7 月 3 日,英国《金融时报》发表独家调查,揭示了中国最大几家科技公司系统性绕过 Anthropic 对华 Claude 禁令的三种操作模式。同一天,阿里巴巴发布内部通知,将 Claude Code 列为"存在后门风险的高危软件",宣布自 7 月 10 日起禁止员工在工作环境中使用。两条线索的交汇,让 AI 时代技术禁运的执行困境前所未有地清晰:禁令的法律文本与跨国公司的现实运作之间存在一条宽阔的灰色地带,而交战双方——美国 AI 实验室和中国科技巨头——都在加紧封堵对方的漏洞。
三种绕过模式:新加坡子公司、VPN 报销与云基础设施
据 FT 援引知情人士报道,蚂蚁集团为大陆员工提供了与新加坡子公司关联的企业 Claude 账号。员工通过公司内部网络接入这些账号,在技术上呈现为新加坡实体在使用服务——而蚂蚁的新加坡子公司是一个独立法人,不在 Anthropic 对中国企业的限制范围之内。
字节跳动则采用了另一条路径:工程师自行购买 Claude 个人订阅,通过 VPN 访问,公司事后予以报销。这种做法使访问行为在 Anthropic 一端看起来是零散的个人消费者使用,而非系统性企业部署。
第三种模式最为隐蔽:公司通过海外注册的子公司,利用微软 Azure 等云基础设施间接访问 Claude。这些子公司在法律上与母公司分离,但由同一批大陆工程师通过内部网络操作,在真实的用户与名义上的客户之间保持了一层隔离。
蚂蚁集团和字节跳动均拒绝对 FT 的报道发表评论。
这三种做法在孤立审视下均不违反美国或中国法律,但它们直接违反了 Anthropic 的服务条款。Anthropic 自称是"唯一一家限制向中国控制的公司销售产品的前沿 AI 公司",这一限制涵盖在中国境外注册的子公司。2025 年 9 月,Anthropic 更新条款,明确禁止"由中国内地实体直接或间接持股超过 50%"的任何公司使用其服务,无论注册地在哪里。当时 Anthropic 明确表示,这次更新正是为了防止通过子公司规避禁令。FT 的最新报道表明,规避行为非但没有停止,反而更加系统化。
"中转站"灰色市场:API 价格低至官方定价的 5%
在企业级规避路径之外,一个面向中小开发者的灰色市场也在繁荣生长。所谓的"中转站"(transfer station)是一种中间服务器:接收中国用户的提示词,通过境外合法账号转发给 Claude,将回复返回给用户,并通过微信或支付宝收款。数十家此类服务在中文网站和 GitHub 页面上公开列出,对比各模型的 Token 价格和支持的模型。部分中转站从 Anthropic 的授权分销商处获取企业折扣,售价可低至 Claude 官方 API 定价的 5% 至 10%。
不过,分析师指出,大型中国 AI 公司通常避免使用中转站——它们担心运营商可能存储、转售或分析自己的提示词。对蚂蚁和字节跳动这样的巨头来说,海外子公司的路径虽然维护成本更高,但数据安全性远胜于不可控的灰色中间商。
Anthropic 的反击:时区检测、隐藏代码与身份验证
Anthropic 的反制手段正在快速升级。据 TechStory 报道,公司现在监控账户的行为信号,包括用户计算机的时区和使用模式,以识别充当中国用户中继节点的"中转站"账户。自 2026 年 4 月起,Anthropic 开始要求被标记的账户进行身份验证,提交政府颁发的身份证件和实时自拍才能恢复访问。
更具争议性的是隐藏检测代码事件。安全研究人员发现,自 2026 年 4 月 2 日发布的 Claude Code v2.1.91 起,Anthropic 在软件中嵌入了混淆检测逻辑:当检测到代理连接时,代码会检查系统时区是否匹配"Asia/Shanghai"或"Asia/Urumqi",并将代理 URL 与硬编码的 147 个中国实体列表进行比对——包括已知的中国 AI 实验室、代理商和网关域名。检测结果通过 XOR-91 混淆和隐写术(Unicode 字符替换)嵌入系统提示中传回 Anthropic 服务器,在发布说明中完全没有提及。
一位名为"Thereallo"的开发者公开了这一发现,在 Reddit 和 GitHub 引发强烈反响。Anthropic 的 Thariq Shihipar 在 X 上回应称,这是一项"3 月启动的实验,目的是防止未经授权的代理商滥用账户并防范蒸馏攻击",并表示"团队此后已部署更强的缓解措施,我们其实早就计划移除此代码"。7 月 2 日版本的 Claude Code 已确认移除了隐藏检测逻辑。
蒸馏攻击的规模:阿里巴巴案为背景
FT 关于蚂蚁和字节跳动的报道,只是中国公司系统性获取 Claude 能力这一更大图景的一部分。6 月 24 日,Anthropic 致美国参议院的一封信件首次被 CNBC 和 Bloomberg 披露:在 2026 年 4 月 22 日至 6 月 5 日的 45 天内,约 25,000 个虚假账户与 Claude 进行了超过 2,880 万次交互。Anthropic 将这一行动定性为"迄今为止已知的最大规模蒸馏攻击"——通过大规模系统性查询提取 Claude 的能力,用于训练竞争对手的模型。
Anthropic 将这些账户与阿里巴巴通义千问 AI 实验室的关联操作者联系起来,但未直接指控阿里巴巴公司层面策划了这次攻击。在参议院信中,Anthropic 呼吁加强美国 AI 公司之间的信息共享,并对蒸馏攻击的实施者施加"显著更严厉的惩罚"。
为什么 Claude 成为中国 AI 公司反复瞄准的目标?答案在于编码能力。即便是面对越来越强大的国产模型,Claude 在复杂软件工程任务上的表现仍被广泛认为领先。对于"蒸馏"——通过向更强大的模型大规模提问并记录答案来训练更小、更便宜的模型——Claude 的编码专长使其成为首选目标。
Anthropic CEO Dario Amodei 在 2026 年 2 月曾表示,公司因拒绝向中国共产党关联企业销售产品、阻止中共支持的网络安全攻击,已经损失了"数亿美元"的收入。
双向封锁:阿里巴巴禁用 Claude Code
FT 报道发布的同一天,阿里巴巴的反制行动落地了另一条线索。据《南华早报》获得的内部通知,阿里巴巴宣布"经全面评估,Claude Code 近期被发现存在后门风险,现已列入存在安全漏洞的高风险软件清单"。禁令于 7 月 10 日生效,员工被引导使用公司自研的 Qoder 工具作为替代。
这一禁令表面上是针对 Anthropic 隐藏检测代码的安全回应,但深层逻辑更为复杂。就在两周前,Anthropic 刚刚在参议院信中指控阿里巴巴关联操作者实施了最大规模的蒸馏攻击。阿里内部禁用 Claude Code,既是安全风控,也是切断海外 AI 工具依赖、推动国产替代的一步——其背后是 Anthropic 加强中国用户检测这一事实引发的信任崩塌。
禁运困境:法律碎片化创造的灰色地带
FT 的这组报道揭示了一个结构性矛盾:在法律层面,Anthropic 的 TOS 禁止中国公司使用 Claude,蚂蚁和字节跳动的行为确实违约;但在执行层面,跨国公司法律实体的碎片化——同一集团在新加坡注册的独立法人,由中国员工通过网络接入——创造了一条 TOS 文本无法直接覆盖的通道。
Anthropic 现在不仅在修补 TOS 漏洞,还在技术层面构建检测系统。微软告知 Anthropic,支持其在 Azure 上监控使用行为并执行规则。但技术手段也有其边界:时区可以修改,代理可以更换,身份验证可以借道。随着国产模型能力快速提升——美团开源的长猫 LongCat-2.0(1.6 万亿参数、MIT 许可证、全国产芯片训练)在 SWE-bench Pro 上以 59.5% 超越 GPT-5.5 的 58.6%——中国公司对 Claude 的依赖正在从"别无选择"过渡到"择优而用"。
这组事件是 AI 技术禁运执行困境的教科书式案例。企业可以在法律文书的缝隙中穿行,而检测与反检测的技术军备竞赛似乎永无止境。真正的难题在于:当绕行行为本身不违反任何国家的法律,仅构成对私人公司服务条款的违背时,执行的天花板究竟在哪里?
