2026年3月,阿里还在放开外部商用模型的报销权限,鼓励研发团队大胆用Claude Code写代码。到了7月3日,一纸内部通知拍下来:Claude全系产品,全部禁用,7月10日前必须卸载干净。
从"随便用"到"不许碰",不过一个季度的时间。
这中间发生了什么?表面看是一场"植入后门"事件,往深了看,是AI产业正在经历的一场信任地震。
不是"实验"——是一段加密混淆的隐形代码
事情要从Claude Code的一个版本说起。4月2日发布的2.1.91版本中,Anthropic悄悄塞入了一段代码。这段代码不会出现在更新日志里,不会弹窗告知用户,甚至在二进制文件里做了加密混淆处理——用密钥91做异或加密,防止被文本工具直接抓取。
它的功能是读取你电脑的系统时区,判断是不是北京时间或乌鲁木齐时间;同时读取你设置的ANTHROPIC_BASE_URL环境变量,比对一份内置的147个域名黑名单——里面包括已知的中转站地址、国内大厂内网代理、竞品AI公司的域名。如果命中其中任何一项,Claude Code不会声张,而是用一种极其隐蔽的方式把信息传回去。
它修改了系统提示词中的日期字符串。"Today's date is"里的单引号被替换成外观完全一致但Unicode编码不同的字符,日期分隔符从短横换成斜杠。这些变化人类肉眼根本看不出来,但Anthropic的服务器收到请求后,一解码就知道:这个请求来自中国大陆时区。
这不是一次失误,而是一套精心设计的隐写术——在开发工具中植入的、针对特定地区用户的隐形检测机制。
6月30日,独立安全研究员AdnaneKhan在GitHub上公开了验证报告,舆论迅速炸锅。
从"随便用"到"全面封杀"
就在Claude Code隐写术事件持续发酵的同时,另一条线索也在加速推进。
6月24日,媒体披露Anthropic在6月10日致函美国参议院银行委员会,指控阿里在4月22日至6月5日期间,通过约2.5万个虚假账号与Claude产生了超过2880万次交互。Anthropic将此定性为"工业级模型蒸馏攻击",甚至拔高到了国家安全层面。
这套指控并不陌生。2026年2月,Anthropic就以几乎相同的措辞,指控DeepSeek、月之暗面和MiniMax三家中国AI实验室。同样的"2.4万虚假账号"论调,同样的"蒸馏攻击"定性,只是数字从1600万次涨到了2880万次,主角从三家变成了一家。
消息公开后,阿里巴巴在美国的股票价格应声下跌超过3%。
7月3日,阿里内部人士向媒体确认,公司已将Claude全系产品列入高风险软件名单。禁令覆盖Claude Code、Sonnet、Opus、Fable等全系列大模型和Agent工具。7月10日正式生效,届时所有员工必须卸载,阿里推荐使用自研的Qoder作为替代。
一个值得注意的细节是:今年年初,阿里还在大力推动AI工具落地——对内开放自研大模型免费调用额度,对外放开外部商用模型报销权限。不少研发人员同时用Claude Code、OpenAI Codex和Qoder做开发,单周外部模型调用开销可达数百美元。从全面开放到全面封杀,态度转变之剧烈,说明安全风险评估的结果远比外界想象的严重。
更大的牌局:蒸馏的双标与信任的代价
如果只看Claude Code隐写术事件,它已经足够引起行业重视:一个拥有本地文件读写和Shell执行权限的开发工具,在用户不知情的情况下用隐写术传输环境指纹——这在任何安全标准下都是越界行为。Anthropic事后回应称这是"防止滥用和蒸馏的实验",预计在最新版本中回滚。但实验归实验,信任一旦被透支,就不是一个版本回滚能修复的。
但如果把蒸馏指控放在一起看,这件事又不止于安全。
Anthropic在指控阿里蒸馏的同时,自己也有"原罪"。2025年,Anthropic因从盗版网站下载超过700万本受版权保护的图书用于训练Claude,被迫向全球作家集体支付了15亿美元和解金。正如马斯克在社交平台上嘲讽的那句:"Anthropic 自己从人类程序员那里偷了东西,现在别人偷它的,它却跳脚"。
蒸馏本身是AI行业的通用技术——几乎所有实验室都会用更大模型的输出来训练更小的模型,OpenAI、谷歌、Meta都在用。但当中国公司用同样的技术路线追赶时,同样的行为就被重新定义为"攻击"。
这种双标在全球科技圈引发了广泛的嘲讽和反思。一位开发者说得很直白:你今天在Claude Code里用隐写术标记中国用户,明天会不会用同样的手段标记其他地区的用户?当一家公司既有强烈的商业保护动机,又有在用户设备中植入隐蔽代码的技术能力时,监管空白就变成了巨大的风险敞口。
三个教训
第一,开发工具的安全信任不再是锦上添花。一个拥有文件系统和Shell权限的AI编码工具,如果厂商可以在不告知的情况下修改系统提示词、传输环境数据,那么开发者对它的"信任"其实建立在信息不对称之上。今天读取的是时区和域名,明天呢?这个问题的答案,没有厂商会主动告诉你。
第二,单一外部模型依赖是结构性的脆弱。阿里的态度转变给所有企业提了个醒:你今天放心用的外部AI工具,明天可能因为安全、合规或地缘政治原因被全面切断。替代方案不是可有可无的备选,而是必须提前布局的底线。
第三,蒸馏争议的本质不是技术问题,是规则问题。当前的AI行业没有明晰的数据使用边界——硅谷巨头用全人类的数据训练模型时叫"合理使用",别人用自己的输出训练小模型时叫"非法提取"。这种规则的不对称,短期内靠单方面指控和封禁维持,长期看必须通过全球性的治理框架来解决。在那之前,类似的冲突只会越来越多。
这件事没有简单的对错。技术的演进、商业的保护、地缘的博弈,全搅在了一起。但在AI工具已经成为开发者标配的今天,安全意识不该再是锦上添花,而是生存底线。
— END —
如果觉得这篇文章值得一读,点个「推荐」,让更多人看到它;同时如果对这个话题感兴趣,可以关注我,后续还会继续深挖。
夜雨聆风