Anthropic 出手堵後門:螞蟻、字節跳動借海外子公司偷用 Claude,這場圍堵怎樣升級?
Anthropic 今次唔係再出新 model,而係出手「查數」。根據英國《金融時報》的報導,Anthropic 已經開始針對中國公司透過各種灰色途徑存取 Claude 的做法收緊執法,直接點名的包括螞蟻集團同字節跳動。呢件事最值得留意的,並唔係「中國公司用唔到 Claude」呢個結論,而係 Anthropic 究竟識穿咗邊幾種「走後門」手法、佢用咩方式去識別,以及呢種做法會唔會令一般開發者都被誤傷。呢篇會集中講清楚:新一輪封鎖,實際上封咗啲乜。
一句講清今次發生咗咩事
Anthropic 早在 9 月初就更新過服務條款,全面禁止受中國控制的實體在全球範圍存取 Claude AI 服務,無論該公司在哪裡註冊或營運。新條款直接針對股權結構受限制司法管轄區(例如中國)控制的公司,包括被中國總部公司直接或間接持股超過 50% 的實體,這是一次比過往「按地區封鎖」更進一步的擴張。
但條款寫得再嚴,公司照樣有辦法「借道」用。今次 FT 的報導點出咗兩個很具代表性的案例:螞蟻集團為員工提供了透過新加坡實體開設的企業版 Claude 帳號,字節跳動則報銷工程師個人 Claude 訂閱費用,並讓他們透過 VPN 存取。呢啲做法有趣嘅地方在於——佢哋並無違反美國或中國法律,只係違反 Anthropic 自己嘅服務條款。換句話講,Anthropic 依家係以「私人企業」身份自行執法,而唔係靠出口管制。
今次堵漏洞,究竟堵啲乜?三個最值得留意的執法動作
一、盯緊「海外子公司 + 雲端轉手」
最直接嘅一招,就係識別像螞蟻新加坡實體咁樣嘅殼。表面睇係新加坡公司開帳號,但實際使用者、部署場景都指向中國母公司。Anthropic 今次改條款嘅重點就係「穿透股權」——只要母公司在中國、持股過半,海外子公司一樣禁用。呢一點對於好多打國際市場嘅中資 AI 產品其實好傷,例如字節跳動旗下、以新加坡為總部、面向國際用戶嘅 AI code editor Trae,本身就重度依賴 OpenAI 嘅 GPT 同 Anthropic 嘅 Claude。政策一落,Trae 就即刻將 Claude 從產品內移除。
二、監控時區、IP 同帳號行為
第二招係「行為指紋」。Anthropic 加強咗識別同封鎖工作,包括監察帳號嘅電腦時區等訊號,並針對將請求轉手到海外 Claude 帳號嘅「轉發站」服務下手。呢啲「轉發站」就係中國開發者社群裡面俗稱嘅「中轉站」——第三方買咗海外 Claude 額度,再包成 API 賣返俾中國用戶。今次係直接由源頭去截。
三、Claude Code 內建嘅「隱形標記」
呢一招最爭議。有開發者反編譯 Claude Code 之後,發現當中隱藏咗一段自 4 月起已存在、無出現在任何更新日誌嘅程式碼,會將代理位置同時區資訊,用不可見嘅 Unicode 標記藏入 system prompt。技術細節係咁:程式會檢查 ANTHROPIC_BASE_URL 呢個環境變數,如果用戶指向非官方 endpoint,就會提取代理域名,並讀取系統時區,重點睇係唔係 Asia/Shanghai 或 Asia/Urumqi。之後呢個域名會同一份 147 條記錄嘅解碼名單比對,名單包含中國大廠、雲端區域、AI 實驗室,例子有百度、阿里、螞蟻集團、字節跳動、Moonshot AI、MiniMax、Stepfun 同大量 Claude 代售或鏡像代理服務。
真正令開發者社群反彈嘅唔係「有黑名單」,而係傳送方式。Claude Code 唔係另外開一個 telemetry 欄位,而係直接改動 system prompt 裡面「Today’s date is …」呢一行——中國時區會將日期分隔符由 2026-06-30 換成 2026/06/30,「Today’s」入面嗰個 apostrophe 亦會被換成外觀相同但 Unicode 唔一樣嘅字符,用嚟編碼代理配置嘅額外資訊。對普通人嚟講四個字符完全一樣,但實際上程式會在 ‘、’、ʼ、ʹ 之間切換,用嚟表示代理係咪匹配中國域名、係咪指向中國 AI 實驗室、抑或兩者皆是;最終產生嘅 prompt 表面正常,但已經帶住可被後端解碼嘅隱藏標記。
事件曝光後,Anthropic 工程師在社交媒體承認呢段程式碼存在,並表示會在翌日版本移除,惟公司未有發出正式書面聲明。
為什麼這件事值得所有開發者留意,而不只是中國團隊?
表面上,呢件事只影響中國公司同用中轉站嘅開發者。但技術界反應咁大,係因為 Claude Code 唔係一個 chatbot 咁簡單。Claude Code 可以讀取專案檔案、檢查程式碼倉庫、經批准後執行 Bash 指令,並修改原始碼。當一個掌握你 source code、shell 權限嘅工具,會將你唔知情嘅環境資訊,用肉眼睇唔到嘅方式塞入每一次請求,信任基礎就會動搖。
有開發者就指出一個關鍵矛盾:呢個機制實際上更容易標記「用緊合法企業代理」嘅普通開發者,而唔係佢原本想捉嘅高階操作者。換句話講,一間在越南、日本、韓國嘅公司,只要用咗某個被列入 147 名單嘅雲端節點或代理,就有可能默默被標記。呢種「先標記、後判斷」嘅做法,正正係矽谷開發者社群最抗拒嘅——不是反對封鎖中國公司,而是反對「用隱寫術做客戶端指紋」。
Anthropic 嘅算盤:捉蒸餾,捉轉售
如果只睇動機,其實唔難理解。Anthropic 早前就公開指控包括 DeepSeek、Moonshot AI 同 MiniMax 在內嘅中國實驗室,透過超過 24,000 個假帳號、逾 1,600 萬次交互去複製 Claude 嘅推理同編碼行為。呢種「模型蒸餾」對於一間投放巨資訓練 frontier model 嘅公司嚟講,直接等於價值被抽走。
加上 Claude Code 本身係 Anthropic 目前增長最快嘅產品,呢個 5 月推出嘅開發工具,run-rate 收入已超過 5 億美元,三個月內使用量增長逾 10 倍。Anthropic 承認今次封鎖會令收入減少「數億美元」(low hundreds of millions of dollars)——公司仍然肯落呢一刀,代表佢認為蒸餾同轉售嘅長遠風險,遠大於一次過嘅收入損失。
中國 AI 廠嘅即時反應:借勢挖客
呢邊 Anthropic 一收緊,另一邊中國模型商就立即開放懷抱。Zhipu(智譜)在封鎖消息傳出數小時內,就推出針對 Claude 用戶嘅遷移套件,主打隨插即用切換到 GLM-4.5 API,價格只係 Claude 一小部分,並附送 2,000 萬 free tokens、吞吐量三倍於 Claude 基礎級別。
而字節跳動那邊,在 Anthropic 收緊存取限制之後,已停止在其基礎設施上使用 Claude 模型,並表示會轉用國產替代方案,這被視為戰略上明確轉離西方 AI 模型。呢種「你封我,我轉自研」嘅切換速度,其實比很多人預期快——側面反映中國模型(Qwen、GLM、Kimi 等)在編碼場景嘅可用性已經追得相當貼。
一個容易被忽略的判斷
過去大家講「AI 出口管制」,慣性諗到嘅係美國政府、晶片、EDA 工具。但 Anthropic 呢一次示範咗另一種模式:由 AI 公司自己執法,自己界定「受控實體」,自己動手識別同封鎖。冇經過任何政府命令,冇違反任何一條法律,純粹靠服務條款加客戶端偵測就完成。
對打國際市場嘅中資背景公司而言,最大衝擊唔係一時間用唔到 Claude,而係——你搭係任何一個美國 frontier model 之上嘅產品,都可能在下一次條款更新中一夜報廢。而對其他地區嘅開發者,真正要問嘅係:如果客戶端可以用隱寫術記錄環境指紋,究竟仲有咩其他資訊,正在以類似方式被靜靜收集?
呢場圍堵先至剛剛開始。
追蹤以下平台,獲得最新AI資訊:
Facebook: https://www.facebook.com/drjackeiwong/
Instagram: https://www.instagram.com/drjackeiwong/
Threads: https://www.threads.net/@drjackeiwong/
YouTube: https://www.youtube.com/@drjackeiwong/
Website: https://drjackeiwong.com/