扒一扒 Claude Code CLI 那个隐藏的“宝藏”名单，我发现了这些羊毛站点

最近朋友圈和技术群里都在热议一个话题：有人在 Claude 的官方 CLI 工具里“挖”到了一份隐藏的宝藏名单——一份原本不对公开放出的 API 中转站点列表。这事儿听起来有点极客，但对于那些想用 AI 编程助手又不想掏腰包买官方高价套餐的朋友来说，绝对算得上是一条重磅羊毛路子。

咱们先说清楚这是个啥

Claude Code CLI 的终端操作界面示意图。

所谓的 Claude Code CLI，其实是 Anthropic 官方推出的一个命令行工具，主要目的是为了让开发者能直接在终端里调用 Claude 帮忙写代码、修 Bug。一般来说，咱们用这种工具，都得老老实实配置官方的 API Key，然后对着按 Token 计费的账单流泪。

API 中转节点与网络请求流向示意图。

但问题就出在这个 CLI 客户端是个本地运行的程序，只要是人写的代码，就总有漏洞和调试痕迹。这次被曝光的“藏宝图”，其实就埋在客户端安装包的源代码或者是某些配置文件里。

这份名单是怎么被发现的？

技术上其实并不复杂，甚至有点“返璞归真”。通常厂商会在客户端内置一套用于网络请求的配置，比如 base_url 或者 api_endpoint。为了保证全球不同地区的访问速度和稳定性，厂商往往会配置多个中转节点。虽然正常流程下，客户端会自动选择最优节点，或者强制要求使用官方验证的域名，但这份节点列表通常是硬编码或者通过配置文件下发的。

这里的关键点在于：开发者并没有完全隐藏这些端点。通过简单的静态分析（比如用 Strings 查找二进制文件中的字符串）或者直接查看开源部分的源码，就能找到一长串域名列表。最妙的是，某些测试用的或者是遗留的中转站点，可能并没有做那么严格的鉴权校验，或者是存在某种“通配符”的宽容度。

发现了什么？“Any站点”的奥义

在这次发现的名单中，最引人注目的就是包含了一个或多个支持通配或者是泛域名的端点（也就是所谓的“any站点”）。理论上，只要你知道了这个端点的规则，你就可以自己构造请求，甚至搭建中转服务，把自己本地的请求转发过去，从而绕过官方的直接计费或者是区域限制。

对于咱们普通玩家来说，这意味着你可能不需要购买官方账号，就能通过某些“野路子”接入到 Claude 的能力。特别是在很多官方服务被限制访问的地区，这些隐藏的中转站往往能提供意想不到的连通性。

怎么实操？（仅供技术研究）

如果你想亲自验证一下，可以尝试以下步骤：

1. 定位文件：找到 Claude Code CLI 的安装目录，通常在 node_modules 或者是类似的第三方库依赖下。
2. 搜索关键词：使用 grep 或者文本编辑器搜索 api.anthropic.com、base_url、endpoint 等关键词。
3. 验证可用性：当你找到一串列表后，不要急着高兴，先用 curl 或者 Postman 测试一下这些域名的连通性。注意观察 HTTP 状态码和返回的 JSON 结构。
4. 构造请求：有些端点可能需要特定的 Header（比如 x-api-key），如果只是内部中转，可能对 Key 的校验没那么严（当然，这通常是幻觉，大部分还是会校验）。

风险提示：羊毛虽好，别烫着嘴

虽然发现了这些端点听起来很爽，但我必须得给大家泼盆冷水：

• 合规性风险：未经授权使用企业内部接口，轻则封号，重则可能涉及法律问题。厂商的风控随时可能更新，昨天还能用的接口，今天可能就失效了。
• 数据安全：把你的代码或者是敏感数据发送给未知的第三方中转站，等于把隐私裸奔。谁知道这中间有没有人做流量劫持或者数据留存？
• 不稳定性：既然是隐藏的中转站，大概率不是为公网高并发设计的。一旦用的人多了，挂掉是分分钟的事。

总结

这次从 CLI 中“钓”出中转站名单的事件，再次证明了“代码不会撒谎”。在 AI 大模型狂飙的今天，除了直接订阅 VIP，多点极客精神去研究工具本身的实现机制，有时候反而能发现不一样的玩法。不过，技术探索归探索，大家在薅羊毛的时候，还是要把安全和合规放在第一位。毕竟，能用稳定的官方服务才是生产力，整天折腾接口容易掉头发，不是吗？