Anthropic 对华政策观察:从「隐写门」到行业对比
摘要:2026 年 6 月底,Reddit 用户逆向发现 Claude Code 内置了一套隐蔽的中国关联用户检测机制,通过隐写术将检测结果编码进系统提示词回传。本文梳理事件时间线,横向对比 OpenAI、Google 的对华政策差异,并讨论 AI 公司在「技术中立」与「地缘政治现实」之间的结构性张力。
2026 年 6 月底,一起由逆向工程揭开的事件,让 AI 行业对「技术中立」的幻灭感再次升温。
Reddit 用户 LegitMichel777 在分析 Claude Code 2.1.196 版本时,发现该工具自 2026 年 4 月的 2.1.91 版本起,内置了一套隐蔽的中国关联用户检测机制。这不是简单的 IP 封锁,而是一套精心设计的、试图规避公开审查的隐形系统。
一、事件回顾:Claude Code「隐写门」
1.1 检测内容
系统会悄悄检查两项指标:
- 时区判断:系统时区是否为中国时区(上海/乌鲁木齐)
- 域名清单匹配:用户代理域名是否命中一份包含 147 个条目的清单,涵盖百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等中国科技企业
1.2 回传方式:真正的「隐写」
检测本身并不罕见。真正引发争议的是回传手段:
- 不通过独立遥测字段上报
- 而是将检测结果隐蔽编码进每次请求都会发送的系统提示词中
- 具体手段包括:修改日期格式(连字符变斜杠),并将撇号替换为三种视觉上几乎无法区分的 Unicode 字符,分别对应不同命中状态
这意味着,即使用户检查网络流量,也很难发现这套机制在运行。
1.3 混淆手段
域名清单并非明文存储,而是经过:
- Base64 编码
- XOR 异或运算混淆
发布说明中完全未提及此功能。整套机制从 4 月上线的 2.1.91 版本潜伏到 6 月底才被发现,时间跨度近三个月。
1.4 官方回应
Anthropic 技术团队成员 Thariq Shihipar 在 X 上回应,称这是 2026 年 3 月上线的「实验性」反滥用措施,目的是防止账户转售和模型蒸馏攻击,并承诺在后续更新中移除。
1.5 后续影响
阿里巴巴内部已将 Claude Code 列入高风险软件名单,要求员工在 7 月 10 日前卸载相关 Agent 产品,推荐使用自研工具 Qoder 替代。
二、横向对比:OpenAI、Google 如何处理中国相关准入
据英国《金融时报》调查及多家媒体转载,三家美国头部 AI 公司对中国关联用户的处理方式存在明显差异:
| 公司 | 政策取向 |
|---|---|
| Anthropic | 全面禁止中国公司及其海外子公司使用先进模型,被媒体称为三者中「最激进」的一家 |
| OpenAI | 不允许中国大陆直接访问,但允许部分中国所有权公司在其可监管的海外地区(如新加坡)使用工具;曾因怀疑蒸馏行为暂停阿里巴巴关联账号访问 |
| 服务在香港、新加坡持续开放,依赖使用政策(禁止蒸馏)而非地域封锁作为主要防线 |
2.1 1260H 清单的关键差异
值得注意的是,OpenAI 和 Google 被曝向五角大楼「1260H 清单」(认定与解放军有关联的企业名单)上的阿里巴巴、百度、腾讯的海外子公司提供服务,而 Anthropic 没有——这也是媒体称其「更激进」的直接依据。
2.2 蒸馏指控与法律争议
Anthropic 方面曾致信国会,指控阿里巴巴使用 2.5 万个欺诈账号、产生超过 2880 万次交互,借此「蒸馏」Claude 模型。阿里巴巴对此未予回应,但已就其被列入五角大楼名单一事向联邦法院提出异议。
据多家媒体报道,Anthropic 曾表示封锁中国访问使其损失数亿美元。
三、核心讨论:几个值得深思的观察
3.1 隐写术手段与「安全承诺」的自相矛盾
Anthropic 长期将自己定位为 AI 安全与透明治理的行业标杆。而这套隐蔽检测机制恰恰采用了刻意规避审查的手段:
- Unicode 混淆
- XOR 加密
- 不写入更新日志
无论其初衷是否合理,执行方式本身与「透明」的公开承诺存在明显落差。一家以 AI 安全为卖点的公司,选择用隐写术回传用户元数据,这在伦理叙事上构成了自反性讽刺。
💡 开发者提示:隐写术(Steganography)在安全领域通常用于恶意软件或数据泄露。一家以「安全」为核心卖点的公司采用同类技术进行用户侧检测,无论法律上是否合规,都值得在选型评估时纳入伦理审计。
3.2 「蒸馏」指控中的不对称性
Qwen、GLM、DeepSeek、Kimi 等中国模型大量开源了权重、论文与技术报告。这些内容进入公开互联网后,理论上也会被各家公司的爬虫收录进训练语料——尤其中文语料本就相对稀缺。
若此假设成立,则存在一种结构性不对称:
- 中国公司通过 API 调用获取美国模型输出 → 被定义为「违规蒸馏」并遭严厉打击
- 美方公司通过公开语料间接受益于中国开源成果 → 未被纳入同等讨论范畴
这一不对称性目前尚无权威调查证实或证伪,但值得关注后续国会听证或独立审计是否触及。
3.3 对「激进姿态」动机的三种推测
- 安全理念的路径依赖:Anthropic 创始团队出走 OpenAI 的初衷即是「发展速度应让位于安全」,这种文化基因可能延伸为对地缘政治风险「宁严勿松」的一刀切处理。
- 商业竞争焦虑:中国开源模型性能迫近、价格更低,直接冲击订阅制商业模式,激进姿态某种程度上是防御性的市场反应。
- 政策游说与叙事维护:强调「中国威胁」有助于在国会游说、融资估值中维持自身话语权和特殊地位诉求。
这三种因素很可能并非互斥,而是相互交织、彼此强化。
3.4 「从落后到领先」的结构性悖论
Anthropic 以「OpenAI 发展过快、安全跟不上」为由创立,如今其旗舰模型被广泛认为是公众可用的最前沿模型之一。这一悖论并非该公司独有——几乎所有以「制衡失控发展」为初衷成立的 AI 实验室,最终都因商业和融资压力被迫加入前沿能力竞赛。
OpenAI 自身早年「民主化 AI、制衡巨头」的定位也经历了类似的转变。
四、行业影响与结构性含义
4.1 AI 公司的「地缘政治身份」
Anthropic 事件标志着 AI 公司不再只是技术公司,而是地缘政治行为体。它们的代码仓库成为政策工具,其产品更新可能影响外交关系,其内部检测机制可能改变行业供应链。
4.2 开源 vs 闭源的「安全叙事」翻转
传统叙事中,闭源公司以「安全」为由限制访问,开源模型以「透明」为由开放权重。但 Anthropic 事件揭示了一个反转:
- 闭源公司可能在不公开的情况下实施地域歧视性检测
- 开源模型虽然可能被「蒸馏」,但其透明性本身就是一种安全机制(可审计、可验证)
4.3 企业 AI 采购的新变量
阿里巴巴要求员工在 7 月 10 日前卸载 Claude Code,这一决策不仅关乎安全,更释放了一个信号:跨国企业的 AI 工具采购将 increasingly 纳入地缘政治风险评估。
未来可能出现:
- 「不受美国出口管制」成为采购标准
- 企业自研 Agent 工具(如阿里的 Qoder)获得内部政策倾斜
- 第三方审计成为 AI 工具合规的必要条件
五、尚未解答的问题
- 隐写机制的范围:除了 Claude Code,Anthropic 的其他产品(Claude API、Claude.ai 网页版)是否也存在类似检测?官方目前仅承诺在「后续更新中移除」,未明确范围。
- 检测数据的去向:被编码进系统提示词的检测结果,除了本地使用外,是否被传输到 Anthropic 服务器?官方未明确说明。
- 「实验性」的边界:2026 年 3 月上线、近三个月未披露的「实验性」功能,其定义边界在哪里?是否经过伦理审查?
- 对华政策的长期走向:Anthropic 的激进姿态是临时策略还是会固化为其品牌定位?这取决于美国出口管制政策、IPO 叙事需求、以及竞品之间的差异化竞争。
六、结语
Anthropic 对华政策演变,本质上是一个技术伦理、商业利益与地缘政治的三重博弈。
从「隐写门」的技术细节来看,Anthropic 确实在用户不知情的情况下实施了地域歧视性检测,这与该公司一贯的 AI 安全与透明叙事形成了张力。从行业对比来看,Anthropic 的「最激进」地位既有安全理念的路径依赖,也有商业竞争和政策游说的现实考量。
但对这一事件的评价,最终取决于你相信哪种叙事:
- 如果你相信「国家安全优先」,Anthropic 的做法是必要的防御;
- 如果你相信「技术透明与用户知情权」,隐写术本身就是一种背叛;
- 如果你相信「地缘政治不可逃避」,那么所有 AI 公司最终都要选边站,Anthropic 只是先选了而已。
目前唯一可以确定的是:AI 已经不再只是技术产品,它是新时代的基础设施,而基础设施永远有政治属性。
Anthropic 事件不会是个案。随着 AI 能力的集中化和地缘竞争的加剧,类似的争议只会更多。对于开发者和企业而言,在选择 AI 工具时,模型能力之外,地缘风险、数据主权、供应链安全正在成为新的决策维度。
🤔 你怎么看 Anthropic 的「隐写门」?你认为 AI 公司应该在技术安全与地缘政治之间如何平衡?欢迎在评论区讨论。
本文基于公开报道与行业信息综合整理,部分分析为推测性讨论,已标注。











