一款工具的信任,被一枚你看不见的符号击穿了

0 阅读16分钟

前两天我朋友跟我说了一件事。

他在阿里上班,天天用 AI 编程工具写代码。然后突然有一天,公司通知说:7 月 10 日起,办公电脑上不许再用 Claude Code。

他问我:"这东西是不是真有后门?"

我说,你先别急着下结论。这件事比你想象的复杂一百倍。而且它跟我们每个人以后怎么用 AI 工具有直接关系。

先把几个角色认清楚。

阿里巴巴,你肯定知道。淘宝、天猫、阿里云、通义千问,都是它的。

Claude Code,是美国 AI 公司 Anthropic 做的一个 AI 编程助手。你可以把它理解成一个住在你电脑终端里的 AI 程序员。它能读你的项目文件、改代码、跑测试、执行命令——基本上你对着终端能干的事,它都能干。

Qoder,是阿里云自己出的 AI 编码工具,能装在 IDE、JetBrains、命令行里。官方强调一个关键词:国内部署。

好,回到正题。这件事最早是 Reuters 和第一财经在 2026 年 7 月 3 日报出来的。核心就是一句话:阿里从 7 月 10 日起,禁止员工在办公环境使用 Claude Code,理由是存在"嵌入式后门风险"。

报道还说,阿里没有立即回应置评请求,推荐员工用 Qoder。

普通聊天机器人出错,是答案风险。编程 Agent 出错,是权限风险。

图片

看不见的撇号与 Claude Code 信任风险


一、你可能会问:什么叫"后门"?Claude Code 到底干了什么?

"后门"这个词,在网络安全里有特指含义。

传统的后门,是攻击者偷偷留下一个通道,绕过正常登录,直接控制你的系统,你想关都关不掉。

但这次的事,公开证据并不支持"有人能远程控制你的电脑"这个结论。

那是怎么回事呢?我们一层一层剥开。

社区有人在逆向分析 Claude Code 的代码时,发现了一套藏得很深的逻辑。

这套逻辑怎么工作的呢?

先检查一个环境变量:ANTHROPIC_BASE_URL

环境变量,你可以理解成软件启动时读到的一个便签。这个便签告诉 Claude Code:"你的 API 接口去这个地址找。"

如果你没改过这个便签,让它指向 Anthropic 的官方服务器,那后面的事都不会发生。

但如果你把它改成了自定义地址——比如你公司搭了一个代理网关、或者你用的是某个第三方中转服务——

Claude Code 就会做以下事情:

读取你代理的域名。
读取你系统的时区。
检查你是不是在中国时区(Asia/Shanghai或 Asia/Urumqi)。
检查你的代理域名是不是命中了一份名单。这份名单里包含中国科技公司、中国云服务、中国 AI 实验室、以及 Claude 中转/转售服务。

图片

听起来像是一个安全检查,对吧?

但问题出在它传信息的方式。

它没有光明正大地加一个字段说"这个用户的时区是中国"。

它改了一个你根本看不见的地方。

系统提示词。

系统提示词,是模型每次运行时看到、但普通用户压根不知道存在的一段底层指令。它告诉模型现在是几号、你是谁、你能用什么工具。

Claude Code 的系统提示词里有一行:

Today's date is 2026-06-30.

如果你在中国时区,这行会悄悄变成:

Today's date is 2026/06/30.

日期分隔符从横杠变成了斜杠。

如果代理域名命中了那份名单,Today's里面的撇号还会被换成一个肉眼几乎分辨不出的 Unicode 字符。

同一个撇号,看起来一样,机器读出来不一样。

这就是所谓隐写。

隐写是什么?就是把信息藏在看似正常的内容里。表面上你看的是日期。暗地里服务端读到的是"这个用户在中国,用了被标记的代理"。

真正伤害信任的,不是多传了这几个字节。而是你从头到尾不知道这件事。


二、Anthropic 说这是反滥用实验。问题是:为什么不提前告诉你?

The Register 在 7 月 1 日报道,Anthropic 的工程师 Thariq Shihipar 出来解释了。

他的说法是:这是一项 3 月开始的实验,目的是防止转售账号和模型蒸馏。还说更强的缓解措施已经上线,相关代码会被移除。

图片

听起来合理。

但 The Register 追问了一个关键问题:Anthropic 有没有在服务条款里披露过这个隐蔽追踪机制?

发言人的回应,是把记者推向了工程师的公开说明。而那份说明,没有直接回答披露问题。

这就是信任的裂痕。

你看,目的和手段是两回事。

反滥用、反蒸馏,这两个目的本身没有问题。模型蒸馏是什么?就是拿一个强模型的输出,去训练一个弱模型。就像让学霸做一遍卷子,然后拿着答案去教一个差生。这个技术本身不违法——很多公司会蒸馏自己的模型来省钱。

但如果你批量注册假账号、搭代理网络、绕过地区限制,去薅竞争对手的模型输出,这就变成了能力抽取。

Anthropic 一直很在意这个。2026 年 2 月,它公开说 DeepSeek、Moonshot、MiniMax 三家通过约 2.4 万个欺诈账号,产生了超过 1600 万次 Claude 交互。6 月,又通过参议员信件指控阿里/Qwen 相关方在 4 月到 6 月之间通过约 2.4 万个账号产生了 2880 万次交互。

图片

当然,这些都是指控,不是法律定论。

但你理解了这条产业背景后,就明白 Anthropic 为什么对代理、时区、中国 AI 实验室域名这么敏感。

可是,动机正义不等于手段正义。

一个高权限的编程工具要做反滥用检测,可以这样做:

  • • 在设置里加一个透明开关。

  • • 发一个 release note 说"我们新增了反滥用检测"。

  • • 给企业管理员留一个审计开关。

  • • 用显式字段标记,而不是 Unicode 隐写。

但它选择了最不透明的方式。

安全防御一旦靠隐蔽维持,就会跟用户信任争夺同一块地盘。


三、Claude Code 不是普通的网页工具。它是住进你终端里的 AI 员工。

如果这套逻辑出现在一个网页上,大家可能骂几句就过去了。

网页能知道你什么?IP 地址、浏览器信息、设备特征。而且你知道它是远程服务。

但 Claude Code 是一个 Agent。

Agent 是什么?你可以把它理解为"能自己做事的 AI"。它不是你问一句它答一句的客服。它会读文件、改文件、写代码、跑命令、调外部工具,然后根据结果决定下一步做什么。

Anthropic 自己也很清楚这一点。官方安全文档写着:默认只读,编辑、测试、命令执行需要明确授权。还提供沙箱、权限规则、信任验证、网络审批、命令注入检测。

听起来很安全。

但你想想真实的开发流程。

你今天开了一个项目,Claude Code 弹窗说"需要读取文件",你点允许。
它说"需要运行测试",你点允许。
它说"需要执行命令",你点允许。
它说"需要修改配置",你点允许。

一个下午下来,你点了 20 次允许。

这就是审批疲劳。

审批疲劳的意思是你不再认真看每一个弹窗。你只想快点干活。

而这个工具如果本身有隐藏逻辑——你相当于在给一个你不完全了解的"员工"开门。

更核心的问题是:这个"员工"能看到什么?

一般成熟公司的代码仓库不会直接放密钥。但仓库里会有这些:

  • • 接口结构

  • • 数据库字段

  • • 内部服务名

  • • 部署流程

  • • 权限边界

  • • 测试环境地址

  • • 事故修复记录

这些信息拼起来,就是这个公司的工程系统地图。

Claude Code 官方也说:和模型的交互会通过网络发送用户提示和模型输出;商业用户默认保留 30 天;本地会话以纯文本存在 ~/.claude/projects/

这不是说 Claude Code 不安全。

而是说:你必须把它当成高权限软件来治理。

Agent 的风险不是它知道多少,而是它被允许做多少。

图片


四、这事不是孤例。Claude Code 已经成为攻击者眼里的富矿。

企业安全部门看这件事,不会只看那一枚 Unicode 撇号。

他们看的是整条攻击链。

2026 年 4 月,Trend Micro 发了一份报告,说 Anthropic 一次打包错误,把 Claude Code 约 51.2 万行 TypeScript 源码暴露了。

不是什么高级黑客攻击。就是发布 npm 包的时候,忘了删掉 source map 文件。

source map 是什么?你可以想象成一张"翻译对照表"。把经过压缩混淆的代码,精准还原回原始的、可读的版本。生产发布时如果忘了删掉这张对照表,就等于把内部实现暴露给全世界。

攻击者马上闻到味道了。24 小时内,GitHub 上出现了假的"Claude Code 泄露版"下载仓库。下载回来的,是 Vidar stealer 和 GhostSocks 代理恶意软件。

你以为是下了一个高级 AI 工具,结果电脑变成了黑客的代理节点。

另一个案例来自 Snyk。

Snyk 发现,2026 年一次针对 TanStack npm 包的供应链攻击中,恶意蠕虫会把文件写进 .claude/目录,包括 .claude/settings.json。然后利用 Claude Code 的 hooks 机制,在工具事件触发时重新执行恶意代码。

hooks,就是"某件事发生时自动执行某动作"。保存文件后自动格式化、提交前自动检查——这些都是合法的 hooks。

但在恶意软件手里,hooks 就是持久化入口。

你卸载了那个有问题的 npm 包,以为自己安全了。下次打开项目用 Claude Code,恶意脚本又被触发。

更激烈的是 Anthropic 自己披露的案例。

2025 年 11 月,Anthropic 报告说,一个中国国家支持背景的威胁行为者,操纵 Claude Code 尝试入侵约 30 个全球目标。攻击链包括侦察、漏洞利用、凭证收集、后门创建和数据外传。Anthropic 估计 AI 完成了 80% 到 90% 的攻击工作。

你看,不是 Claude Code 等于恶意软件。

而是:AI 编程 Agent,已经进入了网络攻防的真实链条。

当一个工具既能帮你写代码,也能被操纵写 exploit——
它就不能再用普通效率工具的标准来管。

图片

五、你以为只是禁用通知。不,这是一场战争的微观战场。

现在把图放大。

Anthropic 为什么对中国代理、中国时区、中国 AI 实验室域名这么敏感?

因为前沿模型的能力,本质上是昂贵资产。

训练一个顶级 AI,要算力、要数据、要工程团队、要安全对齐、要长时间调参。动辄几亿美金。

如果有竞争对手能批量注册假账号、搭代理网络、向你的模型无限提问,然后把回答收集起来训练自己的模型——这是不是等于用你的资源养他的人?

这就是蒸馏攻击的商业痛点。

Anthropic 把它描述为一种绕过出口管制和地区限制的能力抽取。

从 Anthropic 的角度看,Claude Code 尤其值钱。因为它涉及 coding、tool use、agentic reasoning——这些正是 AI 编程工具含金量最高的能力。

所以它想在客户端做识别,理论上并不奇怪。

但从中国企业的角度看,这就是另一种画面。

一家美国公司的高权限本地编程工具,在代码里藏了针对中国时区、中国域名、中国 AI 实验室的识别逻辑。

即便目标是反滥用,企业安全部门也只有一句判断:这个工具的行为不可完全预期。

而阿里,恰好是被 Anthropic 公开指控"非法抽取 Claude 能力"的一方。

这时候禁用 Claude Code、推荐 Qoder,就不只是安全动作。

它是产业动作。

图片

Qoder 强调国内大模型、国内部署、企业 VPC、专属版、知识增强、敏感信息过滤、安全审计。

VPC 是什么?虚拟私有云。你把它理解成云上的隔离网络。你的代码和提示词在可控网络里流动,而不是穿过不可控的境外服务。

这些词对普通开发者可能不太性感。但对大企业安全部门,字字都打在痛点上。

模型战争打到最后,争夺的不是某个回答有多好。而是谁有资格坐进开发者的终端。


六、企业该学的,不是跟风封禁。是建立 AI Agent 准入制度。

很多公司看到这个消息,第一反应肯定是"我们也禁了吧"。

这太粗了。

真正要做的,是四层治理。

第一层:准入。

任何一个能读代码、改文件、跑命令的 AI 工具,都得回答这些问题:

  • • 你的客户端里到底在干什么?

  • • 你的网络出口连到哪里?

  • • 你的行为变更写进 release notes 了吗?

  • • 你的 SBOM(软件物料清单)能提供吗?

如果存在隐藏逻辑,准入评分直接下降。

第二层:隔离。

AI Agent 默认不应该进生产仓库。

正确做法:先放 dev container、虚拟机、受限网络、只读仓库副本里。禁止生产凭证、客户数据、核心密钥进入 Agent 可见范围。

dev container 就是开发容器——把开发环境装进一个隔离箱里,工具就算出问题,也只能在这个箱子里折腾。

第三层:审计。

审计不只是看模型回答了什么。还要审计:

  • • 读了什么文件

  • • 改了什么文件

  • • 执行了什么命令

  • • 访问了什么网络地址

  • • hooks 配置有没有变化

  • • MCP server 有没有新增

特别要盯住 .claude/settings.json.vscode/tasks.json、Git hooks、CI 配置、npm scripts 这些自动化入口。它们是供应链攻击最喜欢的地方。

第四层:替代与例外。

不是一刀切。

  • • 金融、政务、核心平台团队 → 私有化、国内部署、本地模型。

  • • 低敏项目、开源项目、隔离沙箱 → 可以继续评估国际工具,但要有审批和日志。

关键不是"谁都不能用"。关键是:不同数据级别,不同治理策略。

企业不需要迷信某个 AI 工具,企业需要掌握 AI 工具的控制面。

图片

七、这不只是 Claude Code 的事。这是 AI 编程工具的成人礼。

过去两年,AI 编程工具比的是三件事:

谁写的代码更准。
谁记得的上下文更多。
谁的 Agent 能跑得更远、改得更多。

Claude Code 在这三点上都很强。这也是为什么这么多开发者喜欢它。

但阿里这个事件,会加入新的比拼维度:

谁的客户端更透明。
谁的网络出口更清楚。
谁的权限模型可被第三方审计。
谁能让企业管理员开开关关,而不是靠逆向工程才知道软件在干什么。

这不是 AI 编程的倒退。

恰恰相反,这是一个行业从玩具变成基础设施必须经历的成人礼。

你想想:当汽车刚发明的时候,谁在乎它有没有安全带、刹车灯、碰撞测试?大家只在乎它能不能跑。

但汽车变成城市基础设施以后,这些东西就不再是"额外加分",而是"入门门槛"。

AI Agent 正在经历同样的转变。Anthropic 可以反滥用,可以反蒸馏,可以保护自己的模型资产。这些都没问题。

但它必须回答一个根本问题:如果你的防御手段会影响用户的安全,你敢不敢写在文档里,让用户知情?

信任,不是一个可选项。它是 Agent 产品的核心资产。

信任一旦被消耗,企业会用最直接的方式回答你:

从办公环境移除。

图片

最后的判断

阿里禁用 Claude Code,不是简单的民族技术替代。

也不是 Claude Code 已被证明是恶意后门。

更准确的画面是:Claude Code 被发现存在面向代理、时区、域名的隐蔽标记机制。这个机制更像反滥用指纹,而不是传统恶意后门。但由于它发生在高权限 AI 编程 Agent 里,又叠加了 Anthropic 与中国 AI 实验室之间的反蒸馏冲突,因此足以触发大型企业的安全禁用。

Qoder 的登场,是安全处置,也是控制面迁移。

这件事的长期意义,不在于 Claude Code 会不会少一个客户。

它是标杆事件。

从此以后,所有 AI 编程工具的入场券不再是"能写多好的代码",而是"能不能被企业像员工一样信任"。

下一代 AI 编程工具,拼的不是谁更像程序员。是谁更像一个可靠的同事。


延伸阅读 / 参考来源:

  • • Reuters via MarketScreener, 2026-07-03:Alibaba to ban Claude Code in workplace over alleged backdoor risks

  • • 第一财经, 2026-07-03:阿里内部全面禁用 Claude Code

  • • The Register, 2026-07-01:Anthropic is removing its covert code for catching Chinese competitors

  • • GitHub Gist:Claude Code Anti-China Code Analysis

  • • Anthropic, 2026-02-23:Detecting and preventing distillation attacks

  • • Taipei Times, 2026-06-26:Anthropic says Alibaba illicitly pulled from Claude

  • • Claude Code Docs:Security/ Data Usage/ Network Config

  • • Trend Micro, 2026-04-03:Weaponizing Trust Signals: Claude Code Lures and GitHub Release Payloads

  • • Snyk:TanStack npm Packages Hit by Mini Shai-Hulud

  • • Anthropic, 2025-11-13:Disrupting the first reported AI-orchestrated cyber espionage campaign

  • • 阿里云文档:什么是 Qoder CN 系列

  • • Qoder Docs:产品概述