Claude Code 签名算法遭逆向：仅需 30 行代码即可伪装官方客户端

安全研究人员成功逆向了 Anthropic 在 Claude Code 中用于门控功能的请求签名机制。研究发现，通过分析 Bun 二进制文件，可以提取出 `cch` 签名的生成算法（包含 xxHash64 和 SHA-256）。由于缺乏 TLS 指纹校验、重放检测等强安全措施，任何持有有效 OAuth Token 的第三方客户端，仅需约 30 行代码即可伪装成官方客户端，成功调用 Fast Mode 等受限功能。这表明该机制仅作为计费管道的软性门控，而非真正的安全边界，Anthropic 可随时通过更新常量来修补漏洞。