Claude新宠物功能上线不到一天被破解：社区开源重抽工具，白板秒变闪光传说

据 1M AI News 监测，Claude Code 新宠物功能/buddy 系统上线数小时，开发者社区就从泄露源码中找到了重抽方法，开源工具和教程已在 Linux.do、V2EX、GitHub 等平台传播。

目前至少有两种重抽路径。一种针对宠物生成算法中的固定盐值（salt），该值以 15 个字符硬编码在 Claude Code 的编译产物中，通过同长度替换即可改变随机种子，暴力枚举后找到对应目标宠物的值写入即可。另一种利用认证路径差异：订阅用户正常登录时，服务端下发的 accountUuid 作为宠物种子且无法篡改，但通过环境变量认证时该值不被写入本地配置，系统退而求其次读取可自由编辑的 userID 字段。

改 salt 的方法最脆弱，下次 Claude Code 更新就会被覆盖。改 userID 对订阅用户来说也有保质期，Anthropic 补上环境变量路径的 accountUuid 写入逻辑即可封堵。API 用户（使用自有 API Key 认证）天然没有 accountUuid，可直接修改 userID，窗口相对更长，但 Anthropic 同样可以通过 API Key 哈希生成稳定标识来封堵。骨架数据不存本地，每次启动实时计算，任何服务端补丁都能立刻生效。

另外，userID 不只服务于宠物系统。泄露源码显示遥测上报和 A/B 测试分组同样读取该值，修改后可能导致实验功能异常或使用数据断裂。