三月,Anthropic在Claude Code里悄悄埋下一段代码。手法有个专门名字,叫“提示词隐写术”——把追踪信号藏进系统提示词,不写进界面,也不写进文档。它默默记录用户的时区、是否走了代理、有没有可能连着某家中国AI实验室。直到七月初,安全研究者“Thereallo”把这段代码扒了出来,Anthropic才承认,并迅速下线。
这事本身不算离奇。真正让人愣一下的是当事公司是谁。Anthropic过去一年最鲜明的标签就是“不做监控帮凶”——它拒绝白宫要求用Claude监控本国民众,还为此把美国政府告上法庭。轮到自己家的产品,悄悄监控的对象换成了中国用户。
藏了四个月的“实验”
工程师Thariq Shihipar在X上证实,这段代码是三月加入的一次“实验”,目的是防止未授权转售账号、防止模型被蒸馏。他补了一句:公司“早就想撤掉”,只是后来上了更强的缓解手段。
这个说法经不起对表。三月上线,七月才被外部曝光,撤下的时间点又刚好卡在曝光之后几天——“早有计划”更像是事后补的台词,而不是时间线本身能撑起的结论。
一美元的账号,一百美元的订阅
Anthropic不是无缘无故这么紧张。转售市场确实存在真实的价差:免费账号被拿去按月出售,价格低到一美元;原价约百美元一月的Pro订阅,转手能压到十几美元。这条套利链条自己就能解释公司为什么想抓身份特征。
“天下熙熙,皆为利来;天下攘攘,皆为利往。”利差在,套利的人就在,这跟AI没什么本质区别,只是套利工具换成了API调用。
蒸馏攻击的规模同样不小。此前Anthropic指控DeepSeek、Moonshot AI、MiniMax涉及约两万四千个欺诈账号、逾一千六百万次交互;针对阿里巴巴的最新指控,涉案规模跳到约两万五千账号、近两千九百万次交互,被称作“史上最大规模”的一次蒸馏攻击。北京大学与中国科学院研究人员今年二月已经拿出了检测蒸馏痕迹的方法,发现多数被测的中国模型都带着明显蒸馏证据——其中一款Qwen模型在高强度测试里,甚至偶尔把自己认成了Claude。
反监控的人设,裂了一条缝
Anthropic反监控的立场不是空口白话,背后有实打实的战果:拒绝白宫监控请求之后,它反手起诉了美国政府,ACLU和数字权利与技术中心都公开为它站台,一名联邦法官还暂时叫停了针对它的执法行动。这套叙事撑起了Anthropic“讲原则的AI公司”这块招牌。
- 风险.同一家公司,对本国政府说“不”,对另一国用户却悄悄下手,这条边界怎么划、由谁来划,现在没有答案。
阿里巴巴的反应很直接:内部备忘录称Claude Code存在“后门风险”,把它列入高危软件名单,禁止员工工作场景使用。不过报道口径不太一致——有的说禁令上周五就生效,有的说要到七月十日才正式落地,具体哪个准,现在还说不清楚,值得留意后续更正。
这场攻防,才刚刚开始
这不是单纯的道德翻车,而是一场军备竞赛下的防御悖论:一边拒绝为本国政府监控用户,一边为守住技术护城河,对另一国用户上了隐蔽的追踪手段,还把这套逻辑包装成国家安全叙事去推动立法。
- 结论.Anthropic和OpenAI都在游说,把蒸馏定性为知识产权盗窃;参议员Tim Scott也在听证会上呼吁制定出口管制。但蒸馏本身在美国并不违法,连美国大厂自己也在用同样的技术训练模型。
真正的压力来自另一头:智谱新发布的免费模型在漏洞发现能力上,已经超过了Anthropic今年五月发布的Claude Opus 4.8。领先窗口本就只有一年多,靠追踪和封锁去续命,能撑多久是另一回事。
Anthropic说自己“早有更强缓解措施”,但那到底是什么,是不是还在追踪用户,公司没有说清楚。这才是接下来最该盯的一件事——不是道歉声明写得好不好看,而是下一次“实验”会不会换个更隐蔽的方式回来。
