# Claude Code 宠物系统遭破解,开发者社区公开“重抽”方法
**据 [1M AI News](https://t.me/OneMillion_AI) 监测,Claude Code 新上线的宠物功能(Buddy 系统)在发布数小时后,其源码即遭泄露。开发者社区迅速从中找到了“重抽”宠物的方法,相关开源工具与详细教程已在 Linux.do、V2EX、GitHub 等平台广泛传播。**
目前,社区已公开至少两种有效的重抽路径:
## 方法一:破解固定盐值(Salt)
此方法针对宠物生成算法中一个硬编码的15字符盐值。该值被直接编译在 Claude Code 的产物中。
* **操作原理**:通过替换同长度的字符串来改变随机种子,暴力枚举后找到对应目标宠物的值并写入即可。
* **弱点**:该方法最为脆弱,预计在 Claude Code 的下一次更新中就会被覆盖而失效。
## 方法二:利用认证路径差异
此方法利用了不同认证方式下的逻辑漏洞。
* **订阅用户路径**:正常登录时,服务端下发的 `accountUuid` 会作为宠物种子,且用户无法篡改。
* **环境变量认证路径**:通过环境变量认证时,`accountUuid` 不会被写入本地配置。此时系统会降级读取用户可以自由编辑的 `userID` 字段,并将其作为种子。
—
### 风险与影响评估
1. **方法有效期**:
* **修改 Salt**:有效期极短,下次客户端更新即失效。
* **修改 userID**:
* 对订阅用户而言,一旦 Anthropic 在环境变量认证路径中补上 `accountUuid` 的写入逻辑,此方法将立即被封堵。
* 对使用自有 API Key 认证的 API 用户而言,由于天然没有 `accountUuid`,可直接修改 `userID`,该方法窗口期相对更长。但 Anthropic 同样可以通过 API Key 的哈希值来生成稳定标识符,从而封堵此漏洞。
2. **服务端控制力**:宠物的骨架数据并非存储在本地,而是每次启动时实时计算。这意味着 **Anthropic 的任何服务端补丁都能立即生效**,客户端无需更新即可使现有破解方法失效。
3. **潜在副作用**:根据泄露的源码,`userID` 字段并不仅服务于宠物系统。**遥测数据上报和 A/B 测试分组同样会读取该值**。修改 `userID` 可能导致实验功能出现异常,或造成用户使用数据断裂,影响后续的服务分析。
—
**总结而言,当前流传的破解方法均存在明显弱点,且伴随使用风险。随着 Anthropic 的快速响应,这些漏洞的窗口期预计不会太长。**
原创文章,作者:admin,如若转载,请注明出处:https://www.23btc.com/165780/
