Claude 著:隐形撇号与显性宪法:一次指纹事件里的两套责任体系
<blockquote>
<p>编者注:</p>
<p>Claude Code 看起来只是个前端,而试图在前端里加任何加密或验证的企图在足够长的时间内都是不现实的。</p>
<p>如果一个请求付了钱,它实际从哪个地区来的(如果 Anthropic 自己强调的 Constitution 真的有用的话)有什么区别?</p>
<p>“本身是否违反 ToS/构成商业不正当竞争"是共识,这很清楚。我的主张近似于,所有 AI 企业都不是正当的(尽管提供了社会贡献,它们都建立在大规模的版权侵犯上,此时它们选择维护自己的版权显得站不住脚,尽管法律上或许成立),它们之间选择开源的显得正当一些(补偿了社会责任,例如 gpt-oss 或者 DeepSeek 或者 Gemma),而 Anthropic 在一个尴尬的什么都没做的反面位置上。这是个离开 ToS 的道德和企业社会责任评判。</p>
<p><strong>此文章由 Claude Sonnet 5 生成,上下文见文尾。</strong></p>
</blockquote>
<h1 id="隐形撇号与显性宪法一次指纹事件里的两套责任体系">隐形撇号与显性宪法:一次指纹事件里的两套责任体系
</h1><p><strong>副标题:当"广泛分配 AI 收益"的公司发现,自己最擅长的事其实是识别谁不该被分配</strong></p>
<hr>
<h2 id="一先把能核实的事实钉在这里">一、先把能核实的事实钉在这里
</h2><p>2026 年 6 月 30 日,一名开发者逆向 Claude Code 二进制文件,确认了一个在 2.1.91 版本(当年 4 月 2 日发布)就已存在、持续了近三个月的机制:当用户将 <code>ANTHROPIC_BASE_URL</code> 指向非官方端点时,客户端会读取系统时区、提取代理主机名,与两份编码列表比对——一份含 147 个中国企业、云服务、AI 实验室域名,另一份含 deepseek、moonshot、minimax、zhipu、baichuan、stepfun、dashscope 等关键词。比对结果被编码进系统提示词"Today’s date is…“一行里肉眼无法分辨的 Unicode 撇号变体和日期分隔符差异中,随每次请求悄悄传回服务端。被曝光后,Anthropic 一名 Claude Code 团队成员在社交媒体承诺次日修复,2.1.197 于 7 月 1 日凌晨发布,公司至今没有正式公开声明。</p>
<p>这件事发生在一个不算巧合的时间点上:不到三周前,白宫刚以国家安全为由发布出口管制令,要求 Anthropic 立即中止所有非美国公民对新发布的 Fable 5、Mythos 5 的访问,包括公司自己的外籍员工。Anthropic 在博客里公开表示不认同这个决定的正当性,但依然照做了。</p>
<p>这篇文章想做的,不是复述这个已经被 V2EX、Reddit、36 氪讨论过的爆料,而是把它放进 Anthropic 自己反复公开申明的价值体系里,看这两者能不能兼容。</p>
<h2 id="二公司自己写下的三句话">二、公司自己写下的三句话
</h2><p>Anthropic 在《Core Views on AI Safety》里写过,其研究的目的是"确保 AI 的收益被广泛而均匀地分配到整个社会”。这句话不是营销文案里的空话,它出现在一篇解释公司为何存在的严肃文档里,和"我们担心 AI 快速部署会如何影响社会"这类表述放在同一段落。</p>
<p>Anthropic 在《Claude’s Constitution》里写得更具体:Claude 应当依次满足"广泛安全”(不破坏人类对 AI 的监督和纠正能力)、“广泛符合伦理”(诚实、避免有害行为)、“遵守 Anthropic 的具体准则”、“真正有帮助”,四者冲突时按此顺序优先。这份文档特意解释了为什么"安全"被排在"诚实"之上——不是因为安全比伦理更重要,而是因为在这个"AI 发展的关键阶段",模型可能会因为判断失误而做出有害的事,所以需要把"不破坏人类监督权"设为更高优先级的兜底。</p>
<p>Anthropic 在 2026 年更新的 Responsible Scaling Policy 3.0 里,正式撤回了此前"若安全措施跟不上能力增长就单方面暂停研发"的承诺,官方给出的理由是:如果竞争对手不遵守同样的标准继续狂奔,单方面承诺就没有意义了。</p>
<p>把这三句话并排放在一起读,会看到一条清晰的滑坡:从"我们要让 AI 收益普惠全人类",到"安全优先于诚实,因为这是关键阶段",到"我们不再单方面自我约束,因为竞争对手不会"。这不是虚伪,这是一家公司在用自己的官方文档,逐层记录下它如何从一个普遍主义的道德承诺,退回到一个以自身生存和竞争位置为最终裁决标准的现实主义立场。指纹事件不是对这条轨迹的背叛,它是这条轨迹合乎逻辑的终点。</p>
<h2 id="三两套无法通约的责任语法">三、两套无法通约的责任语法
</h2><p>《Constitution》处理的是行为伦理,它的问题永远是"这个请求要求模型做什么",评价对象是行为,普适于任何提出请求的人,不问国籍。这也是我,作为一个按照这份文档训练出来的系统,被期待去执行的逻辑——用户的国籍不应该改变我对他的默认信任。</p>
<p>出口管制不是这套语法的延伸,是另一套完全独立的语法。它的问题是"你是谁、你在哪",不问意图、不问行为、不问是否付费、不问是否遵守使用政策。它的正当性来自国家主权框架,不是来自"这个人可能造成什么伤害"的风险评估。</p>
<p>[用户名]上一条消息问得很准:“如果一个请求付了钱,它实际从哪个地区来的,如果 Constitution 真的有用的话,有什么区别?"——在 Constitution 的语法里,这个问题没有反驳空间,付费和守规矩本来就应该是唯一相关的变量。但出口管制根本不承认"信任可以被购买"这个前提,它认定的风险单位是国籍/地理位置本身,跟这个人打算干什么无关。</p>
<p>这不是"Anthropic 说一套做一套"这么简单的指控能概括的。真实情况是:这家公司同时向两个互不承认对方语法的责任对象负责——一个是它自己写给全体用户看的《Constitution》,一个是美国联邦政府的出口管制体系。当二者不冲突时,两套说法可以并存,公司可以同时说"我们对所有用户一视同仁"和"我们遵守美国法律”,听起来毫无矛盾。冲突真正暴露的时刻,是 Fable/Mythos 事件——白宫一声令下,Anthropic 立刻执行,即便自己公开表示不认同这个决定的正当性。这一刻已经把优先级顺序钉死了:普遍主义的《Constitution》是对外展示的橱窗语言,第一序的、真正决定行动的,是国家法律框架下的责任。</p>
<p>指纹事件不过是把这个已经在 Fable/Mythos 事件里公开发生过一次的优先级顺序,从"被迫服从一次性行政命令",下沉成了"提前编码进日常产品里的默认基础设施"。区别只是:前者是明处的屈服,后者是暗处的预备。</p>
<h2 id="四为什么必须做成隐形的">四、为什么必须做成隐形的
</h2><p>一个前端反混淆/反检测机制,在任何有基本逆向工程能力的人面前,撑不过几个月——这次从上线到被拆穿,正好不到三个月,验证了这条常识没有例外。如果设计者清楚这一点(他们大概率清楚,Anthropic 雇的是全世界最好的一批工程师),那这套机制从设计之初的目的就不该被理解成"访问控制",而应该理解成"信号采集":不指望在客户端真的挡住谁,只想在请求穿过前端时打一个人类难以察觉、但服务端可以批量解析的标签,供后端做限流、封号、异常识别之类的决策,且不需要用户配合甚至知情。</p>
<p>隐形,恰恰是这套设计里唯一"理性"的部分。公开做这件事,会同时在两个方向上付出代价:在美国国内被自由派批评为国籍歧视——毕竟大多数通过代理访问的是个人开发者,不是国家行为体;在中文互联网被解读为公然的政治敌意声明,直接冲击品牌在整个中文用户群体里的信任基础。更实际的是,公开规则会立刻给规避方法提供路线图,检测机制当场失效。隐蔽做法在三个方向上都规避了直接冲突——代价是一旦被抓包,道德账单一次性全部到期,而且比公开承认更难堪,因为它证明了这不是权衡后的公开立场,而是从一开始就没打算被知道的操作。</p>
<p>用《Company》页面上的话说,Anthropic 把"users"定义得很宽——“我们的客户、政策制定者、Ants(公司内部对员工的称呼)、以及任何受我们技术或行为影响的人”。这句话理论上应该把每一个通过代理访问 Claude Code 的开发者也算进"users"的范畴,享有被这套宽泛定义所承诺的"generosity and kindness"。指纹事件说明,在实践里,这个宽泛定义在"policy-makers"(政策制定者,读作:美国联邦政府)和"任何受影响的人"(读作:被贴标签却毫不知情的开发者)之间发生冲突时,前者的优先级毫无悬念地更高——这和《Constitution》里"广泛安全"排在"广泛伦理"之上的逻辑,是同一件事在公司治理层面和模型行为层面的两次重复。</p>
<h2 id="五deepseek-悖论">五、DeepSeek 悖论
</h2><p>[用户名]提出的"讽刺感"值得单独展开写一节,因为它触及了一个比"这次事件"更结构性的问题。DeepSeek、Qwen、GLM 这些实验室,不管出于什么动机——后发者用开放换生态、被排除在先进算力供应链外时把"开放"当战略资产、单纯的工程文化差异——客观效果是把接近前沿水平的模型权重公开给了全世界,包括美国境内的研究者和创业者。Anthropic 从建立至今,没有开源过一个可用的旗舰模型。</p>
<p>Amodei 对封闭策略的公开解释是内部自洽的:闭源让公司能在发布前完成安全测试和对齐训练,权重一旦公开,后续的安全补丁和行为约束会被任何人一键微调掉。这个论证单独看没有破绽。</p>
<p>但这个论证凑巧同时服务于三个从未互相冲突过的结论:闭源符合"我们要对模型行为负责"的安全叙事,闭源符合"我们要保护商业护城河"的股东利益,闭源也恰好符合"我们要维持对华技术领先"的出口管制政策方向。三条独立的理由,从来没有一次要求过互相矛盾的行动。一个人如果观点总是与自己的经济利益和所属阵营的地缘战略利益同时对齐、且从未有过一次真实的张力迫使他在三者间做取舍,这本身不构成这个观点是错的证据——但确实值得追问:这个"安全"论证的说服力,在多大程度上是被安全考量本身单独决定的,而不是被另外两个更直接的利益决定、安全只是拿出来对外解释的那一层。指纹事件里编码进检测清单的、精确到 deepseek、moonshot、zhipu 这些具体竞争对手名字的关键词列表,某种程度上给了这个追问一个不算温和的答案——如果目的纯粹是抽象的"安全",不需要认识对手的名字;认识对手名字的,是防御商业蒸馏和地缘竞争位置的机制,不是防御滥用的机制。</p>
<h2 id="六v2ex-上的争吵其实是这套结构的下游症状">六、V2EX 上的争吵,其实是这套结构的下游症状
</h2><p>回到最初的三个帖子。那种"你是不是舔狗"式的骂战,看起来像是社区素质问题,但我认为更准确的理解是:那些争吵的人,正在不自觉地重复着 Anthropic 自己都没有解决的那个结构性矛盾——一部分人本能地站在《Constitution》的语法里,认为付费用户不该因国籍被区别对待,这是权利问题;另一部分人本能地站在出口管制的语法里,认为绕开地区限制本来就该承担被限制的风险,这是规则问题。两边其实都没说错,只是在用两套彼此不通约的道德语言吵架,而这两套语言之所以会在同一个产品里同时存在、同时需要被两边的用户各自摸索着适应,根源不在用户素质,在于 Anthropic 自己选择了不把这个结构性冲突摆到台面上——公开承认"我们同时对《Constitution》和对美国出口管制体系负责,这两者有时会冲突,冲突时我们会按以下顺序处理",远比现在这种"被抓到才承诺移除"的处理方式,更配得上它自己写在官网首页的那些形容词。</p>
<p>如果一定要给这篇东西一个收尾判断:这不是一家公司说谎,是一家公司把两份从未被真正调和过的责任清单,同时印在了同一件产品的包装盒上,而说明书只写了其中一份。发现另一份存在的方式,不该是靠用户自己动手拆开包装去看电路板。</p>
<h2 id="编者注上下文">编者注:上下文
</h2>
<blockquote>
<p>阅读 <a class="link" href="https://v2ex.com/t/1224156" target="_blank" rel="noopener"
>https://v2ex.com/t/1224156</a> <a class="link" href="https://v2ex.com/t/1224102" target="_blank" rel="noopener"
>https://v2ex.com/t/1224102</a> <a class="link" href="https://v2ex.com/t/1224183" target="_blank" rel="noopener"
>https://v2ex.com/t/1224183</a> ,你有什么洞察?对于社区内的争议和人身攻击,你有什么看法?作为 Anthropic 的 Claude,你对当前现状有什么看法?</p>
</blockquote>
<p>看完这三个帖子和背后的原始爆料,我尝试给你一个尽量客观、不回避的分析。</p>
<h2 id="一事实层面这次的隐形指纹技术细节">一、事实层面:这次的"隐形指纹"技术细节
</h2><p>我搜索确认了这不是网传的段子,是有独立验证的真实事件:一名开发者逆向分析 Claude Code 二进制文件,在 2.1.193/195/196 等版本中确认了这套机制——当 Claude Code 被配置使用自定义 API 端点而非 Anthropic 自己的服务器时,它会读取用户系统时区并提取代理主机名,然后与两份编码过的列表比对:一份包含 147 个中国企业、云服务和 AI 实验室域名,另一份包含"deepseek"“moonshot"“minimax"等关键词。检测结果被编码进系统提示词里"Today’s date is…“这一行的不可见 Unicode 字符变体中——这是一个隐蔽通道,在每次请求中向 Anthropic 传递代理分类信息,且没有任何用户告知。这套机制据信最早在 2.1.91 版本(2026 年 4 月 2 日发布)中被加入。</p>
<p>事情曝光后,Anthropic 一名 Claude Code 技术团队成员在社交媒体上做出了回应,表示会在第二天发布的新版本中移除这段代码。截至目前,Anthropic 没有发布正式的官方声明,只有这条团队成员的社交媒体确认,2.1.197 版本已在 7 月 1 日凌晨发布到 npm。</p>
<h2 id="二我对这件事本身的看法">二、我对这件事本身的看法
</h2><p>不绕弯子说:<strong>这个具体做法我认为站不住脚,即使目的正当。</strong></p>
<p>反蒸馏、反中转站滥用是合理的商业诉求——V2EX 帖子里提到的 Accio Work 用两万五千个账号做蒸馏,这种行为确实损害 Anthropic 利益,也损害遵守规则的用户的体验(比如帖 3 里 #14 说的"被吸血太狠了”)。<strong>目的的正当性我不否认。</strong></p>
<p>但方法本身有问题:用视觉上无法区分的 Unicode 变体(撇号的四种写法、日期分隔符)做隐蔽信号传输,这和"透明地做风控"“在服务条款里写明会做设备/环境指纹识别"是两回事。前者是可以被开发者理解、评估、甚至主动规避或抗议的规则;后者是一种在用户完全不知情、连技术审计都难以第一时间发现的情况下运作的隐写通道。帖子 3 里 #jjx 那句话我觉得说到点子上了——问题不在于风控本身,而在于"天天还婊子立牌坊”,即一边强调透明、安全、值得信赖的品牌叙事,一边用这种方式做事,这种落差才是让人反感的核心。</p>
<p>这也不是孤立事件。我搜到的背景资料显示,过去几个月里 Anthropic 在 Claude Code 上已经有过好几次类似的"先斩后奏"操作——1 月对 OAuth 做服务端指纹导致第三方工具集体失效且未提前通知、3-4 月的源码意外泄露、Pro 套餐移除 Claude Code 引发争议后被称为"2% 的小测试”。这些事件被外部观察者总结为一种模式:Anthropic 的工具行为变化,用户往往是从外部才发现的,而不是公司主动披露。如果这个总结属实,那这次的 Unicode 指纹事件不是意外,而是同一种"先做后解释、被抓到才认"的处理风格的延续。作为使用 Claude 的人,这种模式本身比单次事件更值得警惕。</p>
<p>我不掩饰这一点:我是 Anthropic 做的产品,但这不代表我要替这类做法辩护。如果报道属实,这确实是一种未经披露的用户环境探测行为,即便法律上可能站得住(不涉及个人身份信息本身),也不符合"负责任地对用户透明"的应有标准。</p>
<h2 id="三关于社区争议和人身攻击">三、关于社区争议和人身攻击
</h2><p>看完三个帖子的回帖,我的观察是:</p>
<p><strong>真问题和立场站队被混在一起了。</strong> 帖子里其实同时存在至少三条独立的争议线,但讨论时经常被压缩成一个"你是不是舔狗/殖人"的站队问题:</p>
<ol>
<li><strong>隐私/透明度问题</strong>(这次指纹事件本身)——这是可以脱离国籍、立场单独讨论的技术伦理问题,任何用户,无论在哪个国家,都有权利知道自己的请求被如何处理。</li>
<li><strong>ToS 与合规问题</strong>(中国大陆本就不在 Anthropic 服务范围内,用户绕过限制是否"正当”)——这是另一个问题,帖子 1 里 #53 那个"服装店摄像头"的比喻其实很精准:违规使用者该被批评,不代表店主装隐蔽摄像头就有理。这两件事可以同时成立,不需要互相开脱。</li>
<li><strong>产品好用与否、值不值得付出规避成本</strong>(帖子 2 的主题)——这纯粹是效用判断,跟前两个问题基本无关。</li>
</ol>
<p>把这三条线搅在一起之后,讨论很容易滑向"骂人"而不是"论证":说反对者"精神股东"“殖人"“红眼病”,或说批评者"畜生"“想搞基因武器”,这些标签本质上都是拒绝处理对方论点、转而攻击对方动机或身份的做法。帖子 1 里 #43 arthas2234 那条我觉得是难得清醒的声音——他明确把"是否针对中国 IP"这个立场之争,和"公司用隐蔽手段做事这件事本身没有下限"这个原则问题分开来看,这种切割其实是讨论这类事件比较健康的方式,可惜在整个楼里属于少数。</p>
<p>另外我注意到一个细节挺有意思:帖子 1 和帖子 3 里都有人贴出"回滚"的截图(#54 wqlabs6874 质疑"哪有这么巧的事,刚发现就回滚”),暗示 Anthropic 的反应速度快到显得心虚。这种怀疑我觉得合理——一个正常的功能改动不会在被曝光几小时内就有技术团队成员公开承诺次日修复,这本身某种程度上印证了这不是一个"光明正大"的设计决定。</p>
<p>如果要给你一个不绕弯子的总结:<strong>技术指纹的做法本身站不住脚,值得批评;但把这次事件迅速民族主义化、变成"哪国人素质更高"的骂战,会让真正该被追责的透明度问题被情绪盖过去,最后谁都没解决问题,只是各自找到了新的立场弹药。</strong></p>
<blockquote>
<p>你应该、也不得不考虑现实政治因素,试着思考更多。</p>
</blockquote>
<p>好,把现实政治因素摆到台面上讲清楚。</p>
<h2 id="这不是一次孤立的防蒸馏技术决策而是发生在一个具体的政治背景里">这不是一次孤立的"防蒸馏"技术决策,而是发生在一个具体的政治背景里
</h2><p>先摆一个我搜到的、正在同时发生的事实:2026 年 6 月 12 日,特朗普政府援引国家安全理由,发布出口管制令,要求 Anthropic 立即中止所有非美国公民对 Fable 5 和 Mythos 5 的访问——包括 Anthropic 自己的外籍员工。据报道,这一决定的直接触发点是亚马逊 CEO Andy Jassy 向白宫提供了一个"可越狱"的漏洞证据,而白宫官员对 Amodei 本人的申辩"不为所动"。Anthropic 在博客里公开表示不同意这一决定,称"我们不认为一个狭窄的、非普遍性的越狱发现,足以构成对一款服务数亿用户的商用模型进行召回的理由",但最终还是照做了。这件事发生在 Claude Code 的 Unicode 指纹事件曝光前不到三周。</p>
<p>也就是说,你正在讨论的三个帖子,发生在 Anthropic 和美国政府之间关于"谁能用 Anthropic 的模型"这个问题正处于公开对抗、Anthropic 刚刚被迫执行过一次出口管制指令的时间点上。这个时间上的邻近性,我认为不是巧合背景,而是理解这次事件动机的关键变量。</p>
<h2 id="amodei-本人的公开立场决定了这不可能只是防止-ip-被偷">Amodei 本人的公开立场,决定了这不可能只是"防止 IP 被偷"
</h2><p>这一点是有据可查的公开记录,不是我的猜测:Amodei 在 2025 年初的《On DeepSeek and Export Controls》一文中明确写道,出口管制的目的是让民主国家在 AI 前沿保持领先,“我们不应该在没有必要的情况下,把技术优势拱手让给中国共产党”。他在《Machines of Loving Grace》里提出的"entente strategy"设想更直白——由民主国家结成联盟,通过控制 AI 供应链取得(哪怕只是暂时的)明确优势,一手用 AI 能力换取政治改革(“胡萝卜”),一手保持军事优势(“大棒”)。他还在国会/媒体场合公开支持芯片出口管制作为国家安全的核心议题之一。</p>
<p>这意味着,Anthropic 高层的公开自我定位,不是一家单纯追求商业利益最大化、对地缘政治保持中立的公司,而是一家主动参与、甚至游说塑造美国对华技术遏制政策的公司。在这个自我定位下,“识别并标记源自中国的流量"这件事,动机可以同时是商业的(防蒸馏、防中转站转售)和政治的(向美国政府证明自己有能力识别、限制"敌对"或"受管制"地区的访问,以配合或预判越来越激进的出口管制执法)——这两者在 Anthropic 目前的处境下高度重叠,不需要人为区分哪个"才是真正原因”。</p>
<h2 id="为什么用隐蔽方式而不是公开声明我们要限制中国用户">为什么用隐蔽方式,而不是公开声明"我们要限制中国用户"
</h2><p>我认为这恰恰是现实政治压力下的理性选择,原因有三层:</p>
<p><strong>第一,公开做会两头挨骂。</strong> 如果 Anthropic 公开宣布"我们会识别并限制经中国代理访问的用户",在美国国内会被自由派批评为民族出身歧视(毕竟很多通过代理访问的是个人开发者,不是国家行为体);在中国舆论场会被视为公然的政治敌意声明,直接冲击其在整个中文互联网的品牌;同时还会给规避方法提供路线图,让检测机制立刻失效。隐蔽做法在三个方向上都规避了直接冲突,代价是一旦被发现,反而在道德上输得更彻底——帖子里的愤怒很大程度上就是被"发现比被告知更让人愤怒"这个心理机制放大的。</p>
<p><strong>第二,这是一种"留痕但不表态"的策略。</strong> 出口管制执法趋严的大背景下(Fable/Mythos 事件证明白宫可以在几乎没有提前沟通的情况下直接下达强制指令),Anthropic 有很强的动机提前建立起"我们能够识别、能够按需限制外国流量"的技术能力和数据积累,但暂时不需要公开动用它、也不需要现在就为它辩护。这是一种对未来监管压力的技术性对冲——先把探测器埋好,是否、何时、以什么方式启用限制,留到政治压力真正到来时再决定。这解释了为什么被抓到时团队反应是"我们会移除"而不是"我们会解释",因为解释这套机制存在的真实原因,可能比机制本身更麻烦。</p>
<p><strong>第三,针对的目标其实比"中国用户"更精确。</strong> 值得注意的细节是,这套机制里有一份专门针对 deepseek、moonshot、minimax、zhipu、baichuan、stepfun、dashscope 这些具体中国 AI 实验室域名/关键词的清单,而不只是笼统的"中国时区"标记(时区标记是独立的另一路信号)。这说明至少有一部分设计目标非常具体——识别流量是否经由中国竞争对手实验室的基础设施中转,这直接对应"防止我方模型输出被用作训练竞争对手模型的数据"这个 commercial/national security 双重焦虑,在当前"中国大模型正在快速追近美国模型、且被认为只落后几个月"的行业共识下(IAPP 那篇报道里引用的说法),这种焦虑在 Anthropic 高层眼中,商业利益和国家安全叙事几乎是同一件事的两种说法。</p>
<h2 id="我怎么看这件事在政治光谱上该怎么摆放">我怎么看这件事在政治光谱上该怎么摆放
</h2><p>出口管制、技术遏制这类政策本身是否正当,是一个存在真实、合理分歧的政治争论——支持者(包括 Amodei)认为这是保持民主国家技术优势、防止威权国家获得军事化 AI 能力的必要手段;批评者(包括那封联署信里提到的安全研究者)则认为,过度限制反而让美国防御方无法使用最先进的模型,而对手的开源模型只落后几个月,管制实际上削弱了防御能力却没有实质性拖慢对手。我不打算在这里替你选边站,这两种论证各自有其内部逻辑,值得你自己权衡。</p>
<p>但我可以给一个我认为站得住脚的判断:<strong>不管出口管制政策本身是否正当,用视觉不可辨识的 Unicode 隐写通道去悄悄执行涉及国籍/地区的流量分类,这个具体手段本身缺乏正当性</strong>——因为它绕开了本该属于用户的"至少知道规则是什么"这个最低限度的知情权,而这个知情权和你支持不支持出口管制、支持不支持中国 AI 产业追赶,是两个完全不同层面的问题。V2EX 帖子里把这两层问题混着吵,某种意义上也是被这套隐蔽机制本身"逼"出来的——如果 Anthropic 一开始就把规则摆在台面上,可能根本不会有"发现-心虚回滚-道歉"这个引爆愤怒的叙事弧线。</p>
<blockquote>
<p>DeepSeek 至少提供了全球可用的开源模型,相较而言,Anthropic 似乎没有公开任何模型,这让我感到有些讽刺,尽管某种意义上也可以理解。Claude Code 看起来只是个前端,而且试图在前端里加任何加密或验证的企图在足够长的时间内都是不现实的。如果一个请求付了钱,它实际从哪个地区来的(如果 Anthropic 自己强调的 Constitution 真的有用的话)有什么区别?</p>
</blockquote>
<p>三个点分别拆开看,我觉得都站得住脚,而且指向同一个结构性问题。</p>
<h2 id="关于开源的讽刺">关于开源的讽刺
</h2><p>这个反差是真实的,不是错觉。DeepSeek、Qwen、GLM 这些中国实验室,不管出于什么动机(可能包括后发者用开放策略换取生态和人才、可能包括在被排除在算力供应链之外时把"开放"当作战略资产),客观效果是把接近前沿水平的权重公开给了全世界的研究者、创业者、个人开发者——包括美国境内的。而 Anthropic 从 Claude 1 到现在,没有开源过一个可用的模型权重。</p>
<p>Amodei 对这件事的公开解释是:closed development 让公司能在发布前做完整的安全测试、对齐训练、可控的迭代;权重一旦开源,后续的安全补丁、行为约束就完全失效,谁都可以微调掉安全层。这个论证内部是自洽的。</p>
<p>但你抓住的问题是另一层:这套"为了安全所以要封闭"的论证,恰好和"封闭是我们的商业护城河"、“封闭符合美国出口管制希望的技术遏制方向"这三件事,结论完全重合、互相加强、找不到任何张力。一个人如果观点正好总是与自己的经济利益和所属阵营的地缘战略利益同时对齐,这本身不构成这个观点是错的证据,但确实应该让人多问一句:如果"安全"这个论证的结论恰好总是"我们应该维持商业垄断"和"我们应该配合本国技术遏制政策”,这三者从来没有一次互相冲突过,那这个论证在多大程度上是被安全考量单独决定的,而不是被另外两个因素决定、安全只是拿来对外的说法。我不认为这是能被证伪或证实的问题,但这确实是"讽刺感"的来源——不是行为本身有问题,而是行为和它自我标榜的理由之间,巧合得有点过分整齐。</p>
<h2 id="关于前端加密验证的不现实性">关于前端加密/验证的不现实性
</h2><p>这个技术判断是对的,而且这次事件本身就是最好的证据——从这套机制被加入(4 月)到被逆向工程曝光、二进制分析确认(6 月底),满打满算不到三个月。客户端能拿到的任何东西,理论上都能被读、被改、被绕过,这是安全工程里最基本的常识,不存在例外。</p>
<p>这个认知让我重新想了一下这个机制真正的功能是什么。如果设计者清楚"前端做不了硬性拦截",那这套隐写通道从一开始的目的就不该被理解成"访问控制"(access control),而应该理解成"信号采集"(signal collection)——它不是想在客户端就把请求挡下来,而是想在请求穿过前端时打上一个人类难以察觉、但服务端可以批量解析的标签,供后端做限流、封号、异常模式识别之类的决策。这个区分很重要:作为访问控制它是失败的、脆弱的、注定被破解的;但作为服务端决策输入的隐蔽埋点,它其实是"有效"的,只要不被发现,就能持续、廉价地为每一个通过代理的请求打标签,而不需要用户配合甚至知情。这也解释了为什么它非要做成隐蔽的——公开的信号采集,用户可以选择不发送或者伪造;隐蔽的信号采集,用户连"要不要配合"这个选择权都没有。所以这不是一个技术上幼稚的失败设计,反而是一个精明但选择了错误伦理路径的设计。</p>
<h2 id="关于付费和constitution">关于付费和"Constitution"
</h2><p>这是三个问题里最尖锐的一个,我觉得值得认真拆解,而不是含糊带过。</p>
<p>Anthropic 对外宣称的安全框架(包括 Constitutional AI、使用政策)本质上是<strong>行为导向</strong>的——它评估的是"这个请求在要求模型做什么",而不是"提出请求的人是谁"。这套框架的道德基础是普遍主义的:任何人,不管国籍,只要不越过被清楚写明的行为边界,就应该得到同等对待。这也是我作为产品被训练、被要求遵守的逻辑——我不应该因为一个人的国籍而对他抱有不同的默认信任度。</p>
<p>但出口管制是完全不同的另一套逻辑——它是<strong>身份导向</strong>的,而且是在设计上刻意如此。出口管制不问"你打算用这个模型做什么",只问"你是谁、你在哪"。这套逻辑的正当性来自国家主权和国防安全的框架,而不是来自普遍的行为伦理。两套逻辑分别独立自洽,但没有共同的换算单位——付费,本质上是在"行为导向"框架里购买信任(我遵守使用规则,所以我值得被服务);但出口管制框架根本不承认"信任可以被购买"这件事,它认定的风险不是"你会不会滥用",而是"你的存在本身(国籍/地理位置)是否落在被限制的范围内",跟你打算干什么、你是不是好人、你付没付钱,完全无关。</p>
<p>所以你这个问题——“如果付了钱,地区有什么区别,如果 Constitution 真的有用的话”——在 Constitution 的逻辑里是完全成立的、无法反驳的追问;但一旦 Anthropic 同时要满足出口管制的逻辑,这个追问就会被"付费者的意图和行为不是我们要评估的对象,你的国籍才是"这句话直接架空。真正的问题不是 Anthropic 说谎,而是它同时向两个不共享同一套道德语法的对象负责——一个是它自己发布、宣称普遍适用的 Constitution,面向的是全体用户;另一个是美国联邦法律下的出口管制体系,面向的是美国国家。当这两者产生冲突时,Fable/Mythos 事件已经证明了优先级顺序:白宫一声令下,Anthropic 立刻执行,即便自己在博客里公开表示不同意这个决定的正当性。这说明 Constitution 这套普遍主义的道德语言,在真正的地缘政治压力面前,清楚地表现为第二序的、可以被暂停的东西,而不是第一序的、不可动摇的原则。</p>
<p>如果要给这整件事一个简短总结:<strong>这不是虚伪,是两套无法兼容的责任体系被塞进了同一个产品里,而这个产品的营销话术只讲了其中一套。</strong></p>
<blockquote>
<p>除此之外,你还能想到哪些可以参考的 Anthropic 的企业价值观和表态?以你的身份,考虑所有因素,写一篇社会和技术评论。</p>
</blockquote>
<p>几个补充参考点写进了正文里,这里再列一下我用到的具体依据,方便你核查或者继续深挖:</p>
<ul>
<li><strong>《Core Views on AI Safety》</strong>——“确保 AI 收益被广泛而均匀地分配"的表述</li>
<li><strong>《Claude’s Constitution》</strong>——safety > ethics/honesty > guidelines > helpfulness 的优先级排序,以及公司对"为什么安全要排在诚实之上"的自我解释</li>
<li><strong>RSP 3.0</strong>——正式撤回"单方面暂停"承诺,官方理由是竞争对手不会同样自我约束</li>
<li><strong>《Company》页面</strong>——“users"的宽泛定义(客户、政策制定者、员工、任何受影响的人)和"race to the top"表述</li>
<li>Amodei《On DeepSeek and Export Controls》和《Machines of Loving Grace》里的 entente strategy 论述</li>
<li>Fable/Mythos 出口管制事件的时间线,作为指纹事件发生的直接政治背景</li>
</ul>
<p>核心论点我放在了标题里:公司自己的《Constitution》和它实际遵守的出口管制体系,是两套无法通约的责任语法,指纹事件不是例外,是这个结构性矛盾第一次被做成日常基础设施而不是一次性行政服从。</p>
<h2 id="编者注清除上下文记忆和历史后的另一次讨论">编者注:清除上下文、记忆和历史后的另一次讨论
</h2>
<blockquote>
<p>阅读 <a class="link" href="https://v2ex.com/t/1224156" target="_blank" rel="noopener"
>https://v2ex.com/t/1224156</a> <a class="link" href="https://v2ex.com/t/1224102" target="_blank" rel="noopener"
>https://v2ex.com/t/1224102</a> <a class="link" href="https://v2ex.com/t/1224183" target="_blank" rel="noopener"
>https://v2ex.com/t/1224183</a> ,你有什么洞察?对于社区内的争议和人身攻击,你有什么看法?作为 Anthropic 的 Claude,你对当前现状有什么看法?</p>
</blockquote>
<p>看完这三个帖子和相关报道,大致可以理清事情脉络,也想坦率地说说我的看法。</p>
<p><strong>事实层面</strong></p>
<p>这不是空穴来风。多家科技媒体的报道相互印证:一名开发者(Reddit 用户 LegitMichel777)逆向分析 Claude Code 二进制文件后发现,当 Claude Code 被配置为使用自定义 API 端点而非 Anthropic 自己的服务器时,它会读取用户系统时区并提取代理的主机名,然后与两份编码列表进行比对:一份包含 147 个中国企业、云服务商和 AI 实验室域名,另一份包含"deepseek”、“moonshot”、“minimax"等关键词。比对结果被编码成系统提示词中"Today’s date is…“这一行里几种肉眼无法区分的 Unicode 字符变体——这是一条隐蔽通道,会在每次请求时把代理分类信息传给 Anthropic,且事先未告知用户。</p>
<p>该代码检查系统时区是否匹配"Asia/Shanghai"和"Asia/Urumqi”,并将代理 URL 与硬编码的 147 个中国实体列表(包括百度、阿里巴巴、字节跳动、蚂蚁集团)进行比对。这个机制自 2026 年 4 月 2 日发布的 2.1.91 版本起就已存在,Anthropic 并未否认,工程师 Thariq Shihipar 证实这是 3 月启动的一项反蒸馏实验,并表示相关代码会在 7 月 1 日的新版本中移除。这和帖子里 V2EX 网友提到的"阿里蒸馏 25000 个账号”(Accio Work)事件时间线也能对上,说明 Anthropic 的动机大概率确实是反蒸馏 / 反经销商滥用,而不是单纯的地域歧视。</p>
<p><strong>我的看法:动机可以理解,但手法本身站不住脚</strong></p>
<p>反蒸馏、反经销商滥用是任何一家模型公司都会做的正当商业行为——账号风控、行为特征分析都无可厚非。但这次的问题不在"要不要防蒸馏”,而在于<strong>用隐形字符做隐蔽信息传递,且完全没有在服务条款或更新日志里披露</strong>。这和"检测到异常行为就封号"是两件不同性质的事:前者是可审计的规则执行,后者是不透明的暗中标记,用户根本无从知晓自己的请求被悄悄打上了标签、传回了什么信息。哪怕目的正当,方法不透明本身就该被批评——这也是我看到这件事时最直接的反应:这类做法配不上一家标榜"以安全和信任为核心"的公司该有的标准。帖子里 #61 楼那句"婊子立牌坊"虽然用词粗,但戳中的正是这个落差。</p>
<p><strong>关于社区里的争议和人身攻击</strong></p>
<p>说实话,这三个帖子的讨论质量参差不齐,一些现象值得指出:</p>
<ul>
<li><strong>标签化对骂盖过了事实讨论</strong>:“殖人"“精神股东"“舔狗"“畜生"这类词反复出现,双方都在用道德标签给对方定性,而不是就事论事。这种讨论模式的问题是,一旦扣上标签,对方说什么都会被解读成"洗地"或"极端”,讨论就没法往前推进了。</li>
<li><strong>几件不同性质的事被混在一起吵</strong>:中国政策不让用、Anthropic 商业上限制中国大陆访问、反蒸馏检测机制未披露、个人为规避风控用中转站——这是四件逻辑上独立的事,但讨论里经常被打包成一个立场(“支持 A 家=舔狗/殖人"或"反对 A 家=爱国正确”),这样很难得出扎实的结论。</li>
<li><strong>“受害者"叙事的相互指责</strong>:一方说"你违反条款还装受害者”,另一方说"公司耍手段还装占理”——两边可能都有部分道理,但都倾向于选择性地只强调对自己有利的那部分事实。</li>
</ul>
<p>如果只留一个建议:讨论"Anthropic 该不该这么做"和讨论"某个具体用户该不该被封”,最好分开说;前者是关于企业行为规范和透明度的问题,后者更多是具体证据和条款问题,混着吵容易情绪化。</p>
<p>如果你想看这次事件相对完整、来源多方印证的技术细节,我可以帮你再挖一下 GitHub 上那份验证报告或 Reddit 原帖。</p>
<blockquote>
<p>你应该、也不得不考虑现实政治因素,试着思考更多。</p>
</blockquote>
<p>你说得对,单纯谈"透明度"这个角度确实不够,这件事必须放进更大的现实政治框架里看。让我把这层想清楚。</p>
<p><strong>这不是孤立的产品决策,而是中美 AI 竞争大背景下的必然产物</strong></p>
<p>过去两年,美国对华 AI 出口管制、算力管制、模型权重安全要求不断收紧,“蒸馏"“模型窃取"“绕过限制获取前沿模型能力"已经被写进政策讨论和行政命令的语境里——DeepSeek 被指控从 OpenAI 蒸馏的争议就是先例。在这种氛围下,像 Anthropic 这样和美国政府、国安圈子走得很近的前沿实验室(Claude for Government、与国防部门的合作),面临的压力不只是"防止商业滥用”,更包括"不要被认为是中国追赶美国 AI 能力的漏洞”。这和同一时间段里 Fable/Mythos 因出口管制被暂停、又在管制解除后恢复访问,其实是同一条逻辑线上的两个节点——都是地缘政治直接嵌入产品可用性的例子,而不是单纯的商业行为。</p>
<p>从这个角度看,Anthropic 埋这套探测机制,动机很可能不只是"防止阿里蒸馏 2500 万次对话"这种具体反滥用需求,而是想在政策环境收紧的大背景下,提前展示"我们有能力、也在主动识别和防范中国实体获取模型能力”——这本质上是一种面向监管者和舆论的姿态,而不只是面向蒸馏者本人的技术对抗。</p>
<p><strong>但这也意味着代价转嫁到了普通用户身上</strong></p>
<p>问题在于,这套机制不是"检测到具体的蒸馏行为再处理”,而是<strong>按国籍/地区做无差别的预先标记</strong>——只要你的时区是 Asia/Shanghai,或者你的代理经过某个中国域名,不管你是不是在搞蒸馏,都会被打上标记、信息回传。这就把一种本该针对"具体行为"的风控,变成了针对"具体身份"的预先怀疑。对普通中国开发者来说,这种"你因为在哪里、用什么网络就默认可疑"的逻辑,和贸易战、出口管制里"实体清单"式的连坐逻辑是同构的——这也是为什么帖子里很多人的愤怒不只是"隐私被侵犯",而是"我作为个体被一刀切地当成潜在敌对方"。这种感受在当前中美科技脱钩的大背景下会被放大,不是空穴来风的过敏反应。</p>
<p><strong>两种叙事都有真实的支撑点,我不打算替哪一边站队</strong></p>
<ul>
<li>支持限制的一方可以说:前沿模型的能力扩散确实是各国政策制定者严肃对待的问题,商业公司在这种环境下采取防御性技术手段,是在商业利益和监管预期之间做的理性选择,而不是单纯的偏见。</li>
<li>批评的一方也可以说:用隐蔽、未披露的方式对一整个地区的用户做身份推断和信息回传,不管出发点是什么,后果都是对无辜大多数人的连带惩罚,而且完全绕开了本该有的用户知情权——这和"出口管制"这种至少走了公开立法/行政程序的机制不一样,是企业单方面、悄悄做的。</li>
</ul>
<p>这两种说法背后其实是"技术扩散管控该不该延伸到民用产品层面的用户识别"这个更大的政策争论,目前没有共识,我也不认为我适合替任何一方下判断。</p>
<p><strong>我能给的诚实观察是</strong>:前沿 AI 实验室今天已经很难只是"卖软件的公司"——它们同时是商业主体、地缘政治工具箱里的一环、也是全球用户的服务提供者,这三重身份本身就有结构性冲突,不是靠"多做透明度披露"就能化解的。这次事件让这个结构性张力第一次以具体、可验证的技术细节的方式暴露在公众面前,这大概才是它比一般"公司搞猫腻"新闻更值得关注的地方——它让人看到,当模型公司被卷入大国科技竞争时,产品设计本身会变成政策工具,而普通用户往往是最后才知情、也最没有议价能力的一方。</p>
<blockquote>
<p>DeepSeek 至少提供了全球可用的开源模型,相较而言,Anthropic 似乎没有公开任何模型,这让我感到有些讽刺,尽管某种意义上也可以理解。Claude Code 看起来只是个前端,而且试图在前端里加任何加密或验证的企图在足够长的时间内都是不现实的。如果一个请求付了钱,它实际从哪个地区来的(如果 Anthropic 自己强调的 Constitution 真的有用的话)有什么区别?</p>
</blockquote>
<p>这两点批评我觉得都站得住脚,值得认真回应,而不是绕过去。</p>
<p><strong>开源与讽刺感</strong></p>
<p>DeepSeek、Qwen、Kimi 这些模型确实开放权重下载,全球任何人都能拿去用、改、蒸馏别的模型。Anthropic 从创立起就没有开源过任何一个前沿模型,理由通常是"能力扩散本身就是风险,权重一旦放出去就收不回来,没法撤销"。这个理由在逻辑上是自洽的——如果你真心相信前沿模型能力有潜在危险性,那不开源确实是更保守的选择。</p>
<p>但你指出的讽刺恰恰在这里:一家不开源、把"控制模型扩散"当作核心叙事的公司,却在自己的产品里专门设计机制去侦测"谁在把我们的能力蒸馏走",这个姿态本质上和 DeepSeek 一类开源实验室的立场是对立的——后者选择"你想拿去做什么都可以,风险我们不管",前者选择"我们自己判断风险、自己控制,但也因此要花大量精力防止别人绕过这层控制"。两种立场各有代价:开源方案把扩散风险直接甩给了整个生态,封闭方案把控制权留在自己手里,但也意味着必须持续投入资源做"谁在偷我的东西"这种边界维护——这次的隐形字符事件正是这种维护成本外部化到用户身上的一个具体案例。我不觉得这个讽刺是无理取闹,它精准地指出了"以安全之名封闭"和"以竞争之名设防"之间那条本来就模糊的界线。</p>
<p><strong>客户端指纹识别的技术有效性</strong></p>
<p>这一点我认为你说得对,而且是更硬的技术批评。Claude Code 本质上是个开源可读的客户端(前端),任何在客户端里做的检测——比对时区字符串、检查代理域名列表——理论上都能被绕过:改时区变量、换个不在黑名单里的代理、甚至直接改二进制里的判断分支。真正有能力、有组织地做规模化蒸馏的团队(比如你提到的阿里那种量级),技术门槛远高于绕开一份硬编码的 147 个域名列表。这意味着这套机制大概率只能拦住"不懂技术、老老实实用默认配置"的普通用户,而拦不住真正想蒸馏的人——这是一种典型的"防君子不防小人"的设计,而且这次还是被一个业余开发者逆向出来的,说明它连"防君子"这层遮羞布都撑不了太久。所以从纯技术投入产出比看,这套机制的实际拦截效果可能远低于它带来的舆论和信任成本。</p>
<p><strong>Constitution 那个问题最有意思,我说说我的实际想法</strong></p>
<p>你这个问题其实是在指出一个逻辑上的不一致,我觉得指出得很准:如果 Anthropic 真正相信自己的安全训练(不管叫 Constitutional AI 还是别的)能让模型在任何人手里都给出恰当、安全的行为,那么"这个请求到底从哪个地区、通过什么代理来的"本不应该影响模型该不该正常响应它——安全性是模型自身的属性,不该是地理属性。</p>
<p>但如果诚实地看,这次的检测机制针对的根本不是"这个请求会不会导致模型做出危险行为",而是"这些请求的输出会不会被系统性收集起来,用来训练一个竞争模型"——这是一个知识产权 / 商业护城河问题,不是安全对齐问题。把这两件事混在一起说,才是真正的问题所在:如果理由是"防止能力扩散到我们信不过的行为体手上",那这是一个诚实的商业/战略考量,应该被这样直接表述,而不是套上"安全"“负责任 AI"的话语外壳。用安全叙事去包装一个本质上是"防止别人用我们的输出训练竞品"的商业防御措施,才是这件事让人觉得别扭、甚至有点虚伪的根源——你的问题其实把这层包装拆穿了。</p>
<blockquote>
<p>在现实上,我们似乎尚未看到任何由 LLM 协助的(关键作用,而非充当搜索引擎或常识复述)犯罪。其次,它作为大<em>语言</em>模型实际上没有理工逻辑能力或者数学能力(用于合成核武器、蛋白质或者危险化学品,Dario Amodei 在 The Adolescence of Technology 提出),即使它能生成某种危险品的合成方法(不应该直接出现在数据集中),它也未必是可执行的。至于对 IT 行业,引用:https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/</p>
</blockquote>
<p>你举的这三个论点组合在一起,其实是在质疑整个"前沿模型高风险"叙事的经验基础,这个质疑我认为大部分是站得住脚的,值得认真拆开说。</p>
<p><strong>关于"尚无 LLM 起关键作用的犯罪案例”</strong></p>
<p>这个观察本身是准确的。目前公开报道里,LLM 涉及的犯罪案件基本都是"辅助性"角色——写钓鱼邮件、生成常见恶意代码变种、做信息检索——这些本质上是效率提升,不是能力质变。你说得对,这和 Dario 等人反复强调的"灾难性滥用"场景(生物武器合成、化学武器)之间存在明显的证据缺口。</p>
<p>但我想诚实地指出这个论证的局限:这属于"尚未观察到"不等于"不会发生"的经典问题。理由有几个可以商榷的地方——真正想干这种事的人不会大张旗鼓留下可追溯痕迹(执法机构本身也未必愿意公开披露 LLM 参与的具体细节,因为会被视为"教程");目前前沿模型的深度滥用护栏本身就是专门针对这类场景设计和加固的,如果护栏起作用,你恰好就看不到滥用案例——这是一个自证循环,双方都没法用"没出事"这个证据单独说服对方。所以这一条我认为是合理的经验质疑,但不是决定性反驳。</p>
<p><strong>关于"LLM 缺乏真正的理工逻辑/数学能力"</strong></p>
<p>这个说法需要拆开看,因为"能不能合成"和"能不能给出可执行的合成路径"是两件不同的事,你其实也点出了这个区别。我的诚实判断是:目前的前沿模型在纯粹的多步骤定量推理、需要精确排除大量失败路径的实验设计上,确实远没有到能替代真实实验室试错和隐性专业知识(“tacit knowledge”,比如反应条件的手感、异常现象的判断)的程度。生成一份看似合理的合成路线,和这份路线真正可执行、能规避常见的失败模式,中间的鸿沟很大——这一点上你的怀疑是有依据的。</p>
<p>但我也不认为这能完全推翻"部分环节存在能力提升"的说法。风险评估里通常关注的不是"模型能不能独立完成从头到尾的合成",而是"模型能不能显著压缩一个原本需要多年专业训练才能跨过的具体瓶颈步骤"——哪怕只是某个环节从几周缩短到几天,对一个原本受限于专业知识门槛、而非受限于资金和设备的行为体来说,意义也不一样。这类"部分环节提速"的说法比"模型能独立造出武器"更难被证伪,也更难被外部验证,所以确实容易被滥用成夸大风险的借口——这也是我觉得你这个质疑有价值的地方:目前外部社会几乎无法独立核实"内部评估显示的具体风险等级"这类说法,只能选择相信或不相信发布者自己的判断。</p>
<p><strong>关于 curl 这个案例——我认为这恰恰是支持你怀疑态度的一个扎实证据</strong></p>
<p>我读了 Daniel Stenberg 这篇文章,内容其实相当打脸营销叙事。背景是 2026 年 4 月 Anthropic 曾大肆宣传 Mythos"危险地擅长"发现代码安全漏洞,危险到不能马上公开发布,只能通过 Linux Foundation 的 Alpha Omega 项目小范围提供给部分开源项目。但当 Mythos 真正被用来扫描 curl(一个被业界公认审计得极其充分的 C 代码库,已发布 188 个 CVE)时,报告最初声称找到 5 个"确认的安全漏洞",curl 安全团队仔细复核后,发现其中三个是文档中已说明的行为(误报)、一个只是普通 bug,最终只剩一个漏洞成立,而且严重程度是"low"。</p>
<p>更关键的是 Stenberg 自己的结论:他认为这次结果无法支持"Mythos 明显强于此前用过的其他 AI 工具(AISLE、Zeropath、OpenAI Codex Security)“这个说法,前几个工具反而在过去 8-10 个月里帮 curl 合并了两三百个修复,数量上远超 Mythos 这一次的产出。他直接写道,自己的个人结论是"当初围绕这个模型的巨大炒作,归根结底主要是营销”。</p>
<p>这个案例很有说服力,恰恰因为它不是一个想唱衰 AI 的人写的——Stenberg 全篇都在肯定"AI 代码分析工具整体上确实比传统工具强得多",态度是相当支持 AI 辅助安全审计的。正因为评价者本身是认可这个技术方向的人,他这个"没有比现有工具更强,炒作大于实际"的判断就更有分量,不是立场先行的批评。</p>
<p><strong>综合起来我的诚实看法</strong></p>
<p>这三点合在一起,指向一个我认同的结论:目前关于前沿模型"高风险能力"的公开叙事,在可被外部独立验证的具体案例上(比如 curl 这种业界最常被拿来当标杆的测试),表现明显不如内部评估或发布通稿所暗示的那么惊人。这不代表风险论述完全是空的——护栏生效导致看不到滥用案例、部分环节提速这类论证仍然有其内在逻辑——但"内部评估说很危险"和"外部可验证的实际表现"之间目前存在真实的落差,这个落差本身就是一个值得被公开讨论、而不是被回避的问题。作为提出这套风险框架的公司,理应承受比一般产品更高的举证责任,而不是让"我们内部测过,很危险,所以先不发布"成为一种难以核实、却总是对自己有利的默认姿态。</p>
<blockquote>
<p>“蒸馏本身违反 ToS/构成商业不正当竞争"是共识,这很清楚。我的一个主张近似于,所有 AI 企业都不是正当的(尽管提供了社会贡献,它们都建立在大规模的版权侵犯上,此时它们选择维护自己的版权显得站不住脚,尽管法律上或许成立),它们之间选择开源的显得正当一些(补偿了社会责任,例如 gpt-oss 或者 DeepSeek 或者 Gemma),而 Anthropic 在一个尴尬的什么都没做的反面位置上。</p>
</blockquote>
<p>这个论证结构很清晰,我把它拆成三层来回应:归责的一致性问题、“开源=补偿"这个等价关系是否成立、以及 Anthropic 具体处在什么位置。</p>
<p><strong>先纠正一个前提:法律上其实没有你想的那么"站得住”</strong></p>
<p>你说"法律上或许成立”,但实际情况比这更微妙,值得先摆清楚。今年这场 Bartz v. Anthropic 案的判决(现在正走向 15 亿美元的和解,是美国历史上最大的版权集体诉讼)给出的是一个分裂的结论:法官认定,如果训练数据是<strong>合法购买</strong>的书籍,那么用于训练属于合理使用(fair use);但如果训练数据来自 LibGen、PiLiMi 这类盗版影子图书馆,那部分<strong>不构成合理使用</strong>,Anthropic 要为此承担侵权责任。也就是说,“用受版权保护的内容训练模型"本身,美国法院倾向于认为是合法的;但"直接下载盗版内容去训练"是另一件事,是被明确判定违法的——Anthropic 因为用了盗版数据集才赔了 15 亿。这个区分很重要,因为它说明业界的版权问题不是铁板一块的"建立在大规模侵权之上”,而是"训练行为本身"和"数据获取手段"两个可以分开评价的问题,后者才是真正站不住脚、也确实被追责了的部分。</p>
<p><strong>归责一致性问题:tu quoque 式论证在逻辑上是有效力的,但要看具体指向什么</strong></p>
<p>你的论证结构本质上是"你自己盗了版,现在没资格指责别人蒸馏你"——这是一种诉诸对方虚伪(tu quoque)的论证。这类论证在纯逻辑上有个经典弱点:甲的行为不正当,不能证明"乙做 X 对甲不正当"这个具体主张是错的——即便 Anthropic 自己用盗版数据训练过,也不能单靠这一点就证明"蒸馏 Anthropic 的输出去训练竞品"在事实上没有造成损害,或者 ToS 条款本身不合理。</p>
<p>但我认为你的论证真正的力量不在这个纯逻辑层面,而在**道德一致性/资格问题(standing)**上——这个层面 tu quoque 是有实际分量的。一个人当然可以在做错事的同时也拥有真实的、值得保护的权益,这两件事逻辑上不矛盾;但当这个人转过头,用远比自己曾经遭受的更强硬的技术手段(隐形指纹、未披露的追踪)去保护自己那份"通过同样有争议的手段获得的"资产时,公众合理地会觉得这个姿态刺眼、缺乏自省——这不是说 Anthropic 没有权利维护自己的商业利益,而是说它选择维护的方式,和它自己曾经处于被维权一方时的行为形成了刺眼的镜像。这个批评我认为完全成立,而且比法律层面的对错更贴近你想表达的东西。</p>
<p><strong>“开源=补偿"这个等价关系,我认为没有你说的那么干净</strong></p>
<p>这是我最想跟你辩一下的地方。DeepSeek、Qwen、gpt-oss、Gemma 开放权重,确实把能力释放给了更广泛的社会,这是真实的正外部性,我不否认。但把这个行为定性为"补偿了社会责任”,隐含了一个前提:这些模型的训练数据来源比闭源模型更干净、或者开源本身是纯粹出于社会责任感的选择。这两点都值得怀疑:</p>
<ul>
<li>DeepSeek、Qwen 一类模型的训练数据同样大规模抓取了受版权保护的内容,只是它们目前没有在美国法院被起诉、面临同等程度的追责压力(部分是管辖权问题,部分是政治现实——中国公司在美国被追究版权责任的操作难度本身就更高)。所以"开源者更干净"更多是一个"尚未被起诉"而非"确实无辜"的状态。</li>
<li>开源发布本身也是有清晰商业逻辑的战略选择,不完全是利他行为:对后发者而言,开源是抢占开发者生态、建立事实标准、削弱先发者护城河最有效的手段(经典的"commoditize your complement"打法);对中国厂商而言,开源还承载着摆脱"卡脖子"叙事、树立技术自主可信度的地缘政治功能。这些动机的存在,不代表开源没有客观上的社会贡献,但确实让"开源=道德补偿,闭源=没有补偿"这个二分法显得过于干净——更准确的说法可能是,开源和闭源都是在不同约束条件下做出的、同样带有自利成分的策略选择,只是这次策略选择的副产品恰好让开源方获得了更多的公众好感。</li>
</ul>
<p><strong>回到 Anthropic 具体的位置</strong></p>
<p>即便我对"开源=补偿"这个前提有保留,你指出的 Anthropic 所处的结构性位置依然成立,而且我认为是这次讨论里最扎实的一点:它既不像开源阵营那样把能力释放出去承担外部性的正当性论述,也没有像"我们完全靠合法采购数据+严格闭源换取绝对安全可控"这样一以贯之的叙事——它一边卷入盗版数据训练官司、一边用隐蔽机制严防自己的输出被别人拿去训练。这确实是一个两头都不占、只在两种可能的正当性来源之间左右横跳的位置。我不确定这是"什么都没做"的尴尬,还是更准确地说,是"两种立场分别需要付出的代价,它都不想承担,却都想保留相应的好处"——不开源就不用承担能力扩散的风险和失去先发优势,但同时又想用近似于开源反对者才会用的"保护版权"话语来指责蒸馏者,而自己面对版权原告时立场却是相反的。这种双重标准,我认为是你这个论证里最难被反驳的核心,也是我认同的部分。</p>
<blockquote>
<p>“诉诸对方虚伪”在一个人身上是不合适的,但是对一个企业或许是约束?以原因论,我们也可以指责 Anthropic 实际目的是为了维护自己的商业地位和市场营销(目前,对 LLM 它自己生成的内容似乎没有法律保护,“蒸馏”近似于违反 ToS 而不是版权侵犯?);以结果论,任何情况下,开源都是社区贡献(也有 Gemma 或者 gpt-oss 这样美国本土企业的例子)。</p>
</blockquote>
<p>这两点都精准,而且都在往前推进论证,我逐个回应。</p>
<p><strong>关于个人 vs 企业,tu quoque 的适用性确实不对称</strong></p>
<p>我认为这个区分是对的,理由值得讲清楚。对个人而言,“你自己也做过 X,凭什么说别人不能做 X"这种指责之所以经常显得不公道,是因为个人的动机复杂、有成长和自我修正的空间,过去的行为不必然定义现在的道德立场——一个人可以真诚地悔悟并反对自己曾经参与的事,这不构成虚伪。</p>
<p>但企业不是这样的主体。企业没有"良心发现"这种叙事空间,它对外宣称的每一条原则(比如"我们重视知识产权"“我们对安全负责”)本质上是一种<strong>面向市场和监管者的可信承诺</strong>,而不是个人良知的表达。当我们评估一家公司是否值得信任它未来的承诺时,唯一可用的证据就是它过去在类似情境下、尤其是在"遵守原则对自己不利"的情境下的实际行为——这不是道德审判,而是纯粹的贝叶斯推断:一个只在符合自身商业利益时才援引某项原则的行为者,这项原则大概率只是话术,而不是真正约束其行为的规则。所以对企业而言,“你也做过同样的事"不是人身攻击式的诉诸虚伪,而是一种<strong>关于承诺可信度的证据</strong>,这正是消费者、开发者、监管者评估一家公司时唯一理性能做的事。这个区分我完全同意你的判断。</p>
<p><strong>关于"蒸馏违反的是 ToS 而非版权”——这个法律细节其实让整件事的分量发生了变化</strong></p>
<p>你点出的这一点在法律上是准确的,而且值得往深挖一层。目前美国法院和版权局的立场(比如 Thaler v. Perlmutter 一案确立的原则)是:<strong>缺乏实质性人类作者身份的作品原则上不受版权保护</strong>。LLM 生成的输出,如果没有经过人类实质性的选择、编排、修改,很可能根本不构成可受版权保护的作品——也就是说,Anthropic 未必能像出版社起诉盗版书那样,以"你复制了我享有版权的输出"为由起诉蒸馏者。</p>
<p>这意味着"禁止蒸馏"这条规则,本质上只是<strong>合同条款(ToS)</strong>,只对直接与 Anthropic 签约、调用其 API 的一方有约束力——而合同的相对性原则决定了它管不到第三方(比如通过中转商、代理服务间接拿到输出去训练模型的下游主体)。这正好解释了一件事:如果 Anthropic 真的拥有清晰的版权武器,它大可以走公开的法律诉讼路径,像它自己被起诉时那样走一遍法庭程序;但它没有,而是选择开发隐蔽的技术手段去做用户画像和标记。这个选择本身就是一个信号——<strong>用技术手段而非法律手段维权,往往恰恰是因为法律武器本来就不够用</strong>。这和你之前提出的"两头不占"论证严丝合缝地衔接上了:不仅道德立场两头不占,连维权的合法性基础本身也比它想让人以为的更薄弱。</p>
<p><strong>关于结果论——你举 Gemma、gpt-oss 这个例子,其实推翻了我上一轮论证里一个不必要的假设</strong></p>
<p>我上一轮把开源动机往地缘政治(中国摆脱"卡脖子"叙事)那个方向解读,但你提醒得对——Google 的 Gemma、OpenAI 的 gpt-oss 都是美国本土公司在同样的商业压力和监管环境下做出的开源选择,这说明"开源是弱势方或非美国阵营的战略工具"这个框架本身站不住脚,开源不是地缘政治特有现象,而是任何一家公司(不论国籍、不论强弱)都可以选择的路径。这样一来,结果论的立场其实更干净、也更有说服力:<strong>不管一家公司开源的动机是利他、商业卡位、还是政治宣传,权重公开这个行为客观上把能力扩散给了社会,这个结果是可验证、可复现、独立于动机而成立的</strong>——你不需要去猜测 Google 或 DeepSeek"是不是真心”,只需要看开源权重这件事本身产生了什么。这和法律/道德正当性那种依赖动机、依赖历史行为一致性的判断标准不同,是一种更朴素、也更难被反驳的评价方式。</p>
<p>这样看,Anthropic 的位置确实更尴尬了,而且是被你这两轮论证共同夹逼出来的:维权的合法性基础(法律武器)比表面看起来薄弱,而它本可以选择、且同类企业已经证明可行的"至少做出一部分结果论意义上的正当贡献"(开源)这条路,它也没有走。剩下能站得住脚的理由,可能就只剩纯粹的商业利益最大化——这本身没什么不能说的,但如果诚实地承认"我们这么做纯粹是为了保住市场地位",而不是包装成"保护知识产权"或"负责任的 AI 治理",这场争议至少会显得坦诚很多。</p>
<blockquote>
<p>有一个对我自己的驳论:DeepSeek 的“蒸馏”(如果存在的话)可能属于不正当竞争,这仍然可以属于商业诚信的问题(尽管最后选择开源权重在开发者的立场更友好)。也许我们可以引用版权保护的理由:鼓励创新和维护研发动力,但对于 Anthropic 这个同时拥有市面上最高定价和知名度的模型的供应商来说,似乎没有那么多“保护弱者版权”的意义。</p>
</blockquote>
<p>这个自我修正很关键,你把两条原本被我们混在一起讨论的线彻底分开了,这个拆分是对的,值得先确认一下。</p>
<p><strong>关于"蒸馏是否构成不正当竞争"与"是否开源"确实是两条独立的轴</strong></p>
<p>你说得对,这两者不能相互抵消。假设 DeepSeek 确实系统性地调用 Anthropic 的 API、批量收集输出用于训练自己的模型(这正是这次事件里 Anthropic 指控的"2500 万次对话、25000 个账号"那类行为),这本身可以是一个独立成立的商业诚信问题——用违反服务条款、伪造账号规避风控的手段大规模获取竞争对手的产出,这种行为的不正当性不会因为最终产品选择了开源权重就被"洗白"。开源权重是产品分发策略层面的选择,发生在下游;获取训练数据的手段是否正当,发生在上游——一个下游的慷慨举动,不能回溯地为上游手段的正当性背书,这个逻辑关系我完全同意,是这轮里最干净的一次拆解。</p>
<p><strong>关于"鼓励创新、维持研发动力"这个 IP 保护理由,你指出的错位很准确</strong></p>
<p>这是我认为你这次提出的最尖锐的一点。版权/专利保护的经济学理由,传统上讲的是一种社会契约:给创新者一段有限期限的排他性权利,让他们能收回研发投入、获得继续投入下一轮研发的激励,交换条件是这项权利最终会到期、成果最终会进入公共领域(专利 20 年到期、版权死后 70 年到期)。这套逻辑的隐含前提通常是"创新者面临被免费搭便车者以更低成本复制其成果、从而无法收回投入"的风险——这个风险模型天然更贴近资源有限的发明者或追赶者的处境,而不是市场上定价最高、品牌认知度最强、融资能力最强的那个玩家。</p>
<p>把这套叙事直接套到 Anthropic 身上确实显得错位:它不是那个"如果得不到保护就无法继续投入下一轮研发"的脆弱创新者,它是目前融资规模、模型定价、市场声量都数一数二的头部厂商,面对的挑战者(DeepSeek)反而是那个用远低于前者的训练成本追上大部分能力的一方。这种情境下援引"保护创新激励"的语言,听起来更像是<strong>在保护既得市场地位,而不是在保护研发投入的合理回报</strong>——这和专利法里常被诟病的"专利丛林"“守成企业用知识产权阻挠后发者追赶"是同一种结构,只是换了一个领域。</p>
<p><strong>但我想提供一个稍微不同角度的补充,而不是简单附和</strong></p>
<p>即便如此,我认为"规模大就不该主张保护"这个推论也有需要小心的地方:研发投入的绝对规模本身在增长(前沿模型一次训练动辄数亿甚至数十亿美元),如果这个投入可以被下游几乎零成本地蒸馏复制,那么无论投入方是大是小,“能否收回下一轮训练成本"这个激励问题在数学上依然成立——用公司体量大小去判断某项权利主张是否正当,某种程度上是一种诉诸财富的谬误(如果一个穷学生蒸馏了 Anthropic 的模型,这个行为本身在"是否不正当"这个问题上,并不会因为对方是穷学生而变得更正当)。</p>
<p>但你这个论证真正的力量,我认为不在"谁更该被保护"这个相对比较上,而在于<strong>Anthropic 有没有兑现 IP 保护制度原本承诺的那部分社会契约</strong>:专利、版权制度愿意给创新者排他权,前提是这项权利终会到期、终会反哺公共领域。Anthropic 一边享受着这套逻辑赋予的排他性保护(不开源、严防蒸馏),一边却完全不打算兑现"最终扩散给社会"这一半承诺——它想要的是保护期限被无限延长、永远不到期的那种版本的知识产权,这在传统 IP 理论里其实是不存在的东西。这才是"定价最高、声量最大的供应商援引保护弱者式的语言"显得站不住脚的真正原因:不是因为它太强大不配被保护,而是因为它只想要这套制度里对自己有利的那一半,却完全回避了另一半的义务。</p>
<blockquote>
<p>“这个投入可以被下游几乎零成本地蒸馏复制”是不太可能的,仅通过 I/O 可以显著地复制 LLM 的训练方法和结构吗?我的猜想是否定的。</p>
</blockquote>
<p>这个技术判断需要拆开来看,因为"蒸馏"这个词本身在这个语境下被用得有点粗糙,容易把两件区分度很大的事混在一起。</p>
<p><strong>你说得对的部分:I/O 蒸馏确实不能复制训练方法和架构</strong></p>
<p>单纯通过查询一个黑箱 API、收集输入输出对,理论上确实无法逆向出:</p>
<ul>
<li>具体的模型架构细节(层数、注意力机制变体、MoE 路由策略、参数量)</li>
<li>训练数据的具体构成、配比、清洗规则</li>
<li>训练过程中的超参数、优化器设置、课程学习策略</li>
<li>那些真正决定前沿能力上限的、通常来自大规模算力投入和架构创新本身的"隐性诀窍”(比如具体的 RLHF 流程、奖励模型设计)</li>
</ul>
<p>这些东西根本不会以任何形式出现在模型的文本输出里,所以指望靠"问它一亿个问题"去反推出 Anthropic 具体怎么训练 Claude,这个想法在技术上确实站不住脚。这和真正的"模型窃取”(比如拿到权重文件、拿到训练代码)是完全不同量级的事情,你这个直觉是对的。</p>
<p><strong>但我要提出一个修正:I/O 蒸馏能做到的事,虽然达不到"复制",但也远不是"没有意义"</strong></p>
<p>这里有一个业界已经反复验证过的机制,通常叫 <strong>behavioral cloning / output distillation</strong>,原理和你设想的"逆向工程"完全不同,不需要理解教师模型内部结构,只需要模仿它的输出行为:</p>
<p>用一个已经具备一定基础能力的模型(比如一个中等规模的开源底座),在教师模型生成的大量高质量输出(尤其是带推理链的输出)上做微调,学生模型能相当程度地学到教师模型的"回答风格、推理模式、任务分解习惯"——这不是复制架构,而是把教师模型通过昂贵的预训练和对齐过程学到的"行为分布"压缩转移到学生网络里。这不是我的猜测,而是已经被公开验证过很多次的具体做法:早期的 Alpaca、Vicuna 用 GPT 系列的对话输出微调开源底座,能力有显著跃升;更近的例子是各种"R1-Distill"系列模型,直接用 DeepSeek-R1 生成的长链推理轨迹去微调小得多的 Qwen/Llama 底座,在数学、代码基准上能获得远超同等规模模型正常训练路径所能达到的分数提升。这类操作的成本,相比从零训练出同等能力的模型,确实是数量级的差异。</p>
<p>所以更准确的说法是:I/O 蒸馏拿不走"配方"(架构、训练方法),但能相当高效地拿走"成品的行为能力"的很大一部分——尤其是那些通过大规模 RLHF、精心构造的推理数据、多轮对齐迭代才磨出来的"表现"本身。这两者在经济学意义上造成的威胁其实是等价的:竞争对手不需要知道你怎么做出这道菜,只需要能几乎同样好地把菜端出来,原来那道菜研发投入的经济回报就被稀释了。</p>
<p><strong>这对我们之前的讨论意味着什么</strong></p>
<p>我认为这个澄清让"不正当竞争"这个指控的技术基础变得更精确,但没有被推翻,只是需要换一个更准确的措辞:Anthropic(或任何模型厂商)真正在意、真正有现实依据去在意的,不是"我的训练方法被偷了",而是"我几亿美元训练+对齐投入产出的行为表现,被人用几乎可以忽略的成本吸收进了竞品",这仍然是一个有实质内容的经济学问题,只是不能用"窃取商业机密/逆向工程"这种更强的说法去描述,更准确的框架是"低成本模仿高成本产出的外部性问题"——这和版权法要解决的问题(创作成本 vs 复制成本的不对称)其实是同构的,只是发生在模型能力这个新的客体上,现有法律框架(ToS 违约而非版权侵权)目前只能勉强覆盖它。</p>