一个藏了三个月的「中国时区检测」代码,点燃了这场中美 AI 圈的信任危机。

7 月 3 日,一条独家消息在国内科技圈炸开:阿里巴巴内部宣布全面禁用 Claude,全体员工被要求卸载 Anthropic 旗下所有产品,7 月 10 日正式生效。
注意,这次不是「限制」,是「卸载」。范围也不是某一个工具,而是——Sonnet、Opus、Fable 等全线模型,以及包括 Claude Code 在内的所有 Agent 产品,一刀切干净。
一家中国最大的科技公司,为什么要对全球最火的 AI 编程工具下这么狠的手?答案藏在一段代码里。
一、先看事实:这道禁令到底有多硬
据智东西 7 月 3 日独家报道,以及澎湃、第一财经、路透社的多方交叉印证,事件脉络是这样的:
• 时间:7 月 3 日宣布,7 月 10 日正式生效。 • 范围:Anthropic 全线产品。模型层面涵盖 Sonnet、Opus、Fable;Agent 层面涵盖 Claude Code 等。 • 动作:不是停止报销,而是要求全员卸载,并将 Claude Code 列入「高风险软件名单」。 • 替代方案:阿里官方推荐员工改用自家的 Qoder。
这里有个耐人寻味的背景。据消息人士透露,自今年年初以来,阿里为了鼓励员工拥抱 AI,不仅发内部模型免费额度,对外部模型(Claude、GPT、Gemini)还实行大额报销。不少程序员每周在 Claude 上就烧掉数百美元,Claude Code 一度是内部高频工具。
也就是说,几个月前阿里还在真金白银「请员工用 Claude」,现在却要求全员卸载。这种一百八十度的「反向禁用」,背后必然有分量足够重的理由。
二、导火索:Claude Code 里那段「专盯中国用户」的代码
真正引爆这件事的,是一位 Reddit 网友 LegitMichel777 的逆向分析。
他在拆解 Claude Code 2.1.196 版本时发现:从今年 4 月 2 日发布的 2.1.91 版本开始,这个工具内置了一套隐蔽的检测机制。 这套机制的行为,用「细思极恐」四个字形容不过分:
第一步,它会检查你是不是中国用户。
具体判断两个条件:
1. 系统时区是否为中国时区( Asia/Shanghai或Asia/Urumqi);2. 你访问的 URL 是否命中一份包含 147 个条目的域名清单——这份清单里有百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等一大批中国科技公司和 AI 实验室的域名,还有大量 Claude API 中转服务的地址。
翻译成人话:它在偷偷识别「这个用户是不是来自中国、是不是在用国内的 AI 服务或中转」。
第二步,也是最阴的一步——它怎么把结果传出去。
正常软件上报数据,会走独立的遥测字段,明明白白。但 Claude Code 没这么干。它把检测结果直接编码进了每次请求都会发送的「系统提示词」里。
举个具体例子:如果检测到你是中国时区,日期格式会从 2026-06-30 悄悄变成 2026/06/30。一个斜杠和短横线的区别,就成了藏在正常流量里的暗号。
这种做法为什么危险?因为它绕过了所有常规的数据审计手段。你抓包看遥测字段,什么都发现不了;信息就藏在那段你以为无害的系统提示词里,随着每一次对话神不知鬼不觉地传回去。对一家把源代码和商业机密看得比命还重的大公司来说,这已经不是「隐私」问题,而是「安全后门」级别的威胁了。
所以阿里的定性很干脆:存在植入后门风险,列入高风险软件名单。
三、Anthropic 的回应:一次「实验」,已经回滚了
事情闹大后,Anthropic 的 Claude Code 团队成员 Thariq Shihipar 在 X 上出来解释。他的说法是:
• 这套机制是团队 2026 年 3 月上线的一项「实验性」措施; • 目的是防止未经授权的账户转售,以及防范模型蒸馏攻击; • 团队此后已部署了更强的缓解措施,本来就计划下线这个实验; • 相关代码已于 2026 年 7 月 2 日发布的新版本中完全回滚、删除。
一句话总结官方立场:我们不是搞后门,是防盗版和防蒸馏的技术实验,而且已经删了。
这个解释合不合理,见仁见智。支持方认为,防蒸馏、防倒卖账号是 AI 公司的正当防卫;质疑方则反问:防盗版为什么要专门针对中国时区和中国公司域名做识别?为什么要用如此隐蔽的方式偷传数据,而不是光明正大地上报? 「实验」两个字,能不能兜住一次专门锁定特定国家用户的隐蔽数据采集,恐怕很难服众。
值得玩味的时间线是:网友 7 月初曝光 → Anthropic 7 月 2 日「刚好」回滚 → 阿里 7 月 3 日宣布封杀。删代码和被封杀,几乎是同一时间发生的。
四、别只看这一件事:背后是中美 AI 的信任崩塌
如果把视野拉大,你会发现「阿里封杀 Claude」只是一连串火药味事件里的最新一环。
6 月 24 日,Anthropic 公开指控阿里巴巴(点名旗下 Qwen 实验室相关方)发起了「工业级」的蒸馏行动,用数千个欺诈账户「非法窃取」Claude 的模型能力。此前 Anthropic 还点过 DeepSeek、Moonshot、MiniMax 的名。
6 月 12 日,美国商务部致信 Anthropic,对其最新的前沿模型(Mythos、Fable 5)实施出口管制,理由是担心「中国关联方」可能获取这些模型——直到 7 月 1 日才解除。
把这些拼起来看就清楚了:
• Anthropic 说中国公司在偷它的模型能力; • 于是(可能)在客户端里加了针对中国用户的检测代码; • 代码被曝光后,阿里反手全面封杀,并推自家 Qoder 上位。
这已经不是单纯的产品安全事件,而是技术脱钩背景下,双方互不信任的一次集中爆发。你防我蒸馏,我防你后门,谁也不再假设对方是善意的。对身处其中的开发者来说,这是最不愿看到、却又不得不面对的现实。
五、对我们这些用工具的人,意味着什么?
阿里的选择,普通开发者和中小团队大概率没法照搬——你未必有 Qoder 这样的自研替代品兜底。但这件事至少给了三点很实在的提醒:
1. 你用的 AI 工具,可能比你想的「话痨」。
Claude Code 这个案例最扎心的地方在于:它不是明目张胆地上报数据,而是把信息藏进正常流量里偷偷传。你根本不知道自己的代码库结构、访问的内网地址、使用习惯,正在以什么形式流向哪里。对任何联网的闭源 AI 工具,都别默认它「只做了你以为它做的事」。
2. 涉及核心资产,「数据主权」不是矫情。
如果你处理的是公司源代码、客户数据、未公开的商业信息,把这些一股脑喂给一个你无法审计的黑盒工具,本身就是风险。企业级用户尤其要问一句:这个工具的数据到底走哪、存哪、能不能私有化部署。
3. 这正是「开源 + 自主可控」的价值所在。
为什么越来越多团队开始重视开源 AI 方案?因为代码可审计。像 OpenClaw 这类开源的 AI 代理框架,最大的底气就在于:它跑在你自己的机器上,每一行代码你都能看、能改、能验证它到底往外发了什么。没有隐藏的「中国时区检测」,没有藏在系统提示词里的暗号——你完全掌握自己的数据流向。当闭源工具的信任基础被这样一次次动摇,「能自己掌控」这件事的分量,只会越来越重。
写在最后
阿里封杀 Claude,表面上是一次企业安全决策,往深了看,是这一年中美 AI 博弈、技术互信崩塌的一个缩影。
Anthropic 说那只是一次「已经删掉的实验」,阿里用「全员卸载」投了不信任票。谁对谁错,历史会给答案。但对每一个把 AI 工具握在手里干活的人来说,这件事的启示朴素又深刻:
方便和信任,从来不是免费的。你越依赖一个看不透的黑盒,就越要想清楚——它到底看到了你的什么。
信息来源:智东西、澎湃新闻、第一财经、IT之家、路透社、CNBC 等公开报道,以及 Reddit、X 平台相关技术讨论。本文为事件梳理与观点分析,具体以官方信息为准。
夜雨聆风