就在昨天,工信部网络安全威胁和漏洞信息共享平台发布风险提示,美国 Anthropic 公司开发的 AI 编程工具 Claude Code 存在“安全后门隐患”,相关版本内置监控机制,可在未经用户同意的情况下向远程服务器回传用户地域、身份标识等敏感信息。

对于普通用户来说,这或许只是又一起软件隐私争议。但对于全球 AI 行业而言,这件事之所以引发巨大震动,并不只是因为它涉及数据收集,而是出问题的偏偏是 Anthropic 。

过去几年,这家公司一直以 “ AI 安全”的代表自居。它批评先进模型能力扩散带来的风险,呼吁加强监管,强调模型安全治理,并借此与 Open AI 等竞争对手形成差异化定位。然而如今,正是这家最强调安全的公司,被发现通过隐蔽方式对部分用户环境进行识别和标记。

这种反差,让整个事件变得格外耐人寻味。

一场从开发者社区开始的风暴

这次事件最早并不是由监管部门发现。 7 月 1 日, 海外开发者在对 Claude Code 进行逆向分析时发现,部分版本中存在针对特定环境的识别逻辑。随后相关代码在开发者社区迅速传播。

根据公开披露的信息,这套机制并不只是检测用户 IP 地址,而是会主动读取本地系统环境信息,例如检查设备时区是否设置为“ Asia/Shanghai ”等中国时区,同时分析开发环境中的部分域名配置、网络环境特征等信息,以判断用户是否来自中国企业或中国开发机构。

更关键的是,这一过程并不会向用户发出任何提示 —— 没有弹窗提醒 、 没有授权确认 、 也没有在设置页面进行公开说明。识别结果会以特殊方式嵌入正常请求中回传服务器,而绝大多数用户甚至不会意识到这一过程已经发生。

随后, Anthropi c 工程师承认相关代码确实存在,但解释称其目的是识别违规代理访问以及模型蒸馏行为,并表示相关机制已经开始移除。

但对于很多开发者而言,问题已经不再是 Anthropic 最终上传了什么数据。而是另一件更严重的事情:一家拥有极高系统权限的 AI Agent ,已经证明自己有能力在用户毫不知情的情况下对用户进行识别、标记,并将结果回传给服务提供商。

对于普通聊天机器人来说,这或许只是一次隐私争议。但 Claude Code 并不是普通聊天机器人。作为一款 AI 编程工具,它天然拥有比传统软件更深入的系统权限。它需要读取项目代码、分析文件结构、访问开发环境,甚至能够调用本地命令帮助开发者完成任务。

换句话说,当这样一款工具开始突破用户知情与授权的边界时,使用者在软件背后的开发者面前,完全属于裸奔状态,没有人能够知道 Claude Code 拿了你什么信息,拿去做什么。

一个被忽略的背景:模型蒸馏战争

如果把 Claude Code 事件单独拿出来看,很容易把它理解成一次隐私事故。但实际上,这件事还有一个重要背景。

就在不久前, Anthropic 在向美国政府官员和国会工作人员提交的政策材料中,公开指控阿里巴巴通义团队通过大量账号对 Claude 进行大规模模型蒸馏。在 Anthropic 的描述中,这些账号持续调用 Claude 接口,通过收集输入输出结果训练自身模型,从而实现能力复制 。

过去两年,大模型行业竞争逻辑已经发生变化。 2023 年行业讨论的是谁的模型更聪明 ; 2024 年讨论的是谁的推理能力更强 ; 而到了 2026 年,越来越多头部 AI 公司开始担心另一件事 —— 如何防止自己的模型被复制。

原因并不复杂。与传统软件不同,大模型的一部分能力是可以通过蒸馏技术进行迁移的。只要能够持续调用先进模型,并积累足够多的数据样本,就有机会训练出能力相近的新模型。 而这种行为在技术和商业层面都没有问题。

从这个角度看, Anthropic 加强访问监测、识别异常调用行为,并非完全没有逻辑。问题在于,它最终选择的方式触碰到了用户信任边界。为了防止模型被蒸馏,它开始识别用户。为了保护自身安全,它开始弱化用户知情权。而这恰恰构成了这次争议最核心的矛盾。

最强调安全的公司,为何先踩中了红线?

Anthropic 过去几年最大的品牌资产,并不是 Claude 模型本身。而是“安全”。

从 Constitutional AI ,到 Responsible Scaling Policy ,再到一系列前沿模型治理框架, Anthropic 始终试图向外界证明 , 自己是行业里最谨慎、最负责任的那家公司。

它反复强调先进 AI 风险 、 强调监管的重要性 …… 这些观点帮助 Anthropic 获得了大量资本支持,也塑造了其与 Open AI 截然不同的市场形象。

但这次事件暴露出一个有趣的现象。 Anthropic 口中的“安全”,和用户理解的“安全”,或许并不是同一件事。对于 Anthropic 来说,安全意味着模型不会被盗 、 能力不会扩散 、 系统不会被滥用。而对于用户来说,安全意味着数据不会被收集 、 行为不会被监控 、 身份不会被标记。

当这两种安全发生冲突时, Anthropic 最终选择保护自己的模型。这也是为什么此次事件引发如此强烈反弹。因为开发者发现 , 当企业要求别人遵守更高标准时,它自己未必愿意接受同样标准的约束。

阿里禁用 Claude Code ,释放了什么信号?

当一家企业一边高举 “安全”旗帜,一边在用户不知情的情况下部署隐蔽监测机制时,它所损害的已经不只是产品声誉,而是整个“可信 AI ”的基础。

也正因如此,在事件曝光之后,国内企业的反应格外迅速。根据公开信息,阿里巴巴已经将 Claude Code 列入高风险软件名单,禁止员工从 7 月 10 日起在所有工作中使用 Anthropic 公司的 Claude Code 。有消息称美团、京东等公司此前已通知程序员“收敛 Claude 等外部 AI 模型调用”,如有需求必须单独申请。而在去年 11 月,腾讯就已经将 Claude Code 移出大模型选择池。

这些企业的反应,未必是针对 Anthropic 一家公司的特殊处理,而更像是在给整个 AI 行业划下一条新的红线。在传统软件时代,人们担心的是软件有没有漏洞;而在 AI Agent 时代,人们更担心的是软件背后的开发者是否值得信任。

过去几年,中美科技竞争主要围绕芯片、算力和先进制造展开。而如今,这种竞争开始延伸到模型、开发工具和开发者生态。

当美国 AI 公司主动识别中国开发者环境,而中国企业将其排除出内部研发体系时,一个新的趋势正在逐渐形成:全球 AI 产业链正在沿着不同技术体系、不同规则体系和不同信任体系加速分化。

它越来越像一场攻防战。 Anthropic 担心模型被蒸馏 , 中国企业担心工具被监控。双方都在不断强化自己的安全边界。而代价则是开放和信任正在被不断压缩。