Claude Code 新上线的宠物功能(Buddy 系统)在发布数小时内即遭开发者社区破解。相关开源工具与教程已在 Linux.do、V2EX、GitHub 等平台传播。
目前流传的主要破解方法有两种:
1. 修改固定盐值(Salt)
- 宠物生成算法中使用了硬编码的15字符盐值。
- 通过替换同长度字符串改变随机种子,暴力枚举后写入目标值即可获得特定宠物。
- 此方法最为脆弱,Claude Code 下次更新便会被覆盖。
2. 利用认证路径差异
- 订阅用户正常登录时,服务端下发的
accountUuid作为宠物种子且无法篡改。 - 但通过环境变量认证时,该值未被写入本地配置,系统转而读取用户可自由编辑的
userID字段。 - 此方法对订阅用户也有时效,一旦 Anthropic 修补该逻辑即会失效。
- API 用户(使用自有 API Key)因无
accountUuid,可直接修改userID,漏洞窗口相对更长,但同样可被服务端修复。
风险与影响
- 任何修改都可能因服务端补丁而立刻失效。
userID字段也用于遥测上报和 A/B 测试分组,修改它可能导致实验功能异常或用户数据断裂。
