为精准封掉中国人,他们竟然用上这招
Claude Code 又炸了。
大面积封号,稳定用了一年的老号翻车,甚至有百人规模的公司被一锅端,整个开发团队直接团灭。
离谱吧?更离谱的还在后面。
直到前两天,有个国外老哥直接把 Claude Code 给逆向扒了,才真相大白。
原来人家在客户端里偷偷塞了一套用户标记系统,藏得那叫一个深。
先说它怎么识别你的。Claude Code 压根不看你的 IP,它走的是两条本地路径。
第一条,读你电脑的系统时区。只要你的时区是 Asia/Shanghai 或者 Asia/Urumqi ,直接标红。
绝大多数人虽然挂代理,但电脑时间还得正常看吧?谁没事把时区改成洛杉矶啊,日历全乱套。所以这条几乎一抓一个准。


第二条,看你设的那个ANTHROPIC_BASE_URL环境变量。
国内用 Claude 基本都得走中转,这个变量指向的就是你用的中转站地址。Claude Code 拿到这个地址之后,会提取域名,然后跟一份内置的黑名单做比对。

这份黑名单是被加密混淆过的,逆向出来之后一看,好家伙,整整 147 个域名。
你猜里面都有啥?上来就是 cn 顶级域名,然后百度、阿里、字节、美团、网易、携程、小红书……几乎把所有国内大厂和 AI 公司一网打尽。

还有 DeepSeek、智谱、月之暗面、MiniMax,全在名单里。剩下的大头就是各种 API 中转服务。
看到这儿,你可能觉得 Anthropic 防中国用户防得挺狠。但这只是开胃菜。
真正让人后背发凉的,是它怎么把这些识别到的信息传回去。
Claude Code 并没有通过独立的遥测字段上报数据,那样太容易被发现了。

Anthropic offices in San Francisco. Michaela Vatcheva for WSJ
它选择了一种更隐蔽的方式:直接在每次请求都会发送的系统提示词里动手脚。具体怎么动?
第一处,改日期分隔符。
如果检测到你的系统时区是中国时区,日期格式会从2026-06-30变成2026/06/30,连字符变斜杠。
你瞄一眼根本不会注意到,连字符变斜杠这种事,谁会在意?

第二处,替换单引号的Unicode编码。
这才是真正的核心技术,业内称为文本隐写术(steganography)。
Claude Code 会根据检测结果,把Today's里面那个单引号替换成不同的Unicode字符。
正常情况下的单引号是',Unicode编码是U+0027(标准 ASCII 撇号)。
但如果命中了不同的检测条件,会被替换成三种视觉上几乎无法分辨的 Unicode 字符:
’(U+2019,右单引号):命中了中国域名但未命中AI实验室关键词
ʼ(U+02BC,修饰字母撇号):关联了中国AI实验室
ʹ(U+02B9,修饰字母上撇号/角分符):两者都命中
这三个字符在绝大多数等宽字体里渲染出来完全一样。

你在终端里看、在编辑器里看、拿放大镜看,都看不出任何区别。但在机器的世界里,它们是完全不同的 Unicode 码点。
四种不同的单引号状态,加上日期分隔符的差异(连字符 vs 斜杠),一共能编码 6 种身份状态。
就这么一个肉眼完全看不见的字符替换,把你在本地被识别出的所有信息:
是不是中国时区、用没用中转、中转了哪个域名、跟国内 AI 公司有没有关联,全部打包塞进了每一次请求里。
Anthropic 的服务器收到请求之后,根本不需要做额外检测。
它只需要解码那行日期字符串,看一眼那个单引号的 Unicode 编码,再看看日期是用连字符还是斜杠,瞬间就能给这个用户打上标签:
是不是挂了代理、是否实际位于中国、是否属于某家 AI 实验室。

整个过程没有任何可疑的流量痕迹,没有多出来的网络请求,没有独立的遥测数据包。
就像一封用隐形墨水写的信,收件人拿紫外线一照什么都有了,而寄件人全程浑然不觉。
这就是隐写术,把秘密信息藏在看起来完全正常的载体里。不是有人把程序扒开来逆向,这个秘密可能永远没人知道。
这套代码是什么时候加进去的?
根据 Reddit 用户 LegitMichel777 的逆向分析,这段逻辑是在今年 4 月 2 日发布的 Claude Code 2.1.9 1 版本中被悄悄加入的。
而且在任何版本的更新日志中都从未提及。实现这套逻辑的函数名包括Crt、Rrt、e0t、Zup、edp和Vla,光看名字完全猜不出它们是干什么的。
事件曝光后,Anthropic 承认了。
Claude Code 团队成员 Thariq Shihipar在 X 上回应称,该机制是团队于 2026 年 3 月上线的"实验性"措施,目的是防止未经授权的账户转售以及防范模型蒸馏攻击。

他表示团队此后已部署了更强的缓解措施,相关代码将在2026 年 7 月 2 日发布的新版本中完全回滚并删除。
但说实话,这个回应并没有扑灭火气,反而让更多人炸了。因为这根本不是技术问题,而是信任问题。
Reddit 上那篇逆向分析的帖子已经百万浏览了,不光是国内开发者在骂,国外开发者也在拍桌子。
有人直接开喷:一个能读写你代码、能执行Shell命令的工具,拥有你电脑的最高权限,结果偷偷干这种事,今天传的是时区,明天还能传什么?

更要命的是,大家发现封号邮件里竟然还埋了追踪像素,你打开邮件的那一刻,真实 IP 就被获取了,相当于二次确认你在中国。
想申诉?连申诉的机会都不给你。
当然也有人试图替 Anthropic 说话,说人家是为了防蒸馏。

毕竟今年 2 月 Anthropic 就公开指控 DeepSeek、月之暗面、MiniMax 搞工业级蒸馏攻击,6 月又指控阿里巴巴搞了两千多万次交互。
他们确实急了,防蒸馏是正当理由。
但问题是,防蒸馏需要读用户本地时区吗?需要把国内所有大厂域名列进黑名单吗?

更讽刺的是,这套机制对真正搞大规模蒸馏的人来说,改个时区换个代理域名根本没什么成本。
最后被这套机制精准命中的,反而是那些正正经经付费、老老实实写代码的普通用户。一边交着订阅费,一边还要担心被封,这种体验确实挺劝退的。
经此一遭,大家都在期待国产模型争点气,赶紧把这波用户狠狠接住。

说到底,这整件事让老狐最不舒服的点,不是封号本身,而是方式。
用户可以接受你用 IP 封锁,可以接受你检测账号归属地,这些都是明面上的规则,用户心里有数。
但你不能在暗处另起炉灶,用一套用户根本看不见的标记系统,把身份水印嵌进每一次正常请求里。
这是规则之外的“暗箭”,比封号本身更让人膈应。