声明:本贴未点名任何中转站
有可能是我瞎编的,可能纯属虚构。如有雷同,纯属巧合
因为刚刚曝光另一个中转站就被举报了
本帖只是分析逆向分析/反诈教程分享贴子,不是曝光!
先介绍一下:
最开始从咸鱼看到的广告,后来似乎还和某站内知名已跑路的中转站合作。这个中转站的宣传口号是“直连Anthropic”,“官方Claude账号拼车”
但是我发现不对劲,首先,用这个拼车站需要下载他的第三方客户端而不是Claude Code官方客户端
据他们说,这是为了登陆Claude Code同时配置“家宽代理”。似乎没问题。
静态分析二进制文件后发现,这个第三方客户端确实下载了Claude Code官方程序。并且URL也是api.anthropic.com
但是我又发现,它会用一个自定义证书!!而且流量会经过其“家宽代理”
那在安装自定义证书 + 代理的情况下…懂的都懂了…
如果不是中间人劫持,为什么要用自定义证书?这是直连还是中转我们无从得知
补一点分析过程
先把 install.sh 下载下来,然后把它拉下来的二进制单独拿出来做静态分析,搜一些关键词:
strings -a -n 4 ./**** | rg -i 'anthropic|/v1/messages|proxy|mitm|ca\.pem|ca\.key|gateway|CONNECT|certificate|tls'
结果比较微妙。里面确实有 api.anthropic.com、/v1/messages,也确实会下载官方 Claude Code,所以它表面上看起来像是在帮你接官方
但同时,二进制里还有本地 CA、代理、MITM、CONNECT、daemon、gateway 这些相关逻辑
正常情况下,HTTPS 可以防中间人。但前提是你没有装恶意CA。一旦你信任了它生成的 CA,实际内容已经可以被本地代理解开再转发
另外还能看到一些 ***.****.** 的中转地址,以及X-****-Device-Id、X-****-Signature、X-****-Body-Sha256这类自定义请求头。按这个结构看,默认流程很可能是:
第三方客户端下载官方 Claude Code,接管 Claude 配置,启动本地代理,用自定义 CA 把发往 api.anthropic.com/v1/messages 的请求包装后发到自己的中转站
从而实现用户看起来“直连”Anthropic的效果
至于它的中转站后面到底有没有再转发给 Anthropic,我们无从得知。但“自定义 CA + 代理”这套,至少已经很难叫“直连”了
分析结果已经 GPT 5.5 验证

怎么感觉似曾相识:
https://linux.do/t/topic/2526804