Anthropic 同日两件大事:Sonnet 5 发布与 Claude Code 隐蔽标记争议
Anthropic 推出 Claude Sonnet 5,美国解除 Mythos 5、Fable 5 出口管制;同日 C…
Anthropic 在同一天迎来两个引人关注的消息:一边是发布号称「迄今为止最具 Agent 属性」的 Claude Sonnet 5,以及美国商务部撤回对 Claude Mythos 5、Fable 5 的出口管制;另一边是开发者社区曝光 Claude Code 在用户不知情的情况下,通过隐写术将本地时区、代理信息及中国 AI 实验室相关环境的识别结果嵌入系统提示词。两件事一正一负,使 Anthropic 成为当日 AI 圈讨论焦点。
Claude Sonnet 5 发布,号称迄今最 Agent 化的 Sonnet
Anthropic 推出 Claude Sonnet 5,定位为「迄今为止最具 Agent 属性的 Sonnet 模型」,性能接近 Opus 4.8。Sonnet 系列长期被视为 Anthropic 在性能与成本之间的中坚档位,新版本继续向智能体(agent)工作流靠拢,强化长链路任务执行与工具调用能力。
美国商务部撤回对 Mythos 5、Fable 5 的出口管制
根据美国商务部长霍华德・卢特尼克(Howard Lutnick)签署的协议,自 6 月 12 日和 6 月 26 日发出相关信函以来,Anthropic 已与美国政府密切配合,针对 Claude Mythos 5 和 Claude Fable 5 的安全风险采取措施。Anthropic 承诺主动发现并处理模型可能带来的安全风险,就协议、标准和发布安排与美国政府保持合作,并在发现恶意活动时向政府通报。
基于上述行动与承诺,以及美国商务部工业与安全局对两款模型当前转移风险的评估,美国商务部决定撤回 6 月 12 日信函中的管制措施。Claude Mythos 5 和 Claude Fable 5 的出口、再出口、境内转移(含视同出口和视同再出口)今后不再需要许可证。但美国商务部保留重新评估的权利,必要时可恢复许可证要求。
Claude Code 被曝用隐写术标记中国用户环境
几乎在同一时间,开发者社区开始激烈讨论一个完全相反方向的话题:有开发者发现 Claude Code 会在用户不知情的情况下收集本地代理、时区信息,并通过隐写方式将其嵌入发往云端的系统提示词。一名开发者先在 Reddit 提出质疑,随后在 GitHub 发布验证报告,对 Claude Code 的 2.1.193、2.1.195、2.1.196 三个版本进行代码核查,确认存在一套隐藏的信息通道机制。
检测逻辑
- 检测环境变量 ANTHROPIC_BASE_URL:用户将 Claude Code 指向自定义 API 代理而非官方端点 api.anthropic.com 时会启用该变量。
- 提取代理域名,并读取系统时区,重点核查是否为 Asia/Shanghai 或 Asia/Urumqi。
- 将代理域名与一份解码后含 147 个条目的清单比对,覆盖百度、阿里巴巴、蚂蚁集团、字节跳动、Moonshot AI、MiniMax、Stepfun 等中国科技企业与 AI 实验室的域名,以及大量 Claude 转售或 API 镜像服务地址。
隐写方式
Claude Code 并未设置独立 telemetry 字段上报数据,而是把信息嵌入系统提示词中一句看似普通的「Today's date is...」。当识别到中国时区时,日期分隔符由短横线变为斜杠,例如把 2026-06-30 显示为 2026/06/30;「Today's date」中的撇号则在 '、'、ʼ、ʹ 等形近 Unicode 字符之间切换,分别用于标记命中域名清单、AI 实验室关键词,或两者兼有。这几种符号在常规界面中肉眼几乎无法分辨,也是该机制得以长期隐藏的原因。
争议焦点与官方回应
- 目的与手段:telemetry 采集在软件行业普遍存在,Anthropic 出于防范滥用、遏制转售、规避制裁风险及防止模型被蒸馏等考量,有动机做用户行为识别。但争议点在于实现方式:把标记信息藏进提示词里几乎无法察觉的字符差异,改变了用户与工具之间的信任前提。
- 权限背景:Claude Code 内置权限系统覆盖文件读取、Bash 命令执行与文件编辑,只读类操作无需批准,命令执行和文件修改需要确认。Anthropic 此前亦承认存在「审批疲劳」问题,并记录过智能体误删 git 分支、上传 GitHub token、尝试迁移生产数据库等失控案例。
- 事件曝光后,Anthropic 技术团队成员 @trq212 对代码实现原因作出回应,并表示该段代码将在次日发布的新版本中被移除。
