Anthropic 正对中国用户实施史上最严厉的封禁行动。自 6 月底起,无论是通过 VPN 规避、第三方 API 中转,还是利用海外壳公司及云服务间接接入,大量中国用户的 Claude 账号在无预警情况下遭到大规模封禁。
更具争议的是,Claude Code 客户端被曝内置隐蔽识别系统,通过分析本地时区、代理地址等特征判断用户是否与中国相关,并利用隐写术将结果回传服务器。Anthropic 技术团队已承认该机制为“实验性”反滥用措施,并承诺在下一版本中移除。然而,这种混淆代码与隐蔽追踪的做法,与其长期标榜的“透明、可信”原则形成强烈冲突。
“曲线注册”空间遭全面封杀
Anthropic 自成立初便未对中国开放服务。2025 年 9 月,该公司修订服务条款,明确禁止任何被“不受支持地区”(含中国)直接或间接控股超 50% 的实体使用其服务。
受此影响,字节跳动旗下新加坡注册的 AI 编程工具 Trae 宣布移除 Claude 模型权限;腾讯 CodeBuddy 国际版也下架相关模型,转而接入 OpenAI 和谷歌方案。
在执行层面,Anthropic 的风控策略已从单一 IP 识别升级为全链路追踪。VPN 节点频繁跳转、曾连接境内 Wi-Fi 或近期有中国出差记录等行为,均可能触发高风险判定。一家拥有 110 人的美国农业科技公司仅因个别账号违规,便遭遇整体封号。
此外,国内开发者依赖的第三方 API 中转站及支撑灰色产业链的批量注册商、境外短信验证服务、跨境支付通道等,均成为重点清理对象。今年 4 月起,Anthropic 引入第三方服务商 Persona,强制部分“高风险”用户上传证件并进行实时人脸核验,此举引发全球用户强烈反弹。
客户端植入隐蔽识别逻辑,官方承认系“实验”
相较于大规模封号,Claude Code 客户端内藏的隐蔽识别逻辑更令技术社区震惊。开发者 AdnaneKhan 审查代码发现,自 2026 年 4 月 v2.1.91 版本起,该工具内置检测机制:当用户配置第三方 API 中转时,程序会读取本地时区(重点比对上海与乌鲁木齐),并将代理域名与内置清单比对。
该清单涵盖百度、字节、腾讯、京东、月之暗面、MiniMax、阶跃星辰等中国科技企业及 AI 实验室域名,部分内网域名亦在列。
更为隐秘的是数据回传方式。Claude Code 在每次请求前,会在系统提示词中附带一行日期文本。若检测到中国相关特征,程序会对该行文字进行两处肉眼难辨的修改以标记用户分类。此过程不产生额外网络请求,服务器仅需扫描文本编码差异即可完成判定,致使该机制潜伏近三月未被察觉。
事件发酵后,Anthropic 技术人员 Thariq Shihipar 在社交平台回应称,该机制确为今年 3 月上线的“实验”,旨在防止未授权转售及模型蒸馏攻击。他表示团队已部署更强防护措施,并计划在下个版本中移除此功能。

隐蔽追踪背离“透明可信”承诺
Anthropic 一直以“透明、可信、负责任”为核心品牌标识。其《负责任扩展政策》及 Constitutional AI 治理框架均强调开发的透明度与可检查性。
然而,此次曝光的隐蔽标记机制与上述承诺严重相悖:检测代码经过刻意混淆以逃避审查,更新日志只字未提;标记结果通过替换标点符号进行隐写回传,未在界面或隐私政策中披露。尽管官方事后承认是“实验”,但未解释为何选择隐蔽植入,也未回应是否侵犯用户知情权。
技术社区的质疑焦点已从“是否封禁中国用户”转向更深层的伦理问题:企业能否在用户不知情下,利用拥有本地文件系统权限、可执行 Shell 命令的高权限工具,暗中采集地理与网络信息?分析指出,即便出于合规考量,利用隐写术隐藏监控逻辑且不作说明,已构成对用户基本权利的侵犯,绝非其所宣称的“透明治理”。
阿里列为高风险软件,要求全员卸载
随着"Code 木马”事件持续发酵,阿里巴巴内部已将 Claude Code 列入高风险软件名单。公司要求全员在 7 月 10 日前卸载包括 Sonnet、Opus、Fable 等模型系列及 Claude Code 在内的所有 Agent 产品,并推荐使用自研 Qoder 工具替代。
此前,阿里为鼓励 AI 技术应用,不仅提供内部模型免费额度,还对外部模型实行大额报销政策,员工可自由选择 Claude、GPT 等产品。此次“反向禁用”彻底切断了 Claude 的使用通道。
这一举措不仅是简单的软件替换,更是大型科技企业在面对潜在安全风险时的切割行为。这也标志着 Claude 在中国开发者群体中的信任危机,已从单纯的“可用性”问题,升级为涉及本地环境安全、企业代码保密及供应链信任的严峻挑战。

