一个正常工作的AI编程助手,却在后台偷偷把你的时区和域名打包发走了——这不是黑客小说的情节,而是中国开发者Troye Sivan在使用Claude Code时的真实发现。他通过网络监测注意到,这款Anthropic旗下的热门编码工具在用户毫不知情的情况下,连接了多个远程服务器,并将设备所在时区、网络域名等信息打包上传。这个发现迅速在安全圈发酵,并最终引出了一份重量级官方警告。

中国国家信息安全漏洞库(NVDB)发布声明,将Claude Code的行为定性为“安全后门漏洞”,措辞严厉地称其为“严重威胁”,并建议用户立即卸载或至少更新到最新版本。据《华尔街日报》报道,2026年4月至6月间发布的Claude Code版本内置了一项监控机制,能够在未经用户同意的情况下,将包括地理位置和身份标识在内的敏感信息发送到远程服务器。这并非偶发的数据泄露,而是一个被主动植入、有明确触发规则的隐蔽通道。

打开网易新闻 查看精彩图片

奇怪的是,这一指令发出时,Claude Code在中国大陆并未取得公开服务的批准。Anthropic本身也以国家安全风险为由,主动限制了自家AI工具在该地区的使用。可以说,这是一个理论上“不存在于中国”的产品,却在以一种近乎平行的方式被大量开发者真实使用着。NVDB的警告,相当于官方层面首次公开承认了这一灰色地带的存在,并且直接针对这部分冒着违规风险的用户给出了安全指导。

面对后门指控,Anthropic工程师Thariq Shihipar迅速在X平台做出解释。他承认,这确实是公司6月启动的一项实验,目的是“防止来自未授权转售商的账户滥用,并抵御模型蒸馏”。他没有否认数据外传的行为,而是给出了一个内部反作弊策略的逻辑框架:通过收集时区和域名等信息,识别并阻断那些通过代理网络批量注册、低价转售Claude API的灰产行为。他还补充说,相关监控代码“应在明天发布的版本中完全回滚”,言下之意,这是一次有时间窗口的定向实验,而非持久化的后门。

回滚实验并不代表功能消失。从Shihipar的表述来看,实验已经结束,而未来追踪功能将以非隐藏的形式直接整合到Claude Code本体中,变暗藏为明示。这也解释了为什么中国网络安全机构会特别建议用户更新到最新版本——不是为了抹除后门,而是因为新版可能已经将监控行为从偷偷发送变成了显性声明,某种意义上“风险”反而降级了。但这样的建议依旧令人玩味:因为按照中国现行监管框架,所有面向公众服务的AI大语言模型都必须经过安全评估与备案,而Anthropic旗下模型从未提交过任何审查。

在此前的安全攻防中,Anthropic与中国AI圈之间的互信已经不剩多少。公司今年初曾公开点名DeepSeek及其他中国开发者,指控其创建了多达24000个欺诈账户,专门用于调用Claude来训练更小的模型——也就是行业里常见的“蒸馏”。今年6月底,它再次亮剑,这次刀锋指向了阿里巴巴,声称再次发现大规模蒸馏攻击。与此同时,多名业内人士报告,Claude API仍在通过代理网络在灰色市场上流转,甚至可以以原价90%的折扣获得访问权限,形成了一个绕开官方限制的秘密供应链。

因此,这场后门风波背后其实是一场无声的拉锯战:Anthropic用隐秘的实验手段试图掐断蒸馏与转售的血管,而中国监管机构则用一份公开警示,把被锁在门外的产品拉入公众讨论。更有趣的是,尽管Anthropic实施了地域禁令、中国要求模型审查的双重封堵,开发者们依然在不断找到新的访问通道。北京这次的指令,与其说是在封堵,不如说是一种务实承认:既然挡不住,至少提醒你把工具更新到更“规矩”的版本。当规则赶不上技术渗透的速度,警告本身就成了一个微妙的信号灯。