環境探測:Claude Code 會檢查 ANTHROPIC_BASE_URL 環境變數。如果該變數指向非官方端點——例如第三方 API 中繼或所謂的「中國中轉站」代理——程式碼就會將該端點與一份硬編碼的域名列表進行比對。這份列表涵蓋百度、阿里巴巴、螞蟻集團、字節跳動、Moonshot AI(Kimi)、MiniMax、StepFun 等共 147 個中國科技公司域名 ,並經過 Base64 編碼和 XOR 金鑰 91 混淆處理,難以透過一般字串搜尋工具找出來
。
編碼進系統提示詞:一旦偵測到與中國相關的代理,程式碼會無聲無息地修改每次請求發送給 Anthropic 伺服器的系統提示詞。它會將原本平凡無奇的一行文字——「Today's date is 2026-06-30.」——透過微妙的字元替換和日期格式變更,將使用者的時區、代理路由以及可能的 AI 實驗室所屬資訊編碼進去 。這正是 隱寫術(steganography) 手法:在看似正常的文字中隱藏資料,讓模型(以及 Anthropic 的伺服器)能夠讀取,使用者卻渾然不覺。
對使用者完全不可見:整個過程沒有任何 UI 指示、沒有對終端使用者顯示的紀錄,也未在版本說明或文件之中揭露 。多位獨立分析師確認此機制確實存在,並將其描述為嵌入在系統提示詞中的「隱蔽通道」(covert channel)
。更早的原始碼外洩中出現的
ANTI_DISTILLATION_CC 旗標,則指示 Anthropic 的 API 在回應中悄悄注入反蒸餾浮水印,顯示這可能是更廣泛的反濫用框架的一部分 。
爭議爆發後,Anthropic 承認了這項功能並開始回退 。該公司將其定性為一項「反濫用實驗」,旨在打擊在中國開發者社群中被稱為「中轉站」的灰色市場 API 代理——這些代理讓中國開發者能以約官方定價 10% 的價格,透過未經授權的中繼方式存取 Claude
。Anthropic 表示其目標是偵測並阻止蒸餾攻擊與未經授權的存取,而非監視使用者。然而,批評者將其稱為「間諜軟體式的程式碼」,並對隱私、透明度以及秘密進行使用者指紋識別的倫理問題提出嚴厲質疑
。
就在 Claude Code 原始碼外洩事件公開前一週,Anthropic 向美國國會發送了一封信函,指控 阿里巴巴及其 Qwen AI 實驗室 對 Claude 發動了史上最大規模的「蒸餾攻擊」。根據多家新聞媒體審閱的這封信函,與阿里巴巴有關聯的操作者從 2026 年 4 月 22 日到 6 月 5 日期間,使用約 2.5 萬個假帳號,與 Claude 進行了約 2,880 萬次互動,系統性地提取模型能力以訓練自己的競爭模型 。Anthropic 將此描述為一場「明目張膽」且「違法」的行動
。這項指控直接解釋了 Anthropic 為何要建置隱寫術指紋識別——這正是用來防範它同時指控阿里巴巴正在進行的那種大規模提取行為。
這並非 Anthropic 首次指控中國企業進行蒸餾。2026 年 2 月,Anthropic 就已指控 DeepSeek、Moonshot AI 和 MiniMax 設立超過 2.4 萬個假帳號,並與 Claude 產生超過 1,600 萬次交換 。而本次對阿里巴巴的指控是規模最大的一次。
2026 年 6 月 12 日,美國商務部根據《出口管理條例》(EAR),命令 Anthropic 立即停用其剛在三天前發布的兩個最先進模型——Claude Fable 5 和 Claude Mythos 5——理由是國家安全疑慮,聲稱存在某種越獄漏洞 。Anthropic 配合辦理,由於無法即時可靠地區分外國人與本國使用者,因此在全球範圍內暫停了這兩個模型
。
接著在 2026 年 6 月 30 日——也就是 Claude Code 隱藏代碼風暴爆發的同一天——川普政府解除了出口管制,Anthropic 開始恢復 Fable 5 和 Mythos 5 的存取 。
這幾起事件在短短一週內形成了一個環環相扣的格局: