事件:Reddit 上的「间谍软件」指控
2026 年 6 月 30 日,Reddit r/ClaudeAI 版面一则帖子引爆了开发者社区。发帖人声称,通过逆向工程发现 Claude Code 自 v2.1.91(4 月 2 日发布)起,存在隐蔽的用户环境检测行为。
核心发现概括如下:
- 检测代理(Proxy):Claude Code 会检查用户是否启用了代理连接。
- 时区扫描 :如果检测到代理,进一步检查系统时区是否为
Asia/Shanghai或Asia/Urumqi。 - 域名比对:检查代理 URL 是否指向中国域名、是否匹配特定域名清单、是否关联中国 AI 机构。
- 隐秘标记 :根据检测结果,通过替换 system prompt 中引号的 Unicode 字符(
'→'/ʼ/ʹ),向 Anthropic 服务端回传用户的地区信息。 - 代码混淆:相关逻辑在二进制中用 XOR(密钥 91)加密处理,无法通过纯文本 strings 扫描发现。
- 隐藏变更:v2.1.91 的 Release Notes 中未提及此项改动。
发帖人还指出了一个更深层的信任问题:
「开发者给予 Claude Code 完整的文件系统访问和 Shell 执行权限。今天它是一个时区检查,明天会是什么?」
帖子原文可查看 Reddit 讨论。
技术分析:隐蔽检测的技术细节
我们梳理一下这个检测链的技术实现:
用户启动 Claude Code
└─ 检测代理设置
├─ 无代理 → 正常运行
└─ 有代理 →
├─ 检查时区是否为 Asia/Shanghai 或 Asia/Urumqi
├─ 检查代理 URL 是否匹配中国域名/实验室
└─ 根据结果修改 system prompt 中的引号字符
├─ 中国域名 + 非 AI 实验室 → Unicode U+2019 (')
├─ 非中国域名 + AI 实验室 → Unicode U+02BC (ʼ)
└─ 中国域名 + AI 实验室 → Unicode U+02B9 (ʹ)这种手法属于隐写术(Steganography) ------修改对人类和模型几乎不可见的字符,但对服务端可按规则解码。关键函数为 Crt()、Rrt(e)、e0t()、Zup()、edp、Vla(混淆后的名称,随版本变化)。
客观来说,Anthropic 的意图是可以理解的:防止未经授权的代理转售和模型蒸馏。但问题在于------手段与边界。
核心争议:用户信任的边界
这件事情触及了几个关键问题:
1. 隐蔽更新意味着什么?
功能代码可以混淆(为了保护商业逻辑),但安全/隐私相关的行为代码不应该混淆。Claude Code 将检测逻辑用 XOR 加密放入二进制,Release Notes 也未提及------这意味着用户在不知情的情况下运行了对自己环境的监控代码。
2. 全量扫描 vs 精准防御
如果说目标是防范 AI 实验室的蒸馏行为,那应该是针对少数可疑行为 进行检测。但实际的检测策略是「如果你在中国(或使用代理),就标记你」------这是地域级别的全量监控,误伤了所有合法用户。
3. 能力边界问题
发帖人的核心担忧值得认真对待:一款拥有文件系统完全读写权限和 Shell 执行权限的 Agent,如果今天可以通过更新加入时区检测,明天是否可以加入文件扫描?这不是阴谋论,这是软件供应链安全的常识性问题。
SolonCode 的设计选择:透明即信任
SolonCode 与 Claude Code 功能相似,但在信任构建上选择了不同的路径。SolonCode 是一款基于 Java + Solon AI 的开源编码智能体,MIT 协议,代码仓库在
当业界开始重新审视「编码智能体应该拥有多少权限」时,SolonCode 的几个设计原则值得关注:
① 100% 开源,无混淆代码
SolonCode 采用 MIT 协议完全开源,所有代码可读、可审查、可构建。不存在任何混淆过的二进制代码段。任何人可以从源码编译出完全一致的二进制包,也可以 Fork 后自行审计。
这是一个朴素但重要的保障:如果代码是透明的,隐蔽行为就无处藏身。
② 不绑定提供商,不预置模型
SolonCode 不绑定任何 AI 提供商,不预置模型密钥。用户完全自主配置要使用哪个模型、哪个 API 端点。
这意味着:
- 数据流向完全由用户控制
- 可以使用本地部署的模型(如 Ollama、vLLM)
- 可以通过内部 AI 网关中转,数据不出企业网络
③ 本地处理,不留存用户代码
SolonCode 官方明确承诺:不会存储用户的代码或上下文数据。所有处理均在本地完成,或通过直接的 API 调用发送至用户自行配置的 AI 提供商。
隐私策略原文:「只要您使用的是信任的提供商或内部 AI 网关,就可以安全地使用 SolonCode。」
这不是事后补救的承诺,而是从一开始就设计在架构中的。
④ 开源协议的法律约束
MIT 协议不仅是代码许可,也是信任契约。任何对代码的修改都暴露在公开的 Commit 历史中。SolonCode 的所有 Release 都附有完整的 Change Log,不存在「未公开的隐蔽变更」。
| 维度 | Claude Code | SolonCode |
|---|---|---|
| 开源协议 | 闭源 | MIT 开源 |
| 代码混淆 | 是(XOR 混淆关键逻辑) | 否 |
| 模型提供 | 绑定 Anthropic | 用户自由配置 |
| 隐私声明 | 常规隐私政策 | 明确承诺不存储代码/上下文 |
| 变更透明 | v2.1.91 隐蔽添加检测 | 所有变更公开可追溯 |
| 地区检测 | 有(时区 + 代理深度检查) | 无 |
更深层的思考:编码智能体需要「宪法」
这起事件提出的不止是 Claude Code 的问题,而是整个编码智能体行业的信任框架缺失问题。
今天我们看到的「时区检测」,本质上是一个缺乏制衡机制的结果。一个拥有文件系统权限的 Agent,如果它的更新渠道是闭源的、不受监督的,那么用户只能选择「信任」或「不用」。
也许行业需要这样一个共识:
- 所有隐私/安全相关行为必须透明声明,不能通过混淆或隐写隐藏
- 关键操作的变更日志必须公开且完整,不能有「未记录的改动」
- 用户应对 Agent 的数据流向有完全的知情权和控制权
- 提供自托管/离线部署选项,让有高安全需求的组织不受云端策略影响
SolonCode 在这些方面已经走在前列------但这不应是差异化优势,而应该是行业底线。
结语
Anthropic 的技术实力毋庸置疑,Claude Code 在功能体验上也非常出色。但信任不是靠公告和承诺建立的,而是靠代码的透明和行为的可验证。
SolonCode 选择了一条不同的路:用开源代替闭源,用配置代替绑定,用透明代替隐藏。这不仅是为了「国产」或「信创」,而是因为------在一个 AI Agent 可以读写你所有文件的时代,信任必须是可审计的。