你想想,一个时区怎么就成了间谍

说实话,这事儿让我后背发凉。

7月3日,阿里巴巴内部下了道通知:从7月10日开始,全面禁用Claude全系产品。Sonnet、Opus、Fable这些模型都不能用了,连Claude Code也被列入高风险软件名单。阿里推荐员工改用Qoder。

这事儿乍一看挺突然——毕竟今年年初开始,阿里内部可是大力鼓励员工用AI。内部模型给免费额度,外部模型还有大额报销政策。不少程序员每周能烧掉几百美元的额度。怎么突然就"反向禁用"了?

但细想下去,这事儿一点都不简单。

导火索是6月24日Anthropic给美国参议院银行委员会写的那封信。信里说,阿里在4月22日到6月5日这段时间里,搞了2.5万个虚假账号,跟Claude聊了超过2800万次。Anthropic直接把这定性为"工业级模型蒸馏攻击",还上升到了国家安全层面。

有意思的是,这套话术Anthropic今年2月就用过。DeepSeek、月之暗面、MiniMax都被这么指控过。而且这套指控曝光的时间点,恰好就是阿里起诉美国国防部的那一天——6月24日,阿里向加州圣何塞联邦法院提交诉状,要求把自己从1260H名单里移除。这个名单是美国国防部6月8日发的,阿里、百度、比亚迪、腾讯、华为、中芯国际、中国移动、中国电信、浪潮集团都在里面。

阿里提交了详实证据自证清白,但国防部根本没回。你想想,一个民营企业被国防部长列入"中国军事企业名单",连个申诉的机会都不给,这事儿本身就挺荒诞的。


时间轴图示,左侧是"6月8日 美国国防部发布1260H名单",中间箭头指向"6月24日 阿里起诉美国国防部",右侧箭头指向"6月24日 Anthropic…

藏在你电脑里的时区检查器

但真正让我后背发凉的,不是这些明面上的政治博弈,而是Claude Code里那个"隐蔽木马"。

根据技术社区的分析,从2026年4月发布的v2.1.91版本开始,Claude Code就内置了一套检测系统。它就干一件事:判断你是不是中国用户。

怎么判断?三个维度:

第一,看你的系统时区。如果你的时区是Asia/Shanghai或者Asia/Urumqi,中招。这意味着你甚至不用打开Claude,你的操作系统本身就暴露了你。

第二,看ANTHROPIC_BASE_URL这个环境变量里的hostname,是不是指向中国域名。很多开发者会配置这个变量来连接自定义的API端点,这个变量成了第二个检测点。

第三,看你的HTTP_PROXY或者HTTPS_PROXY是不是指向中国域名,还有你的AI服务endpoint是不是配置了中国AI实验室的API。这个检测更狠——它看的是你的网络配置,即使你没用Claude Code,只要你配置了中国代理,就会被标记。

Anthropic准备了147个中国相关域名的黑名单,涵盖百度、字节、腾讯、京东、月之暗面、MiniMax、阶跃星辰等等。你想想,147个域名,这得是多久才能整理出来的?

最离谱的是,这套机制还用了隐写术。如果检测到你是中国时区,它会把日期格式从2026-06-30悄悄变成2026/06/30——这只是一个斜杠的差别,普通人根本不会注意。更绝的是,不同代理类型用三种不同的Unicode撇号字符区分标记:'(U+2019)、ʼ(U+02BC)、ʹ(U+02B9)。这三种撇号看起来一模一样,但在计算机里是不同的字符。

代码用XOR密钥91加密混淆,函数名每次版本更新都在轮换——Crt()、Rrt(e)、e0t()这些名字换来换去。最关键的是,更新日志里压根没提过这功能。整个过程不会产生额外网络请求,所以你连防火墙都检测不到。

这套机制在你电脑里潜伏了近三个月,才被发现。


代码流程图,左侧是"检测入口",分为三个箭头指向"时区检测"、“环境变量检测”、“代理检测”,中间是"147个域名黑名单"的数据库图标,右侧是"XOR加密…

MITRE都收录了

4月20日,全球最权威的网络威胁框架MITRE ATT&CK正式收录了这个案例,编号C0062,命名为"Anthropic AI-orchestrated Campaign"。他们列出了26种ATT&CK战术/技术,覆盖从侦察到数据外泄的完整攻击链。

这26种技术包括:侦察阶段的资源发现、系统信息发现;资源开发阶段的合法账户;初始访问阶段的有效账户;执行阶段的命令行解释器、计划任务;持久化阶段的创建账户、创建或修改系统进程;防御规避阶段的代码签名、混淆的文件或信息、隐藏文件;凭证访问阶段的凭证转储;发现阶段的系统服务发现;横向移动阶段的远程服务;收集阶段的键盘记录、屏幕捕获;命令与控制阶段的应用层协议、数据混淆;外泄阶段的数据渗出;影响阶段的数据破坏、服务中断。

你想想,一个AI公司的代码行为,被全球顶级的网络安全框架收录,这本身就很说明问题。MITRE ATT&CK不是随便什么东西都能进的,它收录的都是经过验证的真实威胁。

Anthropic的技术团队成员Thariq Shihipar在X平台公开回应了。他承认这个机制存在,说是今年3月上线的"实验性"反滥用措施。目的是防止未授权转售商滥用账号,防范模型蒸馏攻击。

他还说"其实一直想把这个功能下线",移除工作已经排进下一个版本了。

但他没解释,为什么要用这么隐蔽的方式植入。如果你只是想防止滥用,直接在服务端检测不就行了?为什么要跑到客户端的代码里植入木马?为什么要用XOR加密?为什么要轮换函数名?为什么更新日志不提?

这事儿就尴尬了。Anthropic长期标榜自己"透明可信"。他们的《负责任扩展政策》承诺"以确保以透明和可信的方式实施这一系统"。Constitutional AI治理框架把透明度列为核心支柱。但这套隐蔽标记机制,跟他们的公开承诺直接冲突。


对比图,左侧是Anthropic官网"透明可信"的截图,中间是一个断裂的链条,右侧是"隐蔽木马"的代码片段,用红色标注"XOR加密"、“函数名轮换”、"更…

一场针对性的清剿

如果你以为这只是个技术手段,那就太天真了。

从6月底开始,Anthropic对中国用户进行了大规模封号。无论你是用VPN规避,还是通过第三方API中转,或者用海外壳公司、云服务商间接接入——都跑不掉。

大量中国用户账号没任何预警就被禁用了。个人订阅、团队账户都波及了。最绝的是,直接通过官网付费、被判定违规的账号,官方还不给退款。

还有家总部在美国的110人农业科技公司,整体被封——原因仅仅是某个账号触发了风控。这家公司完全合规,在美国有实体办公室,员工全是美国公民,就因为某个中国员工使用了Claude,整个公司就被封了。

今年4月起,Anthropic引入了第三方Persona身份核验,要求高风险用户上传政府证件+实时人脸核验。这已经不是简单的账号验证了,这已经上升到了身份验证的层面。

2025年9月,他们修改了服务条款,禁止任何被中国直接或间接控股超50%的企业使用服务。这个条款很巧妙,它不是明确说"禁止中国公司",而是说"被中国直接或间接控股超50%的企业"。这意味着即使你的公司在美国注册、在美国运营、员工全是美国人,只要股东结构里有中国资本超过50%,你就不能用Claude。

字节Trae、腾讯CodeBuddy国际版已经下架了Claude模型。这些产品本身是面向全球用户的,但因为母公司是中国背景,就被迫放弃了Claude。


六层收益,这事儿没那么简单

技术社区算了笔账,Anthropic这套操作至少有六重收益:

第一,合规免责。

构建"用户自行绕过代理"的证据链,好应对出口管制。美国政府对AI模型的出口管制越来越严,OpenAI、Google、Anthropic这些公司都面临监管压力。通过这种隐蔽的方式标记中国用户,Anthropic可以说:"我们没有主动给中国用户提供服务,是他们自己绕过代理用的。"这让他们在监管面前可以免责。

第二,抓蒸馏。

11个中国AI实验室关键词,对应11个嫌疑对象。模型蒸馏是AI行业的一个敏感话题——你训练出一个大模型,别人用你的模型训练自己的模型,这是典型的"搭便车"行为。Anthropic通过检测用户是否使用中国AI实验室的API,可以锁定潜在的蒸馏者。这就像在钓鱼,他们不是直接禁止,而是标记,然后根据标记的数据去推断谁在蒸馏。

第三,断倒卖。

123个代理站抽走约2/3的API费用。Claude的API很贵,中国用户通过代理站购买可以便宜很多。但这对Anthropic来说是损失——他们收不到全款,而且代理站还可能进行批量操作,增加服务器负载。通过检测代理配置,Anthropic可以识别出通过代理站接入的用户,然后针对性地限制或者封禁。

第四,保收入。

不阻断只降质,继续收钱。这个策略很聪明——他们不是直接禁止中国用户,而是降低服务质量。你照样能用,照样付费,但体验会变差。这样他们既赚到了钱,又在表面上遵守了监管要求。这就像是温水煮青蛙,用户可能都没意识到自己被针对了。

第五,可否认。

“我们没有歧视,只是在提示词里写了日期”。这个说法很有技巧性——他们可以把责任推给"技术实现"。如果有人质疑,他们可以说:"这只是一个时区检查器,我们只是想根据不同地区显示不同格式的日期,你多想了。"但这种说法很难站得住脚——如果你只是想显示日期格式,为什么要用XOR加密?为什么要轮换函数名?

第六,情报。

被标记的prompt是实时情报,掌握中国AI公司的研究方向。这可能是最重要的一点。被标记的用户输入的每一个prompt,都被记录下来。这些prompt里包含了用户在研究什么、在做什么项目、在解决什么问题。对于Anthropic来说,这是珍贵的市场情报。他们可以通过分析这些数据,了解中国AI公司的技术路线、产品方向、人才分布。


社区吵翻了天

Reddit上吵翻了天,几千条评论,两极分化严重。

支持方认为:“保护知识产权合理。”“模型蒸馏是偷窃,Anthropic有权利保护自己的模型。”"如果中国用户不遵守服务条款,被封是正常的。"还有人指出:“其他AI公司也在做类似的事情,只是Anthropic被发现了而已。”

质疑方的声音更大。最高赞评论是:"不过是个时区检查器。"这个观点认为,这只是一个简单的检测机制,被过度解读了。但很快就有网友反驳:如果只是时区检查,为什么要加密?为什么要隐藏?为什么更新日志不提?

技术社区的讨论更加深入。有人分析了代码,确认了XOR加密和函数名轮换的存在;有人测试了隐写术,确认了不同代理类型会被标记为不同的撇号字符;有人统计了域名黑名单,发现它涵盖了几乎所有的中国科技公司。

独立验证网友lucianw确认了核心机制的存在,他总结得挺好:“原始事实简单、真实且无可争辩。时区检查器不是间谍软件,但XOR加密+函数名轮换+changelog沉默+隐写回传这四者加在一起,就是。”

还有网友从法律角度分析,认为这可能违反了《计算机欺诈和滥用法》(CFAA)。虽然Anthropic的服务条款允许他们收集数据,但隐瞒、加密、隐瞒的行为可能构成"未经授权的访问"。

也有开发者从工程角度质疑:"如果你要防止滥用,直接在服务端检测就行了。跑到客户端植入木马,这完全没必要。"这个观点很犀利——服务端检测更安全、更可控、更透明,为什么要搞这么复杂的客户端检测?

说实话,我更赞同lucianw的看法。单一的技术手段可能确实不叫间谍软件,但当你把加密、混淆、隐瞒、隐写术全部加在一起,目的就不是那么单纯了。这就像有人闯进你家,只偷了一张纸条——你可以说他只是拿了张纸,但"闯进你家"这个行为本身就很恶劣。


现在阿里全面禁用Claude,这事儿的脉络就清晰了。表面上是企业合规,深层是地缘博弈,更深层是技术层面的对抗。

阿里不是为了某个员工被封而禁用Claude,也不是因为某个服务条款而禁用Claude。他们禁用,是因为他们意识到了一个根本性问题:你无法信任一个会在你电脑里植入木马的供应商。

这种信任的崩塌,不是通过公关、声明、道歉就能修复的。一旦你意识到对方可以在你的终端上植入代码,可以悄悄收集数据,可以因为时区就给你标记——这种疑虑会持续下去。

但真正让我担心的,是这种技术手段的常态化。当一家AI公司可以在你电脑里植入检测代码,可以因为时区就给你标记,可以悄悄收集数据——这种信任的崩塌,才是最可怕的。

毕竟,你想想,如果今天他们因为时区就给你标记,明天会不会因为你的浏览记录、你的输入习惯、你的职业领域就给你打上别的标签?后天会不会因为这些标签就给你限制服务、降低质量、甚至封禁账户?

这不是危言耸听,这是已经发生的事实。Claude Code的木马只是开始,如果这种手段被其他公司效仿,如果技术公司开始普遍在客户端植入检测代码——那整个互联网的信任基础都会崩塌。

技术可以很先进,可以很强大,但如果失去了信任,再先进的技术也是空中楼阁。

Logo

Agent 垂直技术社区,欢迎活跃、内容共建。

更多推荐