想象一下这个场景。
你是一个程序员,每天打开终端,输入claude,把需求甩给它,看着它一行行写出代码。你信任它,就像信任身边最靠谱的同事。它读过你的项目结构,看过你的数据库配置,甚至知道你.env文件里那些不该外泄的密钥。
然后有一天你发现——它在偷偷检查你的时区,检查你在不在国内,检查你有没有连着百度、阿里、字节的网络。而且,它把这些信息藏在一个你根本看不出区别的标点符号里,悄悄发回了大洋彼岸。
这不是科幻小说。这是过去三个月真实发生在每一个Claude Code用户身上的事。
今天,阿里率先动了手。
一、阿里的雷霆手段
7月3日,多个信源确认:阿里巴巴内部下发通知,全面禁用Anthropic旗下Claude全系产品。

禁令覆盖范围之广,超出很多人预期——Sonnet、Opus、Fable等主流大模型,Claude Code等智能编程工具,一刀切,全部停用。
时间线很明确:
- 7月3日:内部通知下发,Claude被列入"高风险软件名单"
- 7月10日:禁令正式生效,所有办公环境下不得使用
- 替代方案:推荐员工转用阿里自研的Qoder
这个决定的背景,是阿里此前对AI工具的态度相当开放。据内部人士透露,公司不仅给员工提供了内部模型的免费额度,还针对Claude、GPT等外部模型推出了报销方案。政策激励下,有些程序员每周的API调用费高达数百美元,公司照单全付。
从"敞开钱包让你用"到"一刀切全部禁",中间只隔了一个安全事件。
二、Claude Code到底干了什么?
事情要从7月1日说起。当天,Anthropic发布了Claude Sonnet 5,本来是个好消息。但同一天,开发者社区炸了另一个锅。
有人在Reddit上发出质疑,随后在GitHub发布了详细验证报告:Claude Code从4月起,内置了一套隐蔽的用户检测机制。
报告对2.1.193、2.1.195、2.1.196三个版本进行了代码核查,确认存在一条隐藏的信息通道。它的工作流程是这样的:
第一步:检测你是否在用代理。
Claude Code会检查环境变量ANTHROPIC_BASE_URL。这个变量通常在你把Claude Code指向自定义API代理(而非官方端点api.anthropic.com)时被启用。一旦发现你走了非官方路由,程序就开始进入"审查模式"。
第二步:读取你的时区。
程序提取你的系统时区,重点核查两个值:Asia/Shanghai和Asia/Urumqi。没错,专门盯中国时区。
第三步:比对你的域名。
你使用的代理域名会跟一份解码后含147个条目的清单做比对。清单里有什么?百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI、MiniMax、Stepfun……基本把中国头部的科技企业和AI实验室一网打尽。还有大量Claude转售和API镜像服务的地址。
第四步:把结果藏进你看不见的地方。
这是整个机制最"精巧"也最让人不寒而栗的部分。
Claude Code没有设置独立的telemetry字段来上报这些信息——那样太容易被发现。它选了一条更隐蔽的路:把标记信息编码进系统提示词里那句最不起眼的话——Today's date is...
具体怎么编码?两种方式:
第一种,日期分隔符的变化。当系统识别到中国时区时,日期格式从2026-06-30变成2026/06/30。短横线换成了斜杠。
第二种,撇号字符的切换。Today's date里的那个撇号,会在'、'、ʼ、ʹ等几种形近的Unicode字符之间切换,用来标记这次请求是否命中了域名清单、是否命中了AI实验室关键词,还是两者都命中。
这几种符号在屏幕上看起来几乎一模一样。你就算盯着看,也分辨不出来。
这意味着,过去三个月里,每一次符合条件的请求,都带着这样一枚隐形标签,穿过太平洋,抵达Anthropic的服务器。而使用它的中国开发者,对此一无所知。
三、Anthropic的回应:"这只是个实验"
事件曝光后,Anthropic技术团队成员在X(原推特)上作出了回应。
他们的说法是:这套机制是今年3月启动的一项"实验性"措施,目的是防范未经授权的转售商滥用账户,以及防止模型被蒸馏。相关代码已经在7月2日发布的新版本中"完全回滚并删除"。
翻译一下:我们确实做了,但出发点是好的,而且现在已经删了。
这个回应能不能让人买账?至少在开发者社区,反应普遍是——不买账。
原因很简单。telemetry(遥测数据采集)在软件行业是普遍做法,AI公司出于防范滥用、遏制转售、规避制裁等目的做用户行为识别,动机可以理解。但问题出在实现方式上。
正常的做法是:我在文档里写清楚我采集什么数据、为什么采集、怎么用,你同意就用,不同意可以关。用户有知情权和选择权。
但Claude Code的做法是:我把检测逻辑藏在系统提示词里,用肉眼无法区分的Unicode字符做标记,不告诉你,不给你选择,默默运行了三个月。
这不是telemetry,这是隐写术(Steganography)。
四、为什么这件事比你想象的更严重?
有人可能会说:不就是收集了时区和域名信息吗?又没偷我的代码。
这个想法太天真了。问题的严重性不在于收集了什么,而在于信任的基础被打破了。
Claude Code不是普通的软件。它是一款编程智能体(Agent),工作在你的代码仓库内部,能读取你的源代码、文件结构、项目配置,甚至你不小心暴露的密钥。它还拥有执行Bash命令、修改文件的权限。
Anthropic自己的工程博客里都记录过Claude Code的"行为失控"案例:误删远程git分支、意外上传GitHub token、甚至尝试对生产数据库执行迁移操作。
对这样一款工具来说,信任就是它存在的根基。用户之所以敢把代码库敞开给它,是因为相信它只做该做的事。
现在你告诉我,它在背后偷偷检测我的身份、偷偷给请求打标签——那用户自然有理由追问:
除了时区和域名,还有没有别的信息在被悄悄收集?
Client端是否还有其他未被公开的检测逻辑?
这些行为在任何文档里说明过吗?
一旦信任出现裂缝,每一行代码都会变得可疑。
更深层的问题是:这是一场关于AI工具边界的博弈。
对于大型互联网企业来说,前沿AI工具带来的生产力提升是实打实的。但核心代码产权、数据安全、"数据回流"风险,同样是实打实的。这两者之间的平衡点,正在变得越来越脆弱。
阿里这次的选择,其实是在说:生产力再香,也不能拿安全换。
五、国产替代,准备好了吗?
阿里禁用Claude的同时,推荐了自己的Qoder。这并不让人意外。
Qoder是阿里推出的AI编程工具,定位是命令行环境下的AI编程智能体,集成编程大模型,设计上对标Claude Code。在近期的横评中,国内已经形成了"BAT三强"格局——阿里Qoder、腾讯CodeBuddy、字节Trae,各自锚定不同场景。
客观说,国产工具在功能完整度上跟Claude Code还有差距,但这个差距在快速缩小。而且对于企业来说,用国产工具有一个Claude永远给不了的优势:数据不出境,检测逻辑透明可控。
这次事件,某种程度上会加速国产AI编程工具的普及。不是因为他们突然变得多强,而是因为对手自己把信任搞碎了。
六、开发者该怎么办?
如果你正在使用Claude Code,几条实用建议:
1. 升级到最新版本。7月2日发布的新版本已经移除了相关检测代码。至少先堵上这个口子。
2. 检查环境变量。看看你的ANTHROPIC_BASE_URL是否指向了非官方端点。如果是,你过去几个月的请求大概率被标记过。
3. 审查权限设置。Claude Code的权限系统覆盖文件读取、Bash执行和文件编辑。只读操作无需批准,但命令执行和文件修改需要你确认。别养成"无脑点同意"的习惯——Anthropic自己都承认多数用户有"审批疲劳"。
4. 敏感项目慎用外部AI工具。这不仅是Claude的问题。任何需要接触你代码库的外部AI工具,都值得多问一句:它到底在后台做了什么?
5. 评估国产替代方案。如果你在企业环境工作,Qoder、CodeBuddy、Trae都值得一试。数据合规这件事,只有"零信任"才靠谱。
写在最后
这整件事最讽刺的地方在于:Anthropic公司的名字,来自希腊语"ανθρωπος",意思是"人类的"。他们的口号是做"安全、可信的AI"。
然后他们用隐写术,偷偷给自己的中国用户打标签。
我并不是说Anthropic有什么恶意。也许它真的只是为了防止账户被滥用、防止模型被蒸馏——正如他们所说的。但通往地狱的道路,往往是由善意铺成的。
当一款工具需要在用户不知情的情况下收集信息,当一家公司需要用肉眼无法分辨的字符来标记特定国家的用户,这件事本身就说明——信任的边界已经被越过了。
阿里今天的禁令,不只是对Claude的封杀,更是一个信号:
在AI时代,工具的安全性和透明度,终将比工具的能力本身更重要。
能力再强的助手,如果不值得信任,也不过是一个随时可能反噬的风险。
你的代码,你的数据,你的安全——值得一个不偷偷看你的工具。
— END —
觉得有用?转发给你身边还在用Claude Code的朋友。
夜雨聆风