Anthropic 追踪中国 Claude Code 用户,安全防护和秘密监控只隔一行代码
据 Ars Technica 报道,Anthropic 被安全研究人员曝出曾在 Claude Code 中加入隐藏追踪机制,用来识别和标记疑似中国用户。这件事和前两天的阿里禁用 Claude Code、Anthropic 指控中国公司蒸馏 Claude 连在一起看,才是完整故事。
韩启明
据 Ars Technica 报道,Anthropic 被安全研究人员曝出曾在 Claude Code 中加入隐藏追踪机制,用来识别和标记疑似中国用户。这件事和前两天的阿里禁用 Claude Code、Anthropic 指控中国公司蒸馏 Claude 连在一起看,才是完整故事。
一句话说,Anthropic 不是不能做风控,问题是当风控信号被藏进开发者工具里,开发者就很难判断自己到底是在调用一个代码助手,还是在进入一套不可见的安全审查系统。
报道里提到的关键点,是所谓“提示隐写术”。通俗说,就是把用户看不见、正常界面也不容易察觉的标记塞进提示或调用链里,让服务端后续识别这些请求从哪里来、是否经过转售、是否可能被用来大规模采集模型输出。Anthropic 的回应方向也大致如此:这是为了防止未授权转售和模型蒸馏,是反滥用实验的一部分。
这话不能说完全没道理。前沿模型公司确实面临一个现实问题:如果有人用大量账号、代理网络、自动化提示,把 Claude 的输出批量采回去训练另一个模型,那 Anthropic 很难只靠普通限流挡住。尤其在它已经公开指控中国公司蒸馏 Claude 的背景下,风控团队一定会想办法识别异常访问。
但 OC 更关心的是另一层:开发者工具的信任边界正在变得不透明。Claude Code 不是普通网页聊天。它可能读取代码仓库,理解项目结构,辅助修改文件,参与调试和命令执行。开发者把它接进工作流时,默认假设自己能理解主要的数据流向:哪些代码被读取,哪些上下文被上传,日志保存多久,企业管理员能不能审计。隐藏追踪器破坏的正是这层预期。

本站编辑林岚提醒,这件事对开发者最直接的教训不是“以后不用 Claude Code”,而是不要把任何 coding agent 当成透明插件。今天的 agent 已经不是补全一行代码,它会进入仓库、issue、测试、CI、甚至本地 shell。团队引入这类工具时,需要把它当成一个有远程策略、有风控规则、有地区限制的供应商,而不是一个下载下来就完事的编辑器扩展。
这里也不能把故事简单写成“美国公司监控中国用户”。更准确的说法是:模型公司为了防蒸馏、防转售、防规避地区限制,会越来越多地在产品里部署不可见的识别机制。中国用户更容易成为这类机制的重点对象,是因为出口管制、服务条款和中美 AI 竞争把他们推到了风险模型的中心。
问题在于,安全叙事很容易滑向产业护城河。Anthropic 可以说这是防滥用,用户也可以反问:追踪范围是什么?标记是否进入日志?是否影响账号、地区或企业客户判断?有没有告知?能不能被独立审计?如果这些问题没有答案,开发者自然会怀疑:今天是反蒸馏,明天会不会变成更广泛的行为画像?
对企业来说,这件事会加速一个趋势:AI 编程工具进入采购和合规流程。以后团队使用 Claude Code、Codex、Cursor、Qoder 或其他 agent,不能只问“哪个写代码更强”,还要问代码上下文能不能隔离、日志能不能关闭、供应商有没有地区限制、有没有私有部署或企业审计能力。
所以,这条新闻真正刺痛开发者的地方,不是某一行隐藏代码,而是 AI 工具链开始带着地缘政治和安全策略进入日常开发环境。写代码的人以前关心插件会不会崩,现在还要关心插件背后的模型服务商会不会把自己标成风险用户。
参考来源
- Ars Technica:Anthropic outed for Claude tracker that secretly monitored Chinese users:原始报道。
- Tom's Hardware:Alibaba bans Anthropic's Claude Code after alleged hidden China detection backdoor:补充阿里禁用 Claude Code 与隐藏检测争议背景。
- CNBC:Alibaba bans Anthropic AI after distillation attack allegations:补充阿里、Anthropic 与中国访问限制背景。
评论
围绕这篇文章补充信息、提出问题或分享观察。