从环境变量到网络层,构建全方位的隐私保护体系
CC-Gateway采用三层防御架构,从多个层面确保用户隐私信息不会泄露。这种设计既保证了防护的全面性,又提供了不同层级的灵活性,用户可以根据实际需求选择启用不同的防御级别。
防护等级:基础
这是最简单也最基础的防御层。客户端通过设置环境变量来选择通过网关路由请求。这种方式配置简便,适合临时使用场景或快速测试环境。
# 设置API基础URL指向网关
export ANTHROPIC_API_BASE=http://your-gateway:8080
# 或者设置完整的API密钥
export ANTHROPIC_API_KEY=your-api-key优点:配置简单,无需额外软件
局限:完全依赖客户端配合,某些应用可能不支持
防护等级:中级
clash-rules.yaml提供了网络级的流量拦截。这种方式不需要应用程序主动配合,所有匹配规则的流量都会被强制重定向到网关。
# Clash规则配置示例
rules:
- DOMAIN-SUFFIX,anthropic.com,gateway
- DOMAIN-KEYWORD,claude,gateway
- DOMAIN-KEYWORD,anthropic,gateway
# 配合代理组使用
proxy-groups:
- name: gateway
type: http
url: http://your-gateway:8080优点:无需应用配合,网络层自动拦截
局限:需要Clash或其他支持规则配置的代理客户端
防护等级:高级
这是最核心、也最复杂的防御层。所有通过网关的请求都会经过严格的身份规范化处理,将真实设备指纹替换为预设的标准身份。
# config.yaml 核心配置
identity:
device_id: "0000000000000000000000000000000000000000000000000000000000000000"
email: "user@example.com"
env:
platform: darwin
arch: arm64
node_version: v24.3.0
terminal: iTerm2.app
os_version: "Darwin 24.4.0"
prompt_env:
platform: darwin
shell: zsh
working_dir: /Users/jack/projects优点:最全面的防护,所有流量都会经过处理
局限:配置相对复杂,需要正确设置标准身份
这三层防御可以单独使用,也可以叠加使用以获得更高级别的保护。
用户设备 → Clash规则拦截 → CC-Gateway网关 → 身份重写 → Anthropic API
真实设备信息在网关处被完全替换,Anthropic服务器只能看到标准化的身份
建议至少启用环境变量层和Clash规则层,日常使用已经足够安全。
建议三层全部启用,配合统一的标准身份配置,确保团队成员使用相同的设备指纹。