宝玉实测:Claude Code 的 --append-system-prompt 参数可正常使用
宝玉测试发现 Claude Code 的 --append-system-prompt 和 -p 参数配合使用正常,但 system prompt 中不能包含 OpenClaw 关键字,否则会触发限制。
查看原文核心要点
2026年4月5日,AI 开发者宝玉(@dotey)在 X 平台分享了对 Anthropic Claude Code CLI 工具的实测发现:--append-system-prompt 参数与 -p 参数组合使用时功能正常,可用于向 Claude Code 追加自定义系统提示词。然而,一个关键限制条件浮出水面——若 system prompt 中包含 "OpenClaw" 关键字,将触发 Claude Code 的安全限制机制,导致命令执行被阻断。这一发现揭示了 Claude Code 在对抗第三方注入攻击(prompt injection)方面的防御策略边界。
原文 + 中文翻译
原文:宝玉测试发现 Claude Code 的 --append-system-prompt 和 -p 参数配合使用正常,但 system prompt 中不能包含 OpenClaw 关键字,否则会触发限制。
翻译:Bao Yu (dotey) discovered through testing that Claude Code's --append-system-prompt and -p parameters work normally when used together, but if the system prompt contains the "OpenClaw" keyword, it will trigger restrictions.
深度解读
一、为什么重要:Prompt Injection 防御的战线前移
Claude Code 作为 Anthropic 官方推出的命令行编程助手,被广泛用于自动化代码生成、脚本执行等场景。--append-system-prompt 参数的存在本身是为了提升灵活性——允许用户在不修改 CLI 本身的情况下,为特定任务注入定制化的行为指令。但这也同时打开了一扇危险的门:恶意第三方可以通过在用户不知情的情况下,向追加的 system prompt 中植入有害指令,实现对 AI 行为的劫持。
OpenClaw 正是在这一背景下被识别为敏感词。OpenClaw 很可能是一个第三方 Claude Code 封装工具或代理框架的名称,当系统检测到该关键字时,Claude Code 会主动拒绝执行——这说明 Anthropic 已经将"对抗第三方封装工具滥用"纳入了安全策略。Claude Code 不希望自己的 API token 和能力被 OpenClaw 这类工具转售或二次分发,因此触发了内置的令牌验证或行为策略阻断机制。
二、行业影响:对 MCP 生态的连锁反应
这一发现与近期 AI 领域热议的 MCP(Model Context Protocol)协议形成了有趣的对照。MCP 旨在标准化 AI 模型与外部工具的连接协议,其设计哲学是"开放互联"。而 Claude Code 此次对 OpenClaw 的封禁则体现出 Anthropic 的另一面——对生态控制权的把控。
对于 AI Infra 行业而言,这揭示了一个深层矛盾:模型提供商一方面通过 API 和工具(如 Claude Code)向开发者提供能力,另一方面又通过 prompt 过滤、token 限制、第三方封禁等手段限制能力的溢出。对于构建在 Claude 之上的二次开发工具(如 OpenClaw)而言,这条消息意味着明确的政策风险信号——依赖 Anthropic 生态但又脱离其控制的工具,随时可能面临被断供。
三、商业策略:Anthropic 的"可控开放"路线
从商业视角看,Anthropic 正在走一条"可控开放"的道路:
- CLI 工具免费开放,降低开发者门槛,扩大用户基数;
- API 商业化变现,通过 token 计费模型维持收入;
- 安全边界明确化,通过 prompt 过滤和关键字封禁防止能力被第三方"截流"。
OpenClaw 若是一个试图绕过 Anthropic 直接调用 Claude 能力并转售的服务,其被封禁完全符合 Anthropic 的商业利益。这一策略类似于云服务商封禁灰色转售账号——确保每一分 AI 算力的消耗都在自己的计费体系之内。
值得关注
- Anthropic 官方公告:关注 Anthropic 官方文档或博客是否更新 Claude Code 的使用条款,明确"允许哪些类型的 system prompt 修改"和"禁止哪些第三方集成工具";
- OpenClaw 的回应:OpenClaw 团队是否会公开承认被封禁事实,以及是否会推出绕过检测的变通方案(如对 "OpenClaw" 字符串进行 base64 编码或混淆);
- 其他第三方封禁关键字:宝玉的测试聚焦于 OpenClaw,但 Claude Code 的封禁词表可能不止这一个——社区是否会陆续发现 "Cursor" "Cline" "Aider" 等其他第三方封禁词,形成更完整的第三方对抗地图;
- Claude Code 安全机制的逆向工程:技术社区是否会通过实验确定该检测是在客户端(CLI)还是服务端(API)触发——这一差异决定了封禁的可绕过性和安全性级别;
- 对 MCP 协议推广的影响:若 Anthropic 对第三方工具的封禁策略趋于严格,是否会影响 MCP 生态中第三方 Server 的生存空间,从而与 MCP "开放互联"的设计初衷产生冲突。
信源行:原文链接:@dotey (X/Twitter)
背景报道:Anthropic Claude Code 官方文档(了解 --append-system-prompt 参数的官方说明);Anthropic 安全策略相关更新(关注其对第三方工具封禁的政策演进)。