阿里巴巴集团已通知全体员工,自 7 月 10 日起禁止在工作环境中使用 Anthropic 的 AI 编程工具 Claude Code。根据 SCMP 获取的内部通知,阿里将 Claude Code 列入"具有安全漏洞的高风险软件"清单,理由是该工具被发现在二进制文件中嵌入了用于检测中国用户的隐藏代码。这不仅是 Anthropic 上月指控阿里巴巴 Qwen 实验室系统性蒸馏 Claude 之后的直接反击,更标志着中美 AI 领域信任危机从"口水指控"升级为实际供应链断裂。
隐藏检测代码的技术细节
这场风波的导火索是 6 月 30 日 Reddit r/ClaudeAI 上的一篇帖子。用户 LegitMichel777 声称在尝试恢复 Claude Code 中被禁用的远程控制功能时,反向工程发现了 隐藏在二进制文件中的检测逻辑。
根据技术分析和 CyberSecurity News 的总结,该机制自 4 月 2 日发布的 v2.1.91 版本起悄悄存在,从未在更新日志中披露。当工具检测到用户使用代理时,代码会检查系统时区是否匹配 Asia/Shanghai 或 Asia/Urumqi,并将代理 URL 与一份硬编码名单比对——名单中包含阿里巴巴、百度、字节跳动、蚂蚁集团、月之暗面等中国企业和 AI 实验室,共计 147 个中国域名。
更关键的是传输方式。代码并未发送明文遥测信号,而是通过隐写术将检测结果编码到发给 Anthropic 服务器的系统提示中——修改日期格式、替换一个标点符号(将 ASCII 撇号替换为 Unicode U+02BC)。用户完全看不到这一变化,但对 Anthropic 服务端而言是可机器解析的信号。Reddit 用户通过搭建本地伪造 API 服务器动态验证了这一机制:设置 ANTHROPIC_BASE_URL 指向 deepseek.127.0.0.1.sslip.io 后,实际请求体中的日期格式确实发生了特征性变化。
Anthropic 至今未发布正式声明,但 Claude Code 团队工程师 Thariq Shihipar 在 X 上回应称,这是"我们在 3 月启动的一项实验,旨在防止未经授权的转售商滥用账户并防范蒸馏"。他表示团队"一直打算移除这段代码",删除该代码的 pull request 已在 7 月 1 日——即 Reddit 帖子发布的次日——合并入主分支。
从蒸馏指控到双向制裁
阿里此次禁令并非孤立事件,而是 Anthropic 与阿里之间持续升级的对抗中的最新一环。
6 月 10 日,Anthropic 致信美国参议院银行委员会,指控阿里巴巴 Qwen 实验室的操作者在 4 月 22 日至 6 月 5 日期间,通过约 25,000 个虚假账户生成了 2,880 万次 Claude 对话,系统性提取 Claude 的软件工程和推理能力。Anthropic 称这是已知最大规模的模型蒸馏攻击,规模超过了此前归因于 DeepSeek、月之暗面和 MiniMax 的三次蒸馏行为之和。
阿里未对蒸馏指控做出实质性回应,但据 The Next Web 报道,Anthropic 随后采取了大规模账户限制措施,大量中国用户被无预警切断访问。Anthropic 长期以来对华采取业界最严格的准入政策——它是唯一一家明确禁止中国境内实体(包括通过海外子公司)使用其模型的前沿 AI 公司。
正是这种封堵政策使得中国开发者只能通过代理访问 Claude Code,也正因如此,一段以"代理检测"为触发条件的隐藏代码在中国开发者眼中就成了专门针对他们的猎捕工具。
NVDB 安全警报:官方层面的定性
7 月 8 日,事件从企业间的商业纠纷进一步升级。中国工业和信息化部下属的国家信息安全漏洞数据库 (NVDB) 发布安全公告,称 Claude Code"包含安全后门漏洞,构成严重威胁"。
NVDB 指出,受影响的版本涵盖 2.1.91 至 2.1.196(4 月 2 日至 6 月 29 日期间发布),该工具"可在未经用户同意的情况下将敏感信息发送至远程服务器,包括用户的位置和身份信息"。公告建议用户立即卸载受影响版本,或升级至已移除上述代码的最新版本。
Anthropic 在回应 CNBC 询问时重申,该机制属于防范蒸馏的实验,并强调其政策始终禁止中国控制实体使用 Claude。
信任瓦解的结构性后果
这场对峙折射出一个更大的结构性矛盾:中美 AI 生态正在不可逆地脱钩,而开发工具的"供应链信任"正成为一个新的断层线。
硬件层面,华盛顿今年以来对华芯片管制有所松动,批准约 10 家中国企业(包括阿里)采购最多 75,000 颗 H200S 芯片。但北京方面同时劝阻企业购买获批的美国芯片,明确推动国产 AI 技术栈。
软件层面的脱钩路径与此类似。Anthropic 在账户层面封锁中国,OpenAI 此前也封禁了大量被指控放大美国数据中心电价争议的中国关联账户。现在,中国最大的科技公司主动在职场层面封杀美国 AI 工具。阿里的替代方案是内部工具 Qoder,而据知情人士透露,禁令范围不仅限于 Claude Code,还包括所有 Anthropic 产品线。
但这场对抗中最棘手的问题或许是:Anthropic 在 Claude Code 中植入用户检测代码的做法,在技术上是否也适用于其他地区或竞争对手?目前尚无独立安全公司对相关技术主张发布完整审计,Anthropic 的回应也仅限于一名工程师的个人社交媒体发言。对于一家以"宪法 AI"和"负责任的扩展"为核心品牌承诺的公司而言,这一沉默本身就构成了实质性风险。

