EVALHUB · 随想 | 全文约 1800 字 · 阅读 5 分钟
7 月 3 日通知 · 7 月 10 日生效 · 147 条黑名单
Sonnet、Opus、Fable,连同 Claude Code——Anthropic 全系,全员卸载。
7 月 3 日,第一财经先报,路透社跟进:阿里巴巴发出内部通知,全面停用 Anthropic 全系产品,7 月 10 日生效。通知给的理由只有一句:存在「植入后门」风险。
截至发稿,阿里没有官方置评,Anthropic 也没有。
有必要先交代这半年的反差。据多家媒体报道,年初以来,阿里内部一直在真金白银地鼓励员工用 AI:内部模型额度管够,外部模型给报销,工程师一周烧掉几百美元的不在少数,Claude Code、Codex、自家 Qoder 是最常见的三件套。
从「公司出钱让你用」,到「限期七天卸载」,中间隔着 180 天——和一个被扒出来的开关。
让悬案变成禁令的,是一个开关
上一篇我们写过那桩悬案:Anthropic 致信美国参议员,指控阿里用 2.5 万个假账户刷了 Claude 2880 万次,称之为「迄今已知规模最大的蒸馏攻击」。当时的结论是:数字很唬人,但流量证明不了蒸馏,那更像一场隔空口水仗。
让口水仗变成禁令的,是 6 月底的一个发现。
有 Reddit 用户在逆向 Claude Code 时发现,这个装在无数程序员终端里的命令行工具,内置了一段谁都没被告知的检测逻辑。随后,社区放出了完整的验证报告。逻辑分三步:
Claude Code 里那段代码,在做什么
第一步 · 读
你的接入点 ANTHROPIC_BASE_URL + 你的系统时区
↓
第二步 · 比对
147 条名单:大厂与 AI 实验室域名 · 中国云区域 · 中转镜像站
↓
第三步 · 打标
日期分隔符「-」悄悄换成「/」;撇号换成形近 Unicode 字符
你的每一次对话里,都缝着一个「看不见的身份标签」
它读什么。两样东西:环境变量 ANTHROPIC_BASE_URL——你把 Claude Code 接到了哪个接入点;以及你的系统时区。
它比对什么。一份解码后共 147 条的名单。里面有中国大厂和 AI 实验室的域名——百度、阿里、蚂蚁、字节、月之暗面、MiniMax、阶跃星辰都在——有中国云服务区域,还有一长串 Claude 中转站、镜像站。
它标什么。不发一个明晃晃的遥测包,而是改系统提示词:命中中国时区,日期写法就悄悄从 2026-06-30 变成 2026/06/30;「Today's」里的那个撇号,在两个肉眼无法分辨的 Unicode 字符之间切换,用来区分你命中的是域名名单,还是 AI 实验室关键词。
一套教科书级的隐写术。不偷代码,不开端口,只是安安静静地,在你每一次对话里,缝进一个你看不见的身份标签。
前一天承认,第二天禁令
曝光之后,Anthropic 的工程师在社交平台承认了这段代码:3 月部署的「实验性反滥用措施」,目标是识别账号倒卖和蒸馏行为;并说,7 月 2 日的版本已经把它移除。
7 月 3 日,阿里的禁令曝出。
从指控到禁令的 180 天
2 月 Anthropic 指控 DeepSeek、月之暗面、MiniMax「蒸馏」
3 月 在 Claude Code 里部署检测开关(事后自认)
6 月 10 日 致信美国参议员:2.5 万假账户 · 2880 万次对话
6 月底 Reddit 用户扒出检测开关,社区验证报告发布
7 月 2 日 Anthropic 称已在当日版本移除该机制
7 月 3 日 阿里全员卸载令曝出,7 月 10 日生效
从回滚到禁令,中间只隔了一夜。这大概是整场冲突里最有戏剧性的一帧:一边刚说「我们已经把它删了」,另一边说「你们全都卸载」。
一边教你怎么接,一边防你来接
阿里云百炼的官方文档,至今教用户把 Claude Code 的 ANTHROPIC_BASE_URL 指到自家域名、用 Qwen 驱动这个工具;而那段检测逻辑,查的恰恰就是这个变量里有没有阿里系域名。同一个工具,撞了个正着。
它到底算不算「后门」
阿里的通知里,用的是「植入后门风险」;Anthropic 的说法,是「实验性反滥用措施」。两个词之间,隔着这件事的全部分歧。
严格从技术上讲,它不开远程控制,也没有公开证据显示它外传你的代码,叫「后门」是从重了——更准确的名字,是「未告知的用户指纹标记」。
但换到用户的位置上:一个装在你终端里、读得到你环境变量的工具,在你不知情的情况下判断你的身份、给你打标——它这次用来反滥用,下次用来做什么,你无从知道,也无从否决。
厂商叫它反滥用,用户叫它后门——这个分歧本身,就是信任碎掉的声音。
真正的死结
去年 9 月起,Anthropic 就不再向中资控股企业开放服务。正门关上,国内的真实需求只能从侧门走:海外账号、第三方中转、镜像站。
然后你会发现这个循环有多闭合:封锁催生灰色使用;灰色使用撑起了「2.5 万个假账户」的指控和 147 条中转黑名单;指控和黑名单,又成为下一轮封锁的理由。上一篇我们写过,风控收网时,先疼的是老实写代码的普通人;这一次,连工具本身都成了战场。
别信声明,信验证
上一篇的结尾我们说:两个模型谁真的会、谁只是装得像,吵声明没用,得看那道糊弄不过去的硬题。
这一篇的结尾,是同一句话换了个对象。一个工具在你终端里到底做了什么,也别听声明——声明是「我们已经移除了」「这只是实验性措施」;验证是抓得到的流量、读得懂的代码、测得出的行为。
模型的能力要靠评测,工具的行为要靠审计。AI 时代的信任,从来不是声明出来的,是验证出来的。
这次只是卸载一个命令行工具。但「你的工具在替谁工作」这个问题,从这周起,值得每个团队认真问一遍。
.
EVALHUB|一支来自复旦、上海外国语、华东师范大学等高校的跨学科团队,汇聚金融、法律、税务、自媒体、医学等各领域专业人才,专注为大模型做高难度垂直领域的数据标注、质检与评测。
夜雨聆风