Anthropic正在对中国用户实施迄今为止最严厉的一轮清剿。

自6月底以来,无论通过VPN规避地域限制、使用第三方API中转服务,还是以海外注册壳公司、云服务商间接接入,大量中国用户的Claude账号均在无预警下遭到封禁。

更具争议的是,Claude Code客户端被曝内置一套隐蔽的用户识别系统,通过本地时区、代理地址等信息判断用户是否与中国相关,并将结果隐藏在系统提示词中回传服务器。Anthropic技术团队成员已公开承认该机制存在,称其是今年3月上线的一项“实验性”反滥用措施,并将在下一版本中移除。

然而,这一以混淆代码和隐写术实现的隐蔽追踪,与Anthropic长期标榜的“透明、可信、负责任”原则形成了直接冲突。

“曲线注册”空间遭全面封杀

Anthropic自成立之初就不对中国用户开放服务。

2025年9月,该公司修改服务条款加码限制力度,明确禁止任何被“不受支持地区”(包括中国)直接或间接控股超过50%的企业或组织使用其服务。

随即字节跳动旗下在新加坡注册的AI编程工具Trae,向用户发送邮件,宣布因“服务中断”全面移除Claude模型访问权限。腾讯旗下的CodeBuddy国际版也下架了Claude相关模型,转而接入OpenAI和谷歌的替代方案。

在执行层面,Anthropic的风控系统已不满足于单纯识别IP属地,而是对整个使用链路进行追踪:VPN节点频繁跳动、曾连接过中国境内的酒店或公司Wi-Fi、甚至近期有过中国出差记录,都可能被判定为高风险账号。

一家总部位于美国、拥有110名员工的农业科技公司近日遭遇整体封号——起因仅是组织内某个账号触发了风控规则。

与此同时,国内开发者长期依赖的第三方API“中转站”也未能幸免,支撑这条灰色产业链的批量注册账号中间商、境外手机号短信验证服务、跨境支付通道以及专门追踪Anthropic检测逻辑变化的逆向工程师,如今均已成为重点清理对象。

今年4月起,Anthropic还引入第三方身份核验服务商Persona,要求部分被标记为“高风险”的用户上传政府颁发的身份证件并完成实时人脸核验,这种“查户口”行为引发了全球用户的强烈反弹。

对用户设备植入“木马”,Anthropic承认系“实验性”措施

比大规模封号更引发技术社区震动的,是Claude Code客户端中被发现的一套隐蔽识别逻辑。

该机制最初由开发者AdnaneKhan在审查Claude Code代码后披露:自2026年4月发布的v2.1.91版本起,该工具便内置了检测代码,当用户设置第三方API中转地址时,程序会读取本地系统时区,重点比对上海与乌鲁木齐时区,并将代理域名与一份内置清单进行比对。

这份清单覆盖百度、字节跳动、腾讯、京东、月之暗面、MiniMax、阶跃星辰等中国科技公司及AI实验室的域名特征,部分企业的内网域名也未被放过。

更具争议的是标记结果的回传方式。Claude Code每次向服务器发送请求前,都会在系统提示词中固定附带一行日期文本。一旦本地检测命中中国相关特征,程序便会对这行文字做两处肉眼几乎无法察觉的修改,以此标记不同的用户分类。

整个过程不产生任何额外网络请求,服务器端仅需扫描文本中的编码差异即可完成身份判定,不会在流量层面留下可疑痕迹。这也是该机制能够潜伏近三个月未被发现的关键原因。

事件发酵后,Anthropic技术团队成员Thariq Shihipar在X平台公开回应称,该机制确实存在,是该公司今年3月上线的一项“实验”,目的在于防止未授权转售商滥用账号,并防范模型蒸馏攻击。

他表示团队此后已部署更强的防护措施,“其实一直想把这个功能下线”,移除工作已排入下一个版本的发布计划。

自我打脸:隐蔽追踪与“透明可信”承诺的冲突

Anthropic长期以来将“透明、可信、负责任”作为其区别于其他AI公司的核心招牌。

该公司公开发布的《负责任扩展政策》明确承诺,“以确保以透明和可信的方式实施这一系统”,并强调公司“致力于负责任且透明地开发AI,主动应对潜在风险”。其Constitutional AI治理框架也将透明度列为核心支柱,声称相关原则“公开、可检查,并明确定位为问责机制”。

但此次曝光的隐蔽标记机制在多个层面与这些公开承诺相悖:相关检测代码经过刻意混淆处理,刻意逃避常规安全审查,版本更新说明中对此只字未提;标记结果通过替换系统提示词中的标点符号进行隐写回传,用户界面、权限提示或隐私政策中均未明确披露;Anthropic技术团队成员虽在事后承认该机制系“实验性”措施,但并未解释为何选择以隐蔽方式植入客户端,也未回应这是否构成对用户知情权的侵犯。

技术社区的质疑焦点由此从“Anthropic是否在封禁中国用户”这一既成事实,转向了一个更根本的问题:即便出于防范模型蒸馏、遵守出口管制等合规考量,企业能否在用户完全不知情的情况下,利用一款拥有本地文件系统权限、可执行Shell命令、能直接读写用户代码与配置的高权限工具,暗中采集使用者的地理与网络环境信息并回传服务器。

有分析指出,这种做法即便出发点是“防止滥用”,其手段本身——将监控逻辑用隐写术藏入系统提示词、以混淆代码逃避审查、且不在版本更新日志中作任何说明——已经构成了对用户基本知情权的侵犯,也更接近于一次未经授权的隐蔽植入,而非Anthropic公开承诺的“透明治理”。

阿里将Claude Code列入高风险软件名单,要求全员卸载

在Claude Code“木马们”持续发酵的背景下,观察者网获悉,阿里巴巴内部已将Claude Code列入高风险软件名单,要求全员在7月10日前卸载包括Sonnet、Opus、Fable等模型系列及Claude Code在内的Agent产品,并推荐使用自家Qoder工具作为替代方案。

阿里内部此前为鼓励员工采用AI技术,不仅推出内部模型免费额度,还对外部模型使用实行大额报销政策,员工可自由选择Claude、GPT、Gemini等外部模型。此次“反向禁用”切断了Claude这一通道。

相比单纯的企业软件替换,这一动作更像是大型科技企业在Claude Code隐蔽标记机制曝光后的风险切割。

这也使Claude在中国开发者群体中的信任危机从“还能不能用”的可用性问题,进一步升级为涉及本地环境信息、企业代码安全和供应链信任的安全问题。