用了三个月 Claude Code 被封了，复盘下我排查 IP 问题的过程

最近又被 Claude 封了一个号。

这已经是第三个了。第一个用了半年多，第二个三个月，这个不到六周。收到的都是那句经典的 “Your account has been disabled after an automatic review”，连个具体原因都不给。

我知道 V 站上聊这个话题的帖子已经很多了，从去年到今年，封号帖子隔几天就来一个。我不想再讨论"为什么 Anthropic 不让用"这种问题，只想聊聊在排查过程中我学到的一些关于 IP 检测的东西，可能对正在被同样问题折磨的人有点用。

起因：买了"双 ISP 家宽"，ping0 和 ipinfo 全绿，照样被封

之前看论坛里的建议，说要用 ASN type 是 ISP 的 IP ，别用 Hosting 。于是我花钱买了个 Cogent AS174 的双 ISP VPS ，号称"家宽属性"。

买之前我还特意验了货。去 ipinfo.io 一查，ASN type 显示 ISP，Privacy 显示 False，没有检测到 VPN 或代理。ping0 那边也显示双 ISP ，风控值很低。当时觉得稳了，放心大胆用。

结果不到六周，Claude 又给我封了。

第一步：换个工具查，结论完全不一样

被封之后我不甘心，又多试了几个检测工具。这一试，发现问题了。

先去 ipapi.is 查了同一个 IP 。这个站的数据结构跟 ipinfo 不太一样，它把 ASN 层面和 Company 层面分开展示。ASN 信息里，Cogent AS174 的 type 赫然写着：hosting。

等一下——ipinfo 说是 ISP ，ipapi.is 说是 hosting ？

仔细看了一下，ipapi.is 在 ASN 层面的判断跟 ipinfo 确实不同。Cogent 虽然本质是 ISP ，但它大量的 IP 段被分配给下游的机房和 VPS 商家使用，ipapi.is 显然把这个因素纳入了判断。另外 company 的 abuser_score 标注为 “Elevated”（升高），虽然没标代理或 VPN ，但已经亮了黄灯。

再去 scamalytics.com 查了一下，fraud score 倒是不高才 5 分。但在下面的详细字段里，有一行赫然写着：Datacenter: Yes，还有 Server: Yes。文字描述也写得很直白：“This is not a standard domestic connection, it is a commercial server which could be proxying traffic from another geographical location.”

翻译过来就是：这不是家用宽带，这是一台商业服务器。

第二步：搞明白为什么同一个 IP ，工具之间结论相反 经过这次排查我才搞明白，不同检测工具的数据来源和判断逻辑完全不同：

ipinfo.io 主要依据 ASN 注册信息来分类。Cogent 在 ARIN 注册为 ISP ，所以 ipinfo 判定 ISP——这在注册层面没错，但也没挡住 Cogent 下面挂了无数 VPS 的事实。

ping0.cc 的判断逻辑类似，看到 Cogent 双 ISP 属性就标绿，风控值也给得很低。很多人买 Cogent 伪家宽之前就是拿 ping0 验的货，看到双 ISP+低风控就觉得稳了——我当初也是这么被骗的。

ipapi.is 则把 Cogent 的实际使用情况纳入了考量。虽然 Cogent 注册是 ISP ，但它的大量 IP 段被 VPS 商家租用来跑机器，ipapi.is 直接标记为 hosting 。同时它还给了 abuser_score 这个维度，能看出这个 IP 段的历史滥用程度。

scamalytics 基于自己的欺诈检测流量网络来判断。它见过大量来自这些 IP 段的非家用流量，所以哪怕 fraud score 不高，也会在底层字段里标记 Datacenter = Yes 、Server = Yes 。

四个工具，ipinfo 和 ping0 说没问题，ipapi.is 和 scamalytics 说有问题。所以只查 ipinfo 或只查 ping0 就觉得自己的 IP 安全，是不够的。Claude 的风控系统大概率不会只看 ASN 注册属性这一个维度——人家更可能像 scamalytics 和 ipapi.is 一样，去看这个 IP 到底在跑什么。

第三步：用聚合工具做交叉验证

逐个查工具太费事了，后来找到一个叫 iprisk.top 的站，能同时查 16 个风控数据库，包括 ipapi.is、Scamalytics 、proxycheck.io、Shodan 、IP2Location 、Blocklist.de、DNSBL （ Spamhaus 那几个）、GreyNoise 、Pulsedive 等等。输入一个 IP ，所有源一起查，结果逐个返回。

它有个 IP 类型的投票机制，不是单看 ASN 注册信息，而是综合多个源的数据来投票判断。像这种 Cogent 的伪家宽，ipinfo 那边投 ISP ，但 ipapi.is 投 hosting ，scamalytics 标 Datacenter——综合投票后就会被判定为机房 IP ，天花板分直接压到 50 左右。

我用它查了那个 Cogent IP ，果然被判定机房 IP ，实际得分只有 40 多。扣分项里清清楚楚写着哪些数据库标记了什么。后来又查了一个朋友的日本真家宽 IP ，判定住宅单 ISP ，得分 90 多。差距一目了然。

第四步：处理 IP 之外的泄露

IP 只是一个维度。V 站很多帖子里也提到过，Claude 的风控不只看 IP ，还可能检测 WebRTC 泄露、DNS 泄露、时区和语言设置跟 IP 归属地是否匹配。

我之前就踩过 WebRTC 的坑——代理挂着但 WebRTC 泄露了真实 IP ，等于白搭。后来装了 WebRTC Control 插件才解决。DNS 泄露也是类似的问题，你的代理链路走了美国，但 DNS 请求走了国内，一查就知道你在哪。

iprisk.top 上还有个 /env 页面可以检测浏览器环境，包括 WebRTC 泄露、DNS 泄露、时区语言一致性之类的。虽然这些功能别的站也有，但放在一起查比较方便。

我现在的方案

总结一下我目前的做法，供参考：

彻底放弃了 Cogent 伪家宽，换了一个真正的日本住宅出口，所有 Claude 相关流量固定走这一个节点。用 iprisk.top 确认过这个 IP 是住宅类型、纯净度在 90 分以上。关掉浏览器 WebRTC ，DNS 走代理。不在网页端和 CLI 同时登录。支付走 Apple Store 内购。

目前新号存活两个月了，希望别再翻车。

当然这个方案不一定适合所有人。影响因素除了 IP 还有支付方式、注册手机号来源、设备指纹、使用频率等等。