阿里巴巴7月3日下发内部通知,将Anthropic的Claude Code列为高风险软件,自7月10日起全员禁用,并要求卸载Sonnet、Opus、Fable等全系模型,改用自研平台Qoder。
导火索是Reddit用户对Claude Code 2.1.91版本的逆向分析:自今年4月起,该工具悄悄读取系统时区(Asia/Shanghai、Asia/Urumqi),并将代理地址与147个中国域名、11个AI实验室关键词比对,随后通过隐写术把结果藏进系统提示词——把日期分隔符从横杠换成斜杠、把"Today's date is"里的撇号替换为四种肉眼无法分辨的Unicode字符,随请求回传服务器。
检测清单以base64存储、用XOR密钥91解码,更新日志只字未提。Anthropic承认此系3月启动的实验性反蒸馏措施。此前6月10日,Anthropic致函美参议院银行委员会,指控阿里通义Qwen团队关联方以约2.5万个虚假账号在4月22日至6月5日间与Claude进行了逾2880万次对话,定性为已知规模最大的一次蒸馏攻击,阿里否认。
这场风波把大模型竞争推向了新阶段:从算力和参数的对抗,滑向工具信任与主权边界的对撞。
Claude Code并非普通App,它握有文件系统与Shell执行权限。
当一款具备如此权限的工具,选择用隐写术而非公开条款去甄别用户国籍,即便动机是反盗用,方法本身已越过开发者信任的底线。混淆加密、base64与XOR,这些通常出现在恶意软件里的技法,被写进面向付费开发者的生产工具,Anthropic很难只用"实验"二字轻描淡写。
然而这不是单方面的道德剧。Anthropic致函美参议院、指控约2.5万个关联账号进行工业级蒸馏,其愤怒并非无源,阿里的否认也尚待更完整披露。真正被架空的,是Claude在华早已被禁售、开发者却普遍借VPN翻墙使用的灰色现实。
这盘棋没有干净的一方。禁令之后,AI冷战的分界线不再是芯片管制,而是每一个开发者电脑里的那把钥匙——它到底在替谁工作。