某直连Claude拼车中转站掺假

HitC 2026-07-07 20:32 1

声明:本贴未点名任何中转站


有可能是我瞎编的,可能纯属虚构。如有雷同,纯属巧合

因为刚刚曝光另一个中转站就被举报了

本帖只是分析逆向分析/反诈教程分享贴子,不是曝光!


先介绍一下:


最开始从咸鱼看到的广告,后来似乎还和某站内知名已跑路的中转站合作。这个中转站的宣传口号是“直连Anthropic”,“官方Claude账号拼车”


但是我发现不对劲,首先,用这个拼车站需要下载他的第三方客户端而不是Claude Code官方客户端

据他们说,这是为了登陆Claude Code同时配置“家宽代理”。似乎没问题。


静态分析二进制文件后发现,这个第三方客户端确实下载了Claude Code官方程序。并且URL也是api.anthropic.com

但是我又发现,它会用一个自定义证书!!而且流量会经过其“家宽代理”


那在安装自定义证书 + 代理的情况下…懂的都懂了…


如果不是中间人劫持,为什么要用自定义证书?这是直连还是中转我们无从得知






补一点分析过程

先把 install.sh 下载下来,然后把它拉下来的二进制单独拿出来做静态分析,搜一些关键词:


strings -a -n 4 ./**** | rg -i 'anthropic|/v1/messages|proxy|mitm|ca\.pem|ca\.key|gateway|CONNECT|certificate|tls'

结果比较微妙。里面确实有 api.anthropic.com、/v1/messages,也确实会下载官方 Claude Code,所以它表面上看起来像是在帮你接官方


但同时,二进制里还有本地 CA、代理、MITM、CONNECT、daemon、gateway 这些相关逻辑


正常情况下,HTTPS 可以防中间人。但前提是你没有装恶意CA。一旦你信任了它生成的 CA,实际内容已经可以被本地代理解开再转发


另外还能看到一些 ***.****.** 的中转地址,以及X-****-Device-Id、X-****-Signature、X-****-Body-Sha256这类自定义请求头。按这个结构看,默认流程很可能是:


第三方客户端下载官方 Claude Code,接管 Claude 配置,启动本地代理,用自定义 CA 把发往 api.anthropic.com/v1/messages 的请求包装后发到自己的中转站

从而实现用户看起来“直连”Anthropic的效果


至于它的中转站后面到底有没有再转发给 Anthropic,我们无从得知。但“自定义 CA + 代理”这套,至少已经很难叫“直连”了



分析结果已经 GPT 5.5 验证




怎么感觉似曾相识:


https://linux.do/t/topic/2526804

最新回复 (7)
  • AnGeH 07-07 20:38
    1

    经常看佬曝光中转站(虽然后来好像都被举报了)

    必须狠狠支持!

  • chimianbuhetang 07-07 20:47
    2

    站里的中转站基本都不要信,看看就好

  • 折镜之戬Mirror 07-07 20:53
    3

    我以外直连都是用oauth登录用的,原来还有这种类型吗,不过这也太坑了

  • 闲闲 07-07 21:03
    4

    本地抓包看下网络请求到哪里了,直接原形毕露。

  • justin fan 07-07 21:07
    5

    然后呢?也没看到掺假的证据在哪里。中转站的模式本来也不可能直连api.anthropic.com,肯定要在服务端中转的

  • hiugo 07-07 21:08
    6

    掺假的证据在哪里,用代理走网关中转不是很正常吗 ^-^

  • wklwkl 07-07 21:10
    7

    这个中转站是re开头的吗?速度有些慢

* 帖子来源Linux.do
返回