机制
每个请求的 system 数组首位注入一段伪装成 prompt 的计费头:
x-anthropic-billing-header: cc_version=2.1.37.fbe; cc_entrypoint=cli; cch=a112b;
JS 层只写占位符 cch=00000,由 Bun 原生 fetch ( Zig 编译)在发送前内存替换。Claude Code 使用 Anthropic 私有 Bun 分支,该哈希计算从 JS 层完全不可观测。
结论:任意客户端可伪装
研究者验证了以下防护均不存在:TLS 指纹 ❌ · 二进制认证 ❌ · 预注册握手 ❌ · 重放检测 ❌ · 连接关联 ❌
cch 是唯一的服务端校验,而算法和常量现已公开。也就是说:
有效 OAuth Token + 正确 cch 计算 + 请求头/体照抄 = 等效于 Claude Code 官方客户端
文章 PoC 已用纯 Python 脚本验证,无需 Bun 二进制,成功调用 fast mode 。
性质
这是计费管道,不是安全边界。选择非密码学哈希( xxHash64 )、无重放检测、常量可机械提取——都说明 Anthropic 将其定位为软性门控。唯一的硬门槛是 OAuth Token (付费账号)。
但 Anthropic 可随时升级方案,常量也会随版本变更。
来源
原文: https://a10k.co/b/reverse-engineering-claude-code-cch.html
研究者于 2026 年 2 月通过 [email protected] 尝试披露,未获回复。Claude Code 源码此后被广泛传播,机制已公开可见。
