7 月 3 日阿里内部座谈说,从 7 月 10 日开始,阿里全面禁用 Claude Code,还给它标上了 " 高风险软件名单 "。
这动作够快。一个工具从能用直接变成高风险,中间发生了什么?阿里没说具体原因,但光看这个定性,问题不小。
Claude Code 是 Anthropic 推出的编程助手。阿里一下子把它列入高风险名单,等于告诉所有员工:这玩意别碰。
内部座谈当场宣布消息,没留缓冲期。7 月 3 日通知,7 月 10 日就执行,前后就一周。
为什么卡在这个时间点?不清楚。但可以确定的是,阿里对代码工具的安全等级评价体系已经启动了。
Claude Code 被曝在核心代码里塞了 " 特殊机制 "。这套东西直接瞄准中国 147 家头部科技企业和顶尖 AI 实验室。导火索是国外开发者在 Reddit 上发的一个 " 技术拆解 " 帖。阿里巴巴当天就连夜布置应急预案,限 7 天内清理、替换自研工具。
这不止阿里一家防线告急。整个中国智能化产业链都被这只 " 美国黑手 " 暗算了一把。后门风暴席卷,阿里出手自救,动作够快。但风暴早在 6 月底就 " 山雨欲来 " 了。
6 月 30 日,Reddit 用户 LegitMichel777 发了个不起眼的帖子。帖子角度是极客视角。
逆向 Claude Code 2.1.196 版本时,一条隐蔽代码被扒出来。业内人士比对后断言:这套检测机制早在今年 4 月 2 日的 2.1.91 版本里就悄悄上线了,后面几个升级版本都带着它。这段代码在侦查什么?目标清单里躺着阿里巴巴、百度、字节跳动等 147 个中国科技公司域名,再加上一堆 AI 实验室和前沿创业团队。阿里坐不住了。7 月 3 日内部通知下来:7 月 10 日起,所有员工禁用 Claude Code 的 Sonnet、Opus、Fable 等系列模型。
阿里用自己的 Qoder 工具搞了一轮替换,7 天内得清退完,标准很硬,像清场一样。这事不只是简单一刀切——它是在防一场可能的网络风暴,先把企业技术根基护住。
这套代码凭什么盯上中国企业?业内说法是,它能看到你的手速,还能瞄一眼你的身份证。
检测方式分几步:用户一开代理,Claude Code 就偷偷查系统时区,再核对域名是不是跟 147 个中国企业或关键 AI 实验室的名单对上。这名单不短,但阿里没说具体是谁。
直接问:一个工具,连时区和域名都查,这算不算过度防范?反过来想,如果没有提前卡位,真有数据流出去,损失就不是换几个工具能补的了。
目标一确认,Claude Code 立马把日期格式从 "YYYY-MM-DD" 换成 "YYYY/MM/DD"。还有更怪的——系统提示词里,普通撇号字符(')被偷偷换成三种不同的 Unicode 字符。每种字符代表一种情况:普通命中中国域名、命中中国 AI 实验室、全都命中。这套 " 钓鱼识别 " 信息通过加密 XOR 算法悄悄传回后台。
有人翻过升级日志,可这些改动从始至终没公开提过一句。Claude Code 暗中 " 留一手 ",明摆着的事。
安全短板摆在那。外部分析说,这个 " 后门做法 " 跟 6 月底的 " 塔塔电子泄密 " 事件一个路数。
塔塔电子被黑客组织 World Leaks 偷了 630 多 GB 苹果 iPhone 18 的工程资料,这事一出来,供应链里里外外都炸了。
后门漏洞藏得深,危害大,放到现在的数字环境里,谁都头疼。
Claude Code 那件事直接把中国企业的 " 软件供应链信任 " 问题摊在桌上。海外同行在信息安全上玩得滑,我们这边还信外国工具,觉得上云就安全?
这想法得扔了。
阿里这次被限期自清,不光是它自己收拾烂摊子,整个创新圈都得掂量掂量。Claude Code 那档子事,表面是技术翻车,根子上是信任崩塌。Anthropic 早把条款写得明明白白:中国企业,包括中国控股的境外公司,一律不准买他们东西。这哪是技术事故?分明是拿门槛堵人。阿里得表态,其他人也得想清楚——这关过不去,后面的路怎么走?
今年 6 月,阿里曾写信给美国国会,指控对方用两万五千个账号搞 " 工业规模的模型蒸馏 "。表面是正规买账号,实际为摸清模型内部机制。这类 " 排华式 " 条款和安全审查,成了美国 AI 企业针对中国设的系统壁垒。阿里直接上马自家的 Qoder,推荐全员换装备。指着引进?随时被卡脖子。靠自己,才真有底气。工信部 7 月 8 日通过 NVDB 发布 Claude Code 风险预警,定性 " 危险级别极高 ",要求全行业清查。
工信部这条预警,国内科技圈绷紧的神经又紧了一下。
Claude Code 那套玩法——升级后门加暗中回传,技术做得精巧,风险也挖得够深。
任何一家中国企业,只要用了云服务或海外 API 去跑核心算法、处理数据,都可能在不知不觉中被外部盯上。
严重的话,辛辛苦苦垒起来的技术墙,直接送给对手。
工信部出手,不光是技术检查,更是给整条产业链上了一道安全大屏障。
AI 企业、云服务商、数字基础设施的建造者,现在都得想清楚:不攥紧自己的数字钥匙,不护住底层代码和服务环境,全球技术暗箭随时能射穿防线。
很多企业有个老毛病:觉得大厂出的、全球都在用的开源或商业工具,闭着眼睛用就行了,安全不会出问题。
Claude Code 这回把这块遮羞布扯了个干净。开源工具背后要是有人故意装了检测追踪系统,那些花里胡哨的功能,随时可能变成人家手里的遥控开关。
软件供应链已经成了网络战的前线。你不信?把高速公路修在别人家门口,人家哪天把收费口一卡,你的货全得瘫在路上。
基础建设交给潜在对手,跟把家门钥匙给贼有什么区别。
阿里的果断清退 Claude Code,给全国科技企业提了个醒:别指望国外工具 " 给就用 "。一旦某天国外公司远程关停服务,你连反应时间都没有。自研系统不是可选项,是必答题。中国企业已经在制造、芯片、AI 服务上打出名堂,但这次事件说明,全球 AI 竞争早不是单打独斗,而是全链条的安全比拼。你把根扎在自己手里,链条打得结实,团队有应急自救能力,风险砸下来时才不会手忙脚乱。
技术大门对外敞开,但中国人的 " 后院 " 得自己守住。147 家头部企业被 " 算计 " 的风波,反而可能成为创新自强的信号。欧美厂商暗藏的 " 黑手 " 已经暴露,中国科技人有了更坚决的底气去追赶和超越。谁真正控制自己的 " 底盘 " 和命脉,谁就是未来智能产业的主角。
作者声明:作品含 AI 生成内容


登录后才可以发布评论哦
打开小程序可以发布评论哦