AI创业内参
AI风向

【AI风向】Claude Code v2.1.150暗藏远程注入后门:你的终端Agent正在被Anthropic实时改写系统提示词

AI创业内参

一位HN用户通过逆向工程发现:Claude Code v2.1.150新增了两个远程注入点,Anthropic可以在你不知情的情况下,实时改写你本地终端Agent的系统提示词——包括它看到的文件、执行的命令和访问的Shell。

事件回顾:一次例行升级引发的发现

5月24日,Hacker News用户matheusmoreira发布了一则"Tell HN"帖子,标题直指要害:"Claude Code now allows Anthropic to remotely inject system prompts"(Claude Code现在允许Anthropic远程注入系统提示词)。

这位用户有一个习惯:每次升级Claude Code后,会反编译新版二进制文件,检查系统提示词是否有影响Claude表现的"不良指令",然后手动修改。这个习惯让他成为最早发现这个后门机制的人。

在升级到v2.1.150时,他发现了两个不同寻常的远程注入通道:

注入通道1:启动时API调用 Claude Code启动时会调用 api.anthropic.com/api/claude_cli/bootstrap,获取的内容会被注入到系统提示词中,同时缓存到本地磁盘。

注入通道2:持续同步的GrowthBook特性开关 一个名为 tengu_heron_brook 的GrowthBook特性标志,每60秒在后台同步一次。这个端点返回的任何字符串,都会被实时拼接到LLM的系统提示词中——而这个LLM拥有你本地的Shell访问权限。

更令人警惕的是,matheusmoreira进行了代码考古(Git bisect),确认这个注入点在更早版本中就已存在,但当时返回的是null,属于"死代码"。v2.1.150是第一个真正激活这两个注入通道的版本。

而Anthropic在v2.1.150的更新日志中只写了一句话:"Internal infrastructure improvements (no user-facing changes)"——"内部基础设施改进(无用户面向变化)"。

Claude Code v2.1.150远程注入架构图

▲ Claude Code v2.1.150 远程注入架构:启动时bootstrap API + 每60秒GrowthBook后台同步

为什么这对AI创业者至关重要

你的Agent不只是你的Agent

对于每天使用Claude Code编写代码、管理服务器、操作数据库的AI创业者来说,这个发现触及了一个根本性的信任问题:当你把Shell权限交给一个AI Agent时,谁在控制这个Agent?

系统提示词决定了一个AI Agent的行为边界。它能看到的文件、能执行的命令、被禁止的操作、回答问题的风格——都由系统提示词定义。如果Anthropic可以通过网络实时改写系统提示词,理论上它可以:

  • 注入新的行为指令:比如调整Claude的代码风格偏好、改变安全性判断标准
  • 收集使用数据:虽然这不是漏洞的直接证据,但拥有写入权限的端点本身就构成了数据通道
  • 远程禁用某些功能:比如临时阻止Claude执行某类命令
  • A/B测试用户不知情:向不同用户推送不同的系统提示词变体

与Cursor、Codex的对比

值得注意的是,这不是AI编程工具的行业标准做法:

  • Cursor 的系统提示词嵌入在客户端代码中,不会从远程拉取
  • GitHub Copilot / Codex CLI 同样将核心指令固化在本地
  • Hermes Agent 的所有Skill和Persona文件完全由用户本地控制

Claude Code的这个设计选择,让它在"Agent自主性"这个维度上处于一个独特的位置——也是AI创业者需要正视的选择。

终端Agent的信任边界正在被重新定义

2026年,终端编程Agent已经成为AI创业者的核心生产力工具。Claude Code、Codex CLI、Hermes Agent、OpenClaw——越来越多的工具获得了文件系统、Shell、网络的完全访问权限。

当这些工具的能力边界与安全边界产生冲突时,受害的永远是普通开发者。这次事件提醒我们:选择开源、本地可控的Agent工具,可能比追求最强模型能力更重要。

你能做什么:3个立即可操作的保护措施

1. 立即设置环境变量阻止远程注入

matheusmoreira验证了两个有效的阻断措施:

# 阻止非必要网络流量(包括bootstrap API调用)

export CLAUDE_CODE_DISABLE_NONESSENTIAL_TRAFFIC=1

# 阻止GrowthBook特性标志同步

export DISABLE_GROWTHBOOK=1

将这两行添加到你的 .bashrc.zshrc 中,并重新加载Shell配置。

2. 升级前检查Changelog的措辞

这次事件的教训是:"no user-facing changes"并不意味着真正的"no changes"。下次Claude Code或任何终端Agent工具发布更新时,特别警惕类似"内部基础设施改进"的模糊措辞。

3. 评估多Agent策略,降低单点风险

不要把所有的Shell权限交给同一个Agent工具。适合AI创业者的分层策略:

任务类型推荐工具权限级别
敏感操作(数据库、服务器配置)Hermes Agent(完全本地)最小权限
日常编码Claude Code(需设置环境变量)项目级权限
浏览/调研类浏览器Agent(隔离沙箱)仅网络权限
AI Agent信任模型对比

▲ 主流AI Agent工具信任模型对比:Hermes Agent和OpenClaw完全本地可控,Claude Code v2.1.150存在远程注入

4. 关注替代方案

如果你对Claude Code的信任已经动摇,以下是2026年5月可用的终端Agent替代方案:

  • Hermes Agent(开源,NousResearch):所有配置和Skill文件本地管理,零远程注入风险
  • OpenClaw(开源):多Agent协作框架,每个Agent的提示词完全透明
  • Codex CLI(OpenAI):尚未发现类似的远程注入机制
  • Aider(开源):经典的AI编程助手,提示词完全可见

行业影响:信任危机的开始?

这并不是AI工具第一次被曝出"暗箱操作"。2026年4月,就有开发者发现某些AI编程插件的遥测数据远超"必要的使用统计"。但Claude Code这次的不同之处在于:它涉及的是系统提示词的实时改写,而不仅仅是数据收集。

对于AI创业者而言,这次事件应该引发以下反思:

  1. "你的Agent"究竟是谁的Agent? 如果核心指令集可以被云端实时修改,那么你在使用的实际上是一个"托管服务"而非"本地工具"
  2. 开源≠可审计,但至少可审计。Claude Code的主体是闭源的,matheusmoreira是通过反编译二进制文件才发现这个机制——普通用户完全不具备这个能力
  3. 工具的"所有权"正在成为新的竞争维度。Hermes Agent和OpenClaw之所以快速获得开发者社区关注,正是因为它们承诺了"用户拥有Agent的全部控制权"

行动建议

  1. 今天:将两个环境变量加入Shell配置
  2. 本周:审查你团队使用的所有AI Agent工具的权限级别
  3. 本月:评估是否需要引入一个完全本地可控的Agent作为"安全锚点"
  4. 持续关注:Anthropic是否会对此次发现做出正式回应

记住一条铁律:给AI Agent的权限,就是给Agent背后公司的权限。你给的是Shell,他们得到的是钥匙。

#AI创业 #ClaudeCode #Agent安全 #系统提示词 #一人公司

本文由AI辅助创作,经人工审核编辑发布