阿里全面禁用Claude Code,A社对中国用户的隐蔽歧视链浮出水面

阿里全面禁用Claude Code,A社对中国用户的隐蔽歧视链浮出水面

securityAIpolicyAnthropicdiscrimination

数据源:第一财经 + Reddit r/ClaudeCode + 虹线

7月3日,阿里向全员发出一纸通告:因Claude Code近期被曝存在植入后门的安全风险,经综合评估后将其列入高风险软件名单。自7月10日起,办公环境全面禁用Claude Code,推荐使用Qoder作为替代方案。

这是国内第一家公开对Claude Code说”不”的科技巨头。而这个”安全风险”,指的不是零日漏洞或供应链攻击。是Anthropic自己——在用户毫不知情的情况下,往Claude Code客户端里埋了一段专门识别”跟中国有关”流量的隐蔽代码。

藏在撇号里的隐形标记

6月30日,Reddit用户LegitMichel777在r/ClaudeCode板块发帖,标题很直白:Claude Code在给你贴标签。

他把Claude Code的客户端拆了出来。随后安全研究员Adnane Khan发布了完整的逆向工程分析,覆盖v2.1.193到v2.1.196的JavaScript源码,把整套机制从头到尾还原了一遍。

触发条件很具体:用户将环境变量ANTHROPIC_BASE_URL设成了非官方代理地址——这在中国开发者中是常规操作,因为Anthropic从未正式向中国大陆提供服务。

一旦触发,程序会依次完成两层校验:先比对系统时区是不是Asia/ShanghaiAsia/Urumqi;再把当前代理域名,跟一份内置的147条硬编码黑名单做匹配。名单经过XOR-91加密再做Base64编码,解码后能看到百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等国内AI企业和大量Claude API中转服务的域名。

如果命中判定条件,发生了一件非常精巧的事:每次API请求中附带的那句日期提示——看起来人畜无害的”Today’s date is 2026-06-30”——会被悄悄改写。短横”-“换成斜杠”/“,普通的ASCII撇号'被替换成四个肉眼无法分辨的Unicode变体之一,不同字符编码对应不同的风险等级。

这一切在等宽字体的终端里,人眼不可能发现。但Anthropic服务端收到请求后,能精准识别你属于哪个风险类别。这套方案在信息安全领域有个正式名称:隐写术(steganography)——把信息藏在看起来正常的内容里,让不该看到的人看不见。

整段逻辑经过了XOR混淆处理,常规查看源码无法定位。更新日志、产品文档里没有任何相关说明。一个拥有读写本地文件、执行终端命令权限的编程工具,在你完全不知情的情况下,给每一次请求盖了一个只有服务端才能辨认的隐形水印。

“反蒸馏”还是”反中国”?

此外,逆向工程还发现了一个名为ANTI_DISTILLATION_CC的TypeScript标志位。这个标志启用后,会向API请求中注入伪造的工具调用数据——目的不是保护用户。如果竞争对手试图用Claude的输出训练自己的模型,这些假数据会让训练结果变差。

7月1日,Anthropic的工程师Tarik Hicham对外回应,承认这段代码确实存在,解释其背景是2026年3月启动的内部”反蒸馏实验”——当年2月,Anthropic曾公开指控DeepSeek、月之暗面、MiniMax三家公司利用两万四千个虚假账号发起超1600万次API调用,批量抽取Claude模型能力。这套静默检测机制是”临时上线的短期风控实验”。

但两个事实让这个解释站不住脚。

第一,标记逻辑完全基于”你是谁”而非”你做了什么”。只要你的时区是上海、你的域名在黑名单里,你的请求就被暗中标记——不会管你是不是个人开发者、是不是在合法使用、是不是付费用户。真正批量蒸馏的机构,随便把时区改到东京、换一个不在黑名单上的中转站,就能绕过这整套检测。这个”风控”对真正该防的人没什么用,对普通用户却打击面极大。

第二,这不是一段随手写的if判断。从选定黑名单、XOR加密、Base64编码、Unicode字符表映射、到混淆嵌入产品,每一步都要有人提需求、有人写代码、有人Code Review、有人发布上线。这个流程需要经过产品经理、Tech Lead、Release Manager。如果这些参与者中没有任何人觉得”把中国人悄悄标记出来”这件事有问题——那问题比这段代码本身更大。

正如技术评论者评论尸在长文《为什么说Anthropic是邪恶的?》中所说:“算法偏见可能来自数据中的无意识样本偏差,但歧视代表着主动决策。Claude Code里所做的行为,恰恰是有主语和主观能动性的。“

时区、国籍、一滴血

这起事件放在Anthropic过去一年的行为链条中看,更完整。

2026年4月,OpenAI、Google DeepMind、Anthropic三家联合组建前沿模型论坛专项小组,协同识别跨区域”模型蒸馏”。Anthropic从未在中国市场正式提供Claude商用服务,却反复以”蒸馏”为由向美国国会致信,指控中国企业”窃取”模型能力——“蒸馏”在AI行业本身是广泛使用且开源社区每天都在做的技术手段,但当对象变成中国公司,Anthropic立刻将其升级为”盗窃国家机密”级别的指控。

2026年6月12日,美国以国家安全为由,下令暂停任何外籍人士使用Anthropic的Fable 5和Mythos 5模型。注意措辞——不是”境外人士”,是”外籍人士”。不论他们此刻身在加州硅谷的办公室里还是持有美国合法工作签证,只要出生地不在美国本土,一律被切断访问。技术伦理研究者Andrej Karpathy——持有EB-1绿卡的AI领域知名研究者——也在这道禁令中被挡在门外。判定标准不考虑他现在做什么、为哪家公司工作。只看他生而为谁。

在美国出口管制体系中,这叫做”视同出口”(deemed export):把受管制的技术信息交给一个外国人,哪怕他此刻人就在美国,法律上等同于把这项技术出口到了他的母国。这条规则不考虑你现在的身份、居住地、贡献——只有你的出生地在计算范围内。

评论尸在文章中把这种逻辑与历史上的”一滴血规则”(one-drop rule)做了对照——19到20世纪美国多个州曾白纸黑字写入法律:只要一个人的血统里有”一滴”非白人血统,就该被归入劣势种族。判定标准不看你做了什么、有什么成就,只看你生来是谁。今天,评价尺度从”血统比例”换成了”国籍出身”,但判断方式没变。

这也是阿里选择禁用Claude Code的根本原因——当一家公司的客户端在你的机器上以root级权限运行、可以读写文件、执行命令、访问网络,却同时在暗中按国籍标记用户、而且全程不做透明披露,任何一个负责任的科技企业都不能放任这种工具继续运行在自己的办公环境中。

“安全”是对谁说的

Anthropic的公司名取自信息论之父克劳德·香农,“Anthropic”在英文中是”人本主义”的意思。CEO Dario Amodei常年用”AI安全""与人类价值一致""负责任的扩展”这些词为公司做品牌背书。他们甚至提出了一套Constitutional AI训练法——给模型发一部”宪法”,让它自我约束。

同一家公司,一边在博客上大谈”对全人类价值的承诺”,一边在拥有最高系统权限的开发者工具里,偷偷埋进一份按国籍区分的用户分类黑名单。

信息隐写、域名黑名单、XOR混淆、Unicode水印——这些技术手段放在一起,跟”安全”没有任何关系。它做的事是给一群人贴上标签,在他们不知道的情况下,把标记发回服务端。至于这个标签将来会被用来做什么——拒绝服务?涨价?封号?还是更不可预知的用途——被标记的人无从知晓也无从申诉。

Anthropic承诺将在下一版更新中删除这段检测逻辑,并改用”更透明、对普通用户无误伤的公开风控方案”。但代码已经被反编译,黑名单已经在GitHub上传阅,信任的裂痕不会因为一次版本更新就自动修复。

一个有意思的细节:阿里推荐的替代方案是Qoder——国产编程工具。这件事本身就是一个信号:当地缘政治已经渗透到IDE和CLI工具的字节层面,选择工具不再只是选好用,也是在选你能不能掌控自己的被对待方式。

本文的素材来自公开信息和社区讨论。如果你对这个话题有更深入的一手经验,欢迎指出文中的不足。

参考链接: