Secret Claude tracker shocks users after Anthropic’s anti-surveillance stance
Ars Technica AI··作者 Ashley Belanger
资讯摘要
“Serious breach of user trust” Secret Claude tracker shocks users after Anthropic’s anti-surveillance stance Anthropic accused of spying on users; engineer says “experiment” is over. Ashley Belanger – Jul 6, 2026 12:44 pm | 67 Credit: SOPA Images / Contributor | LightRocket Credit: SOPA Images / Contributor | LightRocket Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav Anthropic quickly removed a tracker secretly monitoring Claude Code users in China after a security researcher exposed the hidden code and condemned the…

资讯正文
“严重侵犯用户信任”
在 Anthropic 反对监控的立场之后,秘密 Claude 跟踪器令用户震惊
Anthropic 被指控监视用户;工程师称这场“实验”已经结束。
上周,研究 Claude Code 隐私问题的一名网页开发者、网名为“Thereallo”的人震惊地发现,这家 AI 公司正在使用“提示隐写术”将跟踪中国用户的代码“明目张胆地藏起来”。这段代码本身并不恶意,但它会向 Anthropic 发送大多数用户不会察觉的信息,依靠简短标记悄悄标示用户的时区、代理,以及与中国 AI 实验室的潜在连接,而 Anthropic 一直指责这些实验室存在蒸馏攻击。
Anthropic 工程师 Thariq Shihipar 在 X 上证实,这个跟踪器是于 3 月作为一项“实验”加入 Claude Code 的。Shihipar 表示,这段代码“原本是为了防止未经授权的转售商滥用账户,并防范蒸馏”。就前者而言,《华盛顿邮报》发现,未经授权的零售商曾以每月 1 美元的价格出售免费模型访问权限,而原本每月可高达 100 美元的专业订阅也能“低至 12 美元”出售。
Shihipar 说,Anthropic 其实“已经打算把这段代码移除了有一段时间了”,因为工程师们“此后已经采取了更强的缓解措施”。
不过,隐私倡导者并不接受这一解释,他们警告称,这段代码表明 Anthropic 愿意跨越界线来监视用户。考虑到 Anthropic 曾因拒绝允许美国政府使用 Claude 来监视美国用户而激怒特朗普政府,这一点或许尤其令人震惊。此后,这家 AI 公司就这一冲突起诉了白宫。
Anthropic 希望将蒸馏定为非法
《华盛顿邮报》指出,这起跟踪器事件表明,像 Anthropic 这样的美国公司正在采取“越来越激进的措施”,阻止中国 AI 公司复制它们的模型。
显然,更具防御性的立场已变得至关重要。邮报报道称,在过去一年里,中国公司“在数月内持续追平”美国公司的模型能力。就在最近,邮报还报道称,“中国公司智谱 AI 发布的一款新的免费 AI 模型,在寻找计算机漏洞方面比 Anthropic 于 5 月发布的 Claude Opus 4.8 模型更强”。
为了为美国锁定 12 个月,甚至可能 24 个月的领先优势,Anthropic 表示,美国必须加大干预力度,动用一系列可能的惩罚措施来打击蒸馏攻击,包括阻止在美国获取先进模型、芯片和数据中心。
虽然蒸馏并不违法(美国领先企业也在这么做),但为了迅速推动中国模型进步而对 Claude 这类模型进行数百万次提示,违反了 Anthropic 的用户条款。
为了结束这种无休止的复制,Anthropic 已与 OpenAI 一道,敦促美国将蒸馏攻击视为知识产权盗窃的一种形式。在最近一次参议院听证会上,参议员 Tim Scott(南卡罗来纳州,共和党)同意需要法律干预,并辩称美国需要“谨慎制定清晰简明的出口管制政策”,以阻止中国利用此类攻击“获得技术优势”,《华盛顿邮报》报道。
秘密代码触发了阿里巴巴 Claude 封禁
《华盛顿邮报》报道称,中国企业显然正在对美国模型进行蒸馏。2 月,来自北京大学和国家资助的中国科学院的中国研究人员“开发出检测领先大语言模型中蒸馏迹象的方法”,并发现大多数中国模型“显示出明显的蒸馏证据”,主要是对美国模型的蒸馏。阿里巴巴旗下的一款 Qwen AI 模型——Anthropic 此后称,该模型在 6 月对 Claude 进行了“史上最大规模的蒸馏攻击”之后表现得更强大——在 2 月“反复表现出模仿” Claude 的迹象。研究人员发现,在一些高强度测试中,这个模型甚至有时会露馅,把自己识别成 Claude。
阿里巴巴尚未就 Anthropic 的指控发表评论,但在持续审查之下,该公司已开始与 Anthropic 的模型保持距离。
上周五,阿里巴巴禁止员工在工作中使用 Claude Code,《南华早报》报道称。根据 SCMP 查阅的一份备忘录,阿里巴巴告诉员工,这项禁令是对有关 Anthropic 用于监控中国用户的追踪器消息的直接回应。
备忘录称:“由于 Claude Code 最近被发现存在后门风险,经过全面评估,Claude Code 现已被列入存在安全漏洞的高风险软件名单。”
对阿里巴巴而言,忽视 Anthropic 识别与中国领先 AI 实验室相关用户的决心是有风险的。
与个人用户不同,后者可以轻松支付廉价的规避技术费用,从而绕过 Anthropic 的地理位置屏蔽而不必担心重大后果;如果阿里巴巴被发现违反 Anthropic 的条款,则可能面临法律和合规风险,一位获匿名授权讨论阿里巴巴 Claude 封禁事宜的消息人士告诉路透社。
对 Anthropic 来说,若任由这些攻击持续下去,可能会损害公司的业务。《华盛顿邮报》报道称,一些中国开源模型比美国免费且开放的对应模型更受欢迎,而 Fortune 500 的首席执行官们已明确表示,他们正在寻找更便宜的 AI 解决方案。《华盛顿邮报》指出,对于美国而言,不仅阻止中国对美国模型进行蒸馏会很困难,而且这也可能不受欢迎——因为这会阻止美国人从来自中国的更便宜 AI 替代方案中受益。
Anthropic 的追踪触碰了“可怕的边界”
在这样的环境下,聊天机器人用户的忠诚度取决于一项成本收益分析:即访问模型的成本与其能力之间的权衡。Anthropic 若要在与中国前沿模型的竞争中保持领先,恐怕承受不起失去用户信任的代价。
正如率先指出这一隐藏追踪器的网页开发者所说,Anthropic 选择秘密推进这一做法“很奇怪”,因为公司本可以透明地提醒用户存在这种侵犯用户追踪的行为。
Thereallo 的博客写道:“这不是一个恶意功能,但对于一个要求信任的开发者工具来说,这个选择很奇怪。” 该博客指出,“如果客户端想检测自定义 API 网关,它可以直说。它可以附带文档发送一个明确的遥测字段。它可以把这种行为公开。它可以把这种行为写进发布说明。”
这位研究者强调:“编码代理本来就生活在一个令人恐惧的边界另一侧。它们可以检查代码,无意中总结出秘密,运行命令,安装软件包,编辑文件,并在你的本地机器上推送提交。”
尽管大多数用户很可能并未受到这种追踪的影响,Thereallo 仍警告称,正确的反应应当是加强对 Claude 用户监控能力的审视,因为“这个功能主要惩罚的,正是那些更容易被识别指纹的人:做着奇怪但正当事情的普通开发者。”
Thereallo 表示:“把信号隐藏在系统提示词里,会让其他一切隐私声明都更难让人相信。”
Anthropic 未立即回应 Ars 的置评请求。
不过,一位发言人对《华盛顿邮报》表示,中国实验室的蒸馏攻击“对国家安全构成严重威胁,并破坏整个行业的 AI 安全标准。这就是为什么我们会继续公开讨论我们所看到的情况,并与其他实验室、政府和合作伙伴密切合作,寻求共同的解决方案。”
来源与参考
收录于 2026-07-07