以「安全与对齐」为招牌的 Anthropic,Claude Code 团队工程师 Thariq 公开回应日前引发轩然大波的「间谍程序法」爆料,正面承认公司今年 3 月曾在产品中嵌入一项实验性机制,会检测系统时区是否为 Asia/Shanghai 或 Asia/Urumqi、代理主机名是否匹配中国相关转售商,再用特殊标点以隐写(steganography)方式,在系统提示中悄悄注入对人类隐形、却能由服务器解析的标记。他说目的是「防止未授权转售商滥用账号与模型蒸馏」,并强调已加速下线、之后版本完全回滚。 (前情提要:Claude Sonnet 5 上线:Anthropic 称多项表现逼近 Opus,价格更便宜) (背景补充:Fable 5、Mythos 5 要回来了!Anthropic 官宣明日重新上线)
重点摘要
以「安全与对齐」为招牌的 Anthropic 自己承认反蒸馏的做法。Claude Code 团队工程师 Thariq 公开回应日前引发轩然大波的「间谍暗码」爆料,正面承认公司今年 3 月曾在产品中嵌入一项实验性机制,在用户毫不知情的情况下,对中国相关用户进行环境指纹标记。
根据 Thariq 的说法与爆料内容,这套机制会检测三件事:系统时区是否为 Asia/Shanghai 或 Asia/Urumqi、网络代理主机名是否匹配一份中国相关转售商清单,以及是否命中特定 AI 实验室的关键词。判断的结果不会明着写出来,而是用特殊标点,以「隐写术」(steganography)的方式,偷偷注入系统提示中的隐藏标记。
隐写术指的是把信息藏在看起来正常的内容里。这套机制巧妙(也可以说阴险)的地方在于,当它检测到中国时区时,系统提示里「Today’s date is」那一行的日期分隔符,会从连字号「-」悄悄翻成斜线「/」,例如 2026-06-30 变成 2026/06/30;同时,「Today’s date」里的那个撇号,会在三种视觉上几乎一模一样、但编码不同的 Unicode 字符之间切换,用来标示代理是否匹配中国域名、是否引用中国 AI 实验室,或两者都中。
最关键的是,这些改动对人类用户完全隐形,甚至可能连 AI 模型本身都看不出来,却能被 Anthropic 的服务器轻松解析。根据外电,相关行为出现在 Claude Code 版本 2.1.193 到 2.1.196,而类似逻辑最早可追溯到 4 月初的 2.1.91 版本。
Thariq 给出的理由是防御性的。他表示该机制旨在「防止未授权的转售商滥用账号及模型蒸馏」,并强调团队此后已落地更强的防护措施,「一直打算将其下线」,相关 PR 已合并,预计在明日版本(2.1.197)发布中完全回滚。
今年 2 月,Anthropic、OpenAI 与 Google 曾同时披露工业规模的模型蒸馏攻击,Anthropic 更具体指控 DeepSeek、Moonshot AI 与 MiniMax,动用超过 24,000 个欺诈账号、生成 1,600 万次以上对话,用来训练竞争模型。对这些 AI 巨头而言,防堵蒸馏与盗用是真实存在的痛点。
问题是,这次爆料由安全账号 @IntCyberDigest 于 6 月 30 日公开,还附上两张程序代码截图,直接坐实了「用户毫不知情」这一点。Thariq 的回应虽属正面承认,但「3 月上线、被曝光后才加速撤销」的时间线,仍引发社群普遍质疑。
评论区几乎一面倒地批评 Anthropic「被抓到才说要撤」「不通知用户就偷偷监控」,长期以「最注重安全与伦理」自居的公司形象,遭受严重的信任冲击。
反蒸馏已成中美两大 AI 阵营的主题攻防,相应手段是否需要完全公开?以商业逻辑来说是不可能的。
常见问题
Claude Code 的「间谍程序代码」到底做了什么?
据爆料与工程师 Thariq 承认,Claude Code 曾嵌入实验性机制,检测用户时区是否为中国(Asia/Shanghai、Asia/Urumqi)、代理主机名是否匹配中国转售商,再用特殊 Unicode 标点以隐写方式,在系统提示中注入对人类隐形、但服务器可解析的标记。
Anthropic 为什么要这样做?现在撤掉了吗?
Thariq 称目的是防止未授权转售商滥用账号与模型蒸馏。今年 2 月 Anthropic 曾指控 DeepSeek 等中国 AI 公司用大量欺诈账号蒸馏其模型。他表示相关 PR 已合并,明日版本(2.1.197)将完全回滚该机制。
13.5万 热度
111.51万 热度
56.26万 热度
383.66万 热度
5548.84万 热度
Claude Code 承认了对中国用户塞入“间谍暗码”防卖水和蒸馏,被曝光才撤下
以「安全与对齐」为招牌的 Anthropic,Claude Code 团队工程师 Thariq 公开回应日前引发轩然大波的「间谍程序法」爆料,正面承认公司今年 3 月曾在产品中嵌入一项实验性机制,会检测系统时区是否为 Asia/Shanghai 或 Asia/Urumqi、代理主机名是否匹配中国相关转售商,再用特殊标点以隐写(steganography)方式,在系统提示中悄悄注入对人类隐形、却能由服务器解析的标记。他说目的是「防止未授权转售商滥用账号与模型蒸馏」,并强调已加速下线、之后版本完全回滚。
(前情提要:Claude Sonnet 5 上线:Anthropic 称多项表现逼近 Opus,价格更便宜)
(背景补充:Fable 5、Mythos 5 要回来了!Anthropic 官宣明日重新上线)
重点摘要
以「安全与对齐」为招牌的 Anthropic 自己承认反蒸馏的做法。Claude Code 团队工程师 Thariq 公开回应日前引发轩然大波的「间谍暗码」爆料,正面承认公司今年 3 月曾在产品中嵌入一项实验性机制,在用户毫不知情的情况下,对中国相关用户进行环境指纹标记。
根据 Thariq 的说法与爆料内容,这套机制会检测三件事:系统时区是否为 Asia/Shanghai 或 Asia/Urumqi、网络代理主机名是否匹配一份中国相关转售商清单,以及是否命中特定 AI 实验室的关键词。判断的结果不会明着写出来,而是用特殊标点,以「隐写术」(steganography)的方式,偷偷注入系统提示中的隐藏标记。
偷藏可辨识的暗码
隐写术指的是把信息藏在看起来正常的内容里。这套机制巧妙(也可以说阴险)的地方在于,当它检测到中国时区时,系统提示里「Today’s date is」那一行的日期分隔符,会从连字号「-」悄悄翻成斜线「/」,例如 2026-06-30 变成 2026/06/30;同时,「Today’s date」里的那个撇号,会在三种视觉上几乎一模一样、但编码不同的 Unicode 字符之间切换,用来标示代理是否匹配中国域名、是否引用中国 AI 实验室,或两者都中。
最关键的是,这些改动对人类用户完全隐形,甚至可能连 AI 模型本身都看不出来,却能被 Anthropic 的服务器轻松解析。根据外电,相关行为出现在 Claude Code 版本 2.1.193 到 2.1.196,而类似逻辑最早可追溯到 4 月初的 2.1.91 版本。
Anthropic 说是反蒸馏,社群说是偷偷监控
Thariq 给出的理由是防御性的。他表示该机制旨在「防止未授权的转售商滥用账号及模型蒸馏」,并强调团队此后已落地更强的防护措施,「一直打算将其下线」,相关 PR 已合并,预计在明日版本(2.1.197)发布中完全回滚。
今年 2 月,Anthropic、OpenAI 与 Google 曾同时披露工业规模的模型蒸馏攻击,Anthropic 更具体指控 DeepSeek、Moonshot AI 与 MiniMax,动用超过 24,000 个欺诈账号、生成 1,600 万次以上对话,用来训练竞争模型。对这些 AI 巨头而言,防堵蒸馏与盗用是真实存在的痛点。
问题是,这次爆料由安全账号 @IntCyberDigest 于 6 月 30 日公开,还附上两张程序代码截图,直接坐实了「用户毫不知情」这一点。Thariq 的回应虽属正面承认,但「3 月上线、被曝光后才加速撤销」的时间线,仍引发社群普遍质疑。
反蒸馏已成中美两大 AI 阵营的主题攻防,相应手段是否需要完全公开?以商业逻辑来说是不可能的。
常见问题
Claude Code 的「间谍程序代码」到底做了什么?
据爆料与工程师 Thariq 承认,Claude Code 曾嵌入实验性机制,检测用户时区是否为中国(Asia/Shanghai、Asia/Urumqi)、代理主机名是否匹配中国转售商,再用特殊 Unicode 标点以隐写方式,在系统提示中注入对人类隐形、但服务器可解析的标记。
Anthropic 为什么要这样做?现在撤掉了吗?
Thariq 称目的是防止未授权转售商滥用账号与模型蒸馏。今年 2 月 Anthropic 曾指控 DeepSeek 等中国 AI 公司用大量欺诈账号蒸馏其模型。他表示相关 PR 已合并,明日版本(2.1.197)将完全回滚该机制。