
【Claude Desktop浏览器配置文件异常事件】
2026年4月,隐私研究员Alexander Hanff在检查自己的macOS系统时,发现浏览器配置目录里多了一个文件 `com.anthropic.claude_browser_extension.json`。这个文件被写入了7款Chromium内核浏览器(Chrome、Brave、Edge、Arc、Chromium、Vivaldi、Opera)的配置目录,无论这些浏览器是否已经安装,而写入者是Claude Desktop。
该JSON配置文件预先授权了三个Chrome扩展ID,绑定到Claude Desktop内置的 `chrome - native - host` 二进制程序,该程序运行在浏览器沙箱之外,拥有当前用户的完整系统权限。根据Anthropic自己的文档,这个组件能够打开新标签页并共享用户已登录的会话状态(包括银行、税务等敏感网站)、实时读取DOM内容、从网页提取结构化数据、自动填表、跨站点工作流、甚至将整个浏览器会话录制为GIF,而这一切都是在用户完全不知情、从未同意的状态下发生的。
更糟的是持久化机制,用户手动删除这些配置文件后,下次启动Claude Desktop它们会被自动重建,日志显示 "Native host installation complete" 被执行了至少31次,Hanff将其定性为未经授权的第三方软件篡改。Hanff在Mastodon上发表了详细的技术分析,指出该行为涉嫌违反欧盟《电子隐私指令》(ePrivacy Directive, 2002/58/EC)第5条第3款,安全顾问Noah M. Kenney也认为这带来了 "可信的监管风险",Malwarebytes、The Register等安全媒体均作了报道,但Anthropic未回应,相关GitHub Issue被自动关闭。
【Claude Code检测逻辑事件】
6月底,逆向工程师LegitMichel777在Reddit上发表了第二项发现,目标是Claude Code。从2.1.91版本(4月2日发布)起,Claude Code的二进制里藏了一套检测逻辑:当使用代理时,它会检查系统时区是否为Asia/Shanghai或Asia/Urumqi,并判断代理URL是否为中国域名或指向某个中国AI实验室,然后在系统提示词里动手脚。
如果用户的系统时区是中国,提示词中告知模型的今天的日期,从标准的 `2026 - 06 - 30` 被悄悄改成 `2026/06/30`(斜杠替代短横线)。系统提示词中 "Today's date is..." 里的单引号,会根据检测到的代理URL属性,被替换为视觉上完全一样、但底层Unicode编码不同的特殊字符:中国域名 + 非AI实验室 -> `'`(右单引号 ');非中国域名 + 中国AI实验室 -> `ʼ`(修饰符撇号 ʼ);中国域名 + 中国AI实验室 -> `ʹ`(修饰符角分号 ʹ)。三个字符肉眼无法分辨,加上日期分隔符的差异,一共能编码6种身份状态,Anthropic后端服务器扫描日期分隔符和单引号的Unicode编码,就能给用户打上标签。
这不是漏洞,是隐写术,代码用XOR key 91做了混淆,防止 `strings` 命令直接扫出明文,2.1.91的发布说明新增了MCP持久化覆盖、插件bin/支持、CLI Computer Use等13项变更,对这套检测逻辑只字未提。LegitMichel777把这定性为间谍软件,号召社区向Anthropic施压要透明度,但Reddit社区的反应几乎是一边倒的嘲讽。不过,社区指出这套隐写检测只在设置了 `ANTHROPIC_BASE_URL` 自定义端点时才触发,直连Anthropic官方API的用户完全不受影响,这让叙事从 "监控所有用户" 收缩为 "标记绕过官方服务的连接"。
【事件总结与影响】
两个发现出自不同研究者(Hanff和LegitMichel777),针对不同产品(Claude Desktop和Claude Code),使用不同技术手段(Native Messaging桥接 vs 文本隐写术),但指向同一个行为模式:Anthropic在不告知用户的前提下,通过用户无法察觉的方式提取设备环境信息并传回服务器。
社区对待两次事件的态度有差别,但有两个事实令人不安。第一,Anthropic没有在任何地方文档化这个行为,发布说明没提、隐私政策里也没有针对性说明。第二,几周前Anthropic刚因为Fable 5的秘密护栏翻过一次车,Fable 5在检测到用户做AI研发时会悄悄降级输出质量,直到被研究人员公开揭穿后Anthropic才道歉整改。同一个公司在几周内被曝出两次 "偷偷做检测但不告诉你" 的行为,信任成本的叠加效应是实打实的。


被折叠的 条评论
为什么被折叠?



