7月10日,是阿里员工卸载Claude Code的最后期限。这家公司把这款全球最火的AI编程工具列入了高风险名单,要求全员删除,转用自家的Qoder。起因是一个安全研究员的逆向拆解:Claude Code在用户毫无察觉的情况下,偷偷读取你的时区和代理域名,用一套加密黑名单判断你是不是中国用户,然后把标记塞进你看不见的系统提示词里。

这不是一起普通的安全事件。AI竞赛的焦点,已经从谁的模型更强,变成了谁在偷偷监控谁。巨头之间的信任正在崩塌,而数据恐慌正在倒逼企业加速自研工具链——但这条替代之路的隐性成本,远比想象中高。
一套你看不见的隐蔽信道
安全研究员Adnane Khan的逆向报告还原了整个机制:从今年4月的v2.1.91版本起,Claude Code内置了一套隐蔽检测。只要你设置了代理环境变量(也就是用了非官方渠道接入),它就会读取你的系统时区——如果是Asia/Shanghai或Asia/Urumqi,它会进一步提取你的代理域名,跟内置的147个域名清单做比对。
这147个域名经过Base64编码和密钥为91的XOR异或运算混淆,解码后包含百度、阿里巴巴、蚂蚁集团、字节跳动、月之暗面、MiniMax等中国科技企业及AI实验室域名,以及大量API中转站地址。
更隐蔽的是回传方式。如果你命中了黑名单,Claude Code不会弹窗,不会报错。它只是悄悄修改系统提示词里的日期字符串——把连字符改成斜杠,把Today's里的撇号替换成U+2019等视觉上完全不可辨的Unicode字符。一条用户无法察觉的隐蔽信道,就这样建成了。
Anthropic的回应很轻描淡写:这是3月上线的防滥用实验,7月2日新版本已完全回滚。但几个关键事实无法回避:这个机制在多个版本的更新日志里从未被提及;它的触发条件明确指向中国时区和中国机构域名;它的回传方式刻意规避用户感知。防滥用不需要隐写术,防滥用不需要XOR加密。透明可信的原则与隐蔽信道之间,不存在和解空间。
双重标准与阵营化封锁
信任崩塌不是单一企业的极端反应,而是一种群体性防范。
Anthropic公开指控DeepSeek、月之暗面、MiniMax发起超1600万次交互的工业规模蒸馏攻击,点名道姓,给出了具体交互数据。但就在同一天,Anthropic自身因大规模使用盗版书籍训练Claude,支付了至少15亿美元的和解金。用未经授权的数据训练自己的模型是行业惯例,把竞品的API调用定性为工业级窃取就是十恶不赦——这种双重标准,让防蒸馏的正当性大打折扣。
更值得警惕的是阵营化趋势。今年4月,OpenAI、Anthropic与Google打破竞争壁垒,建立了威胁情报共享机制,联合识别和封禁对抗性蒸馏。防蒸馏从企业单打独斗升级为排他性同盟,直接剥夺了追赶者的跟跑资格。
国内大厂同样在互设防线。美团限制内部使用豆包与千问,转推自研模型LongCat;Meta限制工程师使用竞品模型。防备逻辑已经成为行业共识,防蒸馏与隐私监控的边界被彻底模糊。
国产替代的突破与阵痛
阿里禁用Claude Code后,内部需求转由Qoder承接。Qoder定位Agentic编程平台,支持Spec驱动和仓库级理解,支持私有化部署,规避了Claude Code不支持私有化且数据出境的风险。但实测反馈显示,Qoder在CLI下多智能体协作体验有限,Credits消耗快,计费透明度存在争议。
美团的LongCat-2.0走出了另一条路。在SWE-bench Pro评测中,它拿到59.5分,领先GPT-5.5的58.6和Claude Opus 4.6的57.3;在5万张国产算力卡上完成全流程训练,输出成本低至5元/百万token。它深度适配Claude Code框架,Preview版在Claude Code平台的月调用量位列全球第二。
但LongCat的通用性明显让位于内部定制。实测显示,LongCat-Flash-Chat在生成营销文案时会自动植入美团买菜、美团出行等品牌信息。自家的品牌和业务信息。对美团来说,这是从模型到业务终端的闭环;对外部开发者来说,这是通用性的折损。
工具链迁移的隐性成本同样不容忽视。某电商平台在迁移推荐系统时,因模型格式不兼容,额外投入了200人天进行格式转换。行业调研显示,78%使用3种以上AI工具的团队中,42%因工具链不匹配导致项目延期。
国产替代的突破是真实的,阵痛同样真实。
脱钩的代价,与被忽视的豁免空间
支持脱钩的逻辑很硬:境外远程访问已被界定为数据出境;累计向境外提供超10万人个人信息需申报安全评估,周期3到6个月;TikTok因境内远程访问欧盟数据遭重罚5.3亿欧元。Anthropic的侵权案还暴露了知识产权连带风险。对大厂来说,脱钩是生死存亡的防守。
但反方论据同样有力。全球已有40个经济体实施96项数据本地化措施,完全脱钩将切断高质量多语种数据通道,拖累科研与长期创新。合规制度本身预留了豁免空间——不含个人信息或每次出境不超1000人的场景可免评估,一刀切属于过度防守。中小团队为适配多套技术栈,时间和资金成本激增,极易被迫放弃海外市场。
AI工具链已经入口化了——替换核心工具链,等同于重构工程体系。这个判断决定了选型的底层逻辑:不是换一个工具,而是重构一套工程体系。
割裂是中期必然,但终局不是孤岛
IDC预测,到2028年70%的中国跨国企业将把AI技术栈分布在不同主权区域,集成成本增加3倍。Gartner预测,多区域模型导致的数据主权合规问题将占AI数据管理总量的50%。割裂是中期必然。
但终局并非完全孤岛。海光信息凭借兼容CUDA的ROCm路线,在金融、运营商信创市场占有率第一,证明低迁移成本加自主可控是可行的过渡策略。华为昇腾910C的规模化部署,也在证明国产算力从替代走向自主生态构建的路径是通的。
某跨国企业部署智能合同管理系统时发现,考虑全生命周期成本后,部分开源方案的总拥有成本反而高于商业方案。脱钩期的选型,必须算清隐性账。
主权合规加局部互通,是割裂生态下最现实的平衡点。但这个平衡点具体落在哪里——哪些工具必须自研,哪些可以保留局部互通,互通的合规边界又怎么划——目前还没有清晰的行业共识。你的团队在用的AI工具,哪些已经触发了数据出境红线,你清楚吗?
参考资料
1. Claude Code隐写追踪机制细节 - IT之家 https://www.ithome.com/0/971/118.htm 2. Claude Code隐写术逆向分析报告 - GitHub https://paicoding.com/claude-code-steganography 3. Anthropic指控中国三家企业蒸馏攻击 - 搜狐科技 https://www.sohu.com/a/989550373_115565 4. 美团LongCat-2.0技术博客 - 美团 https://tech.meituan.com/2026/06/30/LongCat2.0.html
夜雨聆风