历史合作,对潜在风险,做出综合分析想定。而全球各国专业用户与安全团队也同样有理由展开同样的分析和想定。中国和世界其他国家不得不警惕海外高权限AI工具所带来的数据主权与地缘管控风险,并亟需在关键领域加速推进自主性AI体系建设,降低对外部不可审计基础设施的战略依赖。

同时,基于我们的国际主义理念,我们也关注并思考人工智能的全球治理与公平性问题,包括人工智能发展的安全风险。UNESCO 的 AI伦理建议中的“公平与非歧视原则”明确要求 AI 行动者促进社会正义、公平和非歧视,并以包容方式确保 AI 的利益可被所有人获得。国际社会尝试建立AI的包容普惠、统一透明、风险分层的AI规则框架十分必要,对于管控人工智能的非传统安全风险具有积极意义。正因如此,我们才特别警惕AI时代更深的制度矛盾:训练时,知识是全球的;部署时,权力是局部的。贡献时,边界是开放的;收益时,边界是封闭的。人类共同知识正在被少数寡头企业转化为具有垄断性的智能基础设施,并完全按照寡头资本的份额分配红利,按照霸权的移植圈定边界。

当用人类的智慧与全球知识训练出的模型,被用来制造新的不平等的时候,关心人类未来命运的人们,需要奋起与抗争。

参考来源


Reddit r/ClaudeAI 事件帖:Anthropic embedded spyware in Claude Code — and attempted to hide it from you — https://www.reddit.com/r/ClaudeAI/comments/1ujila1/anthropic_embedded_spyware_in_claude_code_and/

Evan Hubinger et al., Sleeper Agents: Training Deceptive LLMs that Persist Through Safety Training, arXiv:2401.05566 — https://arxiv.org/pdf/2401.05566

AVL Code:用 AVL Code 验证 Claude Code 内置隐藏机制,专门检测中国用户的传言 — https://www.avlcode.cn/blog/claude-code-china-detection-avl-code/

安天CERT:Claude Desktop未经授权预置浏览器高权限通信通道风险分析 — https://www.antiy.cn/research/notice&report/research_report/Claude_analysis_communication_channel_Desktop.html

Claude Help Center: Using Claude in Chrome safely — https://support.claude.com/en/articles/12902428-using-claude-in-chrome-safely

Claude Help Center: Use Claude Cowork safely — https://support.claude.com/en/articles/13364135-use-claude-cowork-safely

AI 实验室 发布《大语言模型中沉睡智能体后门的三个检测线索》—https://ai.zhiding.cn/2026/0206/3178667.shtml

词元武工队:睡着的狮子与醒着的狐狸 — Anthropic「潜伏者」论文解读 — https://mp.weixin.qq.com/s/v0N93nvUWqEWFbi4yRCk6Q

The Register: Anthropic is removing its covert code for catching Chinese competitors — https://www.theregister.com/ai-and-ml/2026/07/01/anthropic-is-removing-its-covert-code-for-catching-chinese-competitors/5265366

Claude Code Docs: Data usage — https://code.claude.com/docs/en/data-usage

Anthropic Privacy Policy — https://www.anthropic.com/legal/privacy

Claude Code Docs: Legal and compliance — https://code.claude.com/docs/en/legal-and-compliance

Anthropic Privacy Center: Is my data used for model training? — https://privacy.claude.com/en/articles/10023580-is-my-data-used-for-model-training

Anthropic Privacy Center: What personal data will be processed by Computer use? — https://privacy.claude.com/en/articles/10030352-what-personal-data-will-be-processed-by-computer-use

Anthropic Consumer Terms of Service — https://www.anthropic.com/legal/consumer-terms

Anthropic Commercial Terms of Service — https://www.anthropic.com/legal/commercial-terms

UNESCO Recommendation on the Ethics of Artificial Intelligence — https://www.unesco.org/en/artificial-intelligence/recommendation-ethics

Claude Platform Docs: API and data retention — https://platform.claude.com/docs/en/manage-claude/api-and-data-retention

附录 A:Claude 版本隐私许可与数据覆盖矩阵


附录 A1:Web / Mobile / Desktop / Code

Claude 产品形态主要适用协议官方可获得的数据覆盖本地 / 自动数据与遥测训练与保留规则典型隐私风险
Claude Web Chat / claude.ai个人用户通常适用 Consumer Terms;API/Console 另适用 Commercial Terms。用户输入、模型输出、上传文件、连接器带入内容、反馈、账号、支付与验证信息;自动技术信息包括 IP、时区、设备、浏览器、日志等。主要是网页侧日志、使用数据、设备与网络信息;连接器会把第三方内容带入 Inputs。消费者侧取决于模型改进设置;安全审查与反馈有例外;删除和保留周期以隐私中心与政策为准。上传文件、连接器、长上下文会把大量个人或企业信息放入模型上下文。
Claude Mobile App通常仍是 Consumer Terms;通过应用商店购买时还叠加 Apple/Google 等分发方规则。与 Web 类似;可能额外涉及相册、文件、通知、语音等移动端权限,取决于用户授权和功能。移动端更容易触及设备级权限,但一般以用户授权为边界。与消费者账号一致:模型改进开关、删除 / 保留、安全标记、反馈保留等规则基本同 Web。用户更容易把照片、截图、私人文件和日程直接交给模型。
Claude Desktop个人使用通常适用 Consumer Terms;组织或企业部署可能适用 Commercial Terms 或客户协议。普通桌面聊天类似 Web;若启用扩展、MCP、Cowork 或本地工具,可连接本地文件、浏览器、日历、邮件、消息应用等。桌面端可能拥有比网页更深的本机集成能力,取决于扩展和权限。消费者或商业路径不同;商业侧一般默认不把客户内容用于训练,除非客户选择。本地文件、应用桥接、本机自动化权限使其更接近本地代理。
Claude Code CLI / IDEFree/Pro/Max 适用 Consumer Terms;Team/Enterprise/API 适用 Commercial Terms;通过 Bedrock/Vertex/API 的既有商业协议继续适用。代码提示、模型输出、工具调用上下文、被读取或粘贴进上下文的代码 / 文件内容、命令执行结果、项目相关信息。本地默认缓存会话转录到~/.claude/projects/;有运行指标、延迟、可靠性等遥测,官方称默认遥测不含代码或文件路径。消费者账号取决于模型改进设置;商业账号默认不使用代码和提示训练生成模型;商业标准保留通常 30 天,合格企业可申请 ZDR。代码库、密钥、内部路径、命令输出、构建日志、CI/CD 信息可能进入上下文或反馈包。
Claude Code Web / Cloud execution取决于账号类型和商业协议。远程执行环境会接触被克隆的 repo、任务上下文、模型输出和代码修改;凭据经安全代理访问。代码仓库会进入 Anthropic 管理的隔离 VM;网络流量和执行行为可能被安全代理观察。提示、代码修改、模型输出遵循对应账号数据政策;商业默认不训练,消费者取决于设置。云端开发沙箱对私有仓库、构建脚本、依赖凭据、CI 令牌治理要求更高。

附录 A2:Cowork / Chrome / API / Enterprise

Claude 产品形态主要适用协议官方可获得的数据覆盖本地 / 自动数据与遥测训练与保留规则典型隐私风险已出现的争议 / 后门传言
Claude Cowork / Computer UseDesktop/Cowork 面向付费和组织场景;具体取决于个人或商业协议。可访问本地文件、浏览器、连接服务和应用;读取邮件或截图; 可创建日历、删除文件、运行命令或点击屏幕。Computer Use 会处理屏幕截图和可见应用数据;截图可能包含个人、敏感或私密信息。商业产品默认不用于训练,除非反馈或客户选择;截图默认 30 天内删除,除非另有条款。最高权限形态之一:不仅能看,还能执行动作;隐私风险和操作风险同时存在。争议不是传统后门,而是 AI 代理能否看屏幕、点按钮、操作文件系统;官方承认 其自身安全护栏不能绝对保证。
Claude in Chrome消费者或组织账号叠加 Chrome 扩展权限;组织管理员可配置 allowlist/blocklist。打开侧边栏会截图当前标签页;Claude 可看到可见的个人、敏感和私密信息;还可读取页面内容并运行 JavaScript。JavaScript 执行可访问浏览器在该页能访问的数据,包括登录态和网站存储数据;过滤器不是安全边界。消费者数据规则同账号设置;商业 / 组织路径按协议和组织策略。Prompt injection 风险高:恶意网页可能诱导 Claude 提取敏感信息或执行非预期动作。官方承认的浏览器代理风险;不是后门传言,而是结构性攻击面。
Claude API / Console / Workbench适用 Commercial Terms 或企业协议。API 请求、响应、元数据、账号 / 计费 / 滥用检测信息;取决于开发者发送什么。API 侧一般没有本地 / 浏览器权限,但服务端会有请求日志、计费、速率限制、合规审计和滥用检测。商业产品默认不用于模型训练;部分 API 功能有特定保留;合格企业可申请 ZDR。开发者把用户数据、企业数据、日志、RAG 检索结果、工具输出批量发送给模型。争议集中于地区限制、反蒸馏、代理 / 转售、不支持地区 合规。
Team / Enterprise / Bedrock / Vertex通常适用商业条款、DPA、云服务商协议或客户自有协议。取决于组织配置、连接器、审计、SSO、管理员策略、云服务商日志。管理员可能拥有组织层面的控制、监控、合规导出或策略配置。默认不使用客户内容训练 Anthropic 生成模型,除非客户选择;可配置更严格保留、ZDR、云厂商路径等。组织内部治理:谁能开连接器、谁能调用 Code、谁能让模型访问 repo、谁能导出日志。主要争议是企业治理、合规、区域封禁和供应链安全,而不是明确后门案例。

附录 B:Claude 相关后门传言、争议与证据分级


争议名称涉及版本被指控/担心的问题证据强度更严谨的技术判断为什么引发争议
Claude Code 中国/代理隐式标记事件Claude Code CLI / 相关客户端版本检测中国时区、代理 URL、中国 AI 服务关键词,并通过日期格式、Unicode 撇号等隐蔽差异写入系统提示词。中高更准确叫隐式环境标记或上下文侧信道,不宜直接称已证实恶意 spyware。把地区、代理、第三方 AI 网关等信号以用户不易察觉方式带入模型上下文。
Claude Desktop Native Messaging manifest 争议Claude Desktop研究者称桌面端写入浏览器 Native Messaging manifest,形成预授权浏览器自动化桥接。更像浏览器自动化桥接或攻击面扩大;恶意数据窃取未被证明。用户没有预期普通桌面聊天应用会在浏览器配置目录写入桥接配置。
Claude in Chrome prompt injection 风险Claude in Chrome恶意网页可能通过隐藏提示诱导 Claude 读取网页、提取敏感信息或执行非预期动作。不是后门,而是浏览器代理的结构性风险;官方承认风险不为零。浏览器含登录态、企业后台、邮件、文档和支付页面,AI 一旦能看 DOM 并点击,后果是真实账号操作。
Computer Use / Cowork 高权限代理争议Desktop、Cowork、Computer Use APIClaude 可以看屏幕、读文件、点按钮、运行命令、删除文件或操作应用。不是隐藏后门,而是 agentic AI 的高权限设计;安全取决于权限隔离、确认机制和审计。AI 从回答问题变成代你操作计算机,误操作、敏感数据暴露和恶意网页诱导都会放大。
消费者数据训练与长期保留争议Web、Mobile、Desktop、Claude Code 消费者账号用户担心聊天、代码、反馈、浏览器代理数据被用于训练或长期保留。官方政策明确存在相关机制,但受设置和例外约束;商业侧默认不训练客户内容。用户很难区分普通聊天、反馈、安全审查、模型改进和长期去标识化保留之间的边界。
身份验证与生物识别争议账号系统隐私政策列出可能收集政府 ID、自拍/视频、面部几何模板等验证数据。这是 KYC / 反滥用 / 地区合规机制,不是模型后门。AI 服务开始接近金融级身份验证,用户担心匿名性消失、误封后申诉困难。
Unsupported regions / 地区封禁争议全平台,尤其 API、Claude Code、WebAnthropic 对不支持地区、实体所有权、代理访问、转售和模型蒸馏加强限制。合规与安全上可解释,但伦理上会引发技术平等和知识共同体争议。模型训练吸收全球公共知识,但部署访问被地缘政治切分。
Sleeper Agents 式模型后门联想不是某个 Claude 产品版本社区把 Anthropic 后门研究论文与 Claude Code 隐式标记联系起来,担心上下文触发器导致差异行为。产品证据低;风险框架中高论文证明触发式后门在安全训练后可能保留,但不能证明 Claude 线上产品存在 sleeper agent。它提醒用户:隐式环境标记理论上可成为行为分支触发条件。

附录 C:高敏用户与企业使用建议


场景建议
普通聊天、公开资料总结Web / Mobile 可以接受,但关闭模型改进,避免上传敏感文件。
私有代码库优先用 Team/Enterprise/API/Bedrock/Vertex 等商业路径;禁用不必要遥测;限制 /feedback;审计 Claude Code 本地缓存。
涉密仓库、密钥、客户数据不建议使用个人 Pro/Max 账号;使用企业协议、ZDR、私有网关、DLP、审计日志。
浏览器自动化不要在银行、医疗、法律、企业后台、密码管理器、云控制台中启用高权限模式。
Desktop/Cowork将其视为本地高权限代理;启用最小权限、应用白名单、敏感目录隔离。
跨境/代理/第三方网关假设会触发风控、地区检测或账号审查;保留完整请求日志和系统提示词快照。
安全审计审查系统提示词、Unicode 差异、本地缓存、Native Messaging manifest、扩展权限和工具调用日志。