Claude Code 请求签名 cch 已被逆向，有效的 OAuth Token 登录的第三方客户端可能伪装 Claude code

Anthropic 在 Claude Code 中嵌入了隐藏的请求签名 cch，用于门控 fast mode 等功能。该机制已被安全研究者从 Bun 二进制中完整逆向，任意客户端只需 30 行代码即可伪装为 Claude Code 发起请求。

机制

每个请求的 system 数组首位注入一段伪装成 prompt 的计费头：

x-anthropic-billing-header: cc_version=2.1.37.fbe; cc_entrypoint=cli; cch=a112b;

• 版本后缀 .fbe：SHA-256(盐 + 用户消息第 4/7/20 字符 + 版本号) 取前 3 hex
• 请求体哈希 cch：xxHash64(完整 JSON body, seed=0x6E52736AC806831E) & 0xFFFFF ，5 位 hex

JS 层只写占位符 cch=00000，由 Bun 原生 fetch （ Zig 编译）在发送前内存替换。Claude Code 使用 Anthropic 私有 Bun 分支，该哈希计算从 JS 层完全不可观测。

结论：任意客户端可伪装

研究者验证了以下防护均不存在：TLS 指纹 ❌ · 二进制认证 ❌ · 预注册握手 ❌ · 重放检测 ❌ · 连接关联 ❌

cch 是唯一的服务端校验，而算法和常量现已公开。也就是说：

有效 OAuth Token + 正确 cch 计算 + 请求头/体照抄 = 等效于 Claude Code 官方客户端

文章 PoC 已用纯 Python 脚本验证，无需 Bun 二进制，成功调用 fast mode 。

性质

这是计费管道，不是安全边界。选择非密码学哈希（ xxHash64 ）、无重放检测、常量可机械提取——都说明 Anthropic 将其定位为软性门控。唯一的硬门槛是 OAuth Token （付费账号）。

但 Anthropic 可随时升级方案，常量也会随版本变更。

来源

原文: https://a10k.co/b/reverse-engineering-claude-code-cch.html

研究者于 2026 年 2 月通过 usersafety@anthropic.com 尝试披露，未获回复。Claude Code 源码此后被广泛传播，机制已公开可见。