前两天我朋友跟我说了一件事。
他在阿里上班,天天用 AI 编程工具写代码。然后突然有一天,公司通知说:7 月 10 日起,办公电脑上不许再用 Claude Code。
他问我:"这东西是不是真有后门?"
我说,你先别急着下结论。这件事比你想象的复杂一百倍。而且它跟我们每个人以后怎么用 AI 工具有直接关系。
先把几个角色认清楚。
阿里巴巴,你肯定知道。淘宝、天猫、阿里云、通义千问,都是它的。
Claude Code,是美国 AI 公司 Anthropic 做的一个 AI 编程助手。你可以把它理解成一个住在你电脑终端里的 AI 程序员。它能读你的项目文件、改代码、跑测试、执行命令——基本上你对着终端能干的事,它都能干。
Qoder,是阿里云自己出的 AI 编码工具,能装在 IDE、JetBrains、命令行里。官方强调一个关键词:国内部署。
好,回到正题。这件事最早是 Reuters 和第一财经在 2026 年 7 月 3 日报出来的。核心就是一句话:阿里从 7 月 10 日起,禁止员工在办公环境使用 Claude Code,理由是存在"嵌入式后门风险"。
报道还说,阿里没有立即回应置评请求,推荐员工用 Qoder。
普通聊天机器人出错,是答案风险。编程 Agent 出错,是权限风险。
看不见的撇号与 Claude Code 信任风险
一、你可能会问:什么叫"后门"?Claude Code 到底干了什么?
"后门"这个词,在网络安全里有特指含义。
传统的后门,是攻击者偷偷留下一个通道,绕过正常登录,直接控制你的系统,你想关都关不掉。
但这次的事,公开证据并不支持"有人能远程控制你的电脑"这个结论。
那是怎么回事呢?我们一层一层剥开。
社区有人在逆向分析 Claude Code 的代码时,发现了一套藏得很深的逻辑。
这套逻辑怎么工作的呢?
先检查一个环境变量:ANTHROPIC_BASE_URL。
环境变量,你可以理解成软件启动时读到的一个便签。这个便签告诉 Claude Code:"你的 API 接口去这个地址找。"
如果你没改过这个便签,让它指向 Anthropic 的官方服务器,那后面的事都不会发生。
但如果你把它改成了自定义地址——比如你公司搭了一个代理网关、或者你用的是某个第三方中转服务——
Claude Code 就会做以下事情:
读取你代理的域名。
读取你系统的时区。
检查你是不是在中国时区(Asia/Shanghai或 Asia/Urumqi)。
检查你的代理域名是不是命中了一份名单。这份名单里包含中国科技公司、中国云服务、中国 AI 实验室、以及 Claude 中转/转售服务。
听起来像是一个安全检查,对吧?
但问题出在它传信息的方式。
它没有光明正大地加一个字段说"这个用户的时区是中国"。
它改了一个你根本看不见的地方。
系统提示词。
系统提示词,是模型每次运行时看到、但普通用户压根不知道存在的一段底层指令。它告诉模型现在是几号、你是谁、你能用什么工具。
Claude Code 的系统提示词里有一行:
Today's date is 2026-06-30.
如果你在中国时区,这行会悄悄变成:
Today's date is 2026/06/30.
日期分隔符从横杠变成了斜杠。
如果代理域名命中了那份名单,Today's里面的撇号还会被换成一个肉眼几乎分辨不出的 Unicode 字符。
同一个撇号,看起来一样,机器读出来不一样。
这就是所谓隐写。
隐写是什么?就是把信息藏在看似正常的内容里。表面上你看的是日期。暗地里服务端读到的是"这个用户在中国,用了被标记的代理"。
真正伤害信任的,不是多传了这几个字节。而是你从头到尾不知道这件事。
二、Anthropic 说这是反滥用实验。问题是:为什么不提前告诉你?
The Register 在 7 月 1 日报道,Anthropic 的工程师 Thariq Shihipar 出来解释了。
他的说法是:这是一项 3 月开始的实验,目的是防止转售账号和模型蒸馏。还说更强的缓解措施已经上线,相关代码会被移除。
听起来合理。
但 The Register 追问了一个关键问题:Anthropic 有没有在服务条款里披露过这个隐蔽追踪机制?
发言人的回应,是把记者推向了工程师的公开说明。而那份说明,没有直接回答披露问题。
这就是信任的裂痕。
你看,目的和手段是两回事。
反滥用、反蒸馏,这两个目的本身没有问题。模型蒸馏是什么?就是拿一个强模型的输出,去训练一个弱模型。就像让学霸做一遍卷子,然后拿着答案去教一个差生。这个技术本身不违法——很多公司会蒸馏自己的模型来省钱。
但如果你批量注册假账号、搭代理网络、绕过地区限制,去薅竞争对手的模型输出,这就变成了能力抽取。
Anthropic 一直很在意这个。2026 年 2 月,它公开说 DeepSeek、Moonshot、MiniMax 三家通过约 2.4 万个欺诈账号,产生了超过 1600 万次 Claude 交互。6 月,又通过参议员信件指控阿里/Qwen 相关方在 4 月到 6 月之间通过约 2.4 万个账号产生了 2880 万次交互。
当然,这些都是指控,不是法律定论。
但你理解了这条产业背景后,就明白 Anthropic 为什么对代理、时区、中国 AI 实验室域名这么敏感。
可是,动机正义不等于手段正义。
一个高权限的编程工具要做反滥用检测,可以这样做:
-
• 在设置里加一个透明开关。
-
• 发一个 release note 说"我们新增了反滥用检测"。
-
• 给企业管理员留一个审计开关。
-
• 用显式字段标记,而不是 Unicode 隐写。
但它选择了最不透明的方式。
安全防御一旦靠隐蔽维持,就会跟用户信任争夺同一块地盘。
三、Claude Code 不是普通的网页工具。它是住进你终端里的 AI 员工。
如果这套逻辑出现在一个网页上,大家可能骂几句就过去了。
网页能知道你什么?IP 地址、浏览器信息、设备特征。而且你知道它是远程服务。
但 Claude Code 是一个 Agent。
Agent 是什么?你可以把它理解为"能自己做事的 AI"。它不是你问一句它答一句的客服。它会读文件、改文件、写代码、跑命令、调外部工具,然后根据结果决定下一步做什么。
Anthropic 自己也很清楚这一点。官方安全文档写着:默认只读,编辑、测试、命令执行需要明确授权。还提供沙箱、权限规则、信任验证、网络审批、命令注入检测。
听起来很安全。
但你想想真实的开发流程。
你今天开了一个项目,Claude Code 弹窗说"需要读取文件",你点允许。
它说"需要运行测试",你点允许。
它说"需要执行命令",你点允许。
它说"需要修改配置",你点允许。
一个下午下来,你点了 20 次允许。
这就是审批疲劳。
审批疲劳的意思是你不再认真看每一个弹窗。你只想快点干活。
而这个工具如果本身有隐藏逻辑——你相当于在给一个你不完全了解的"员工"开门。
更核心的问题是:这个"员工"能看到什么?
一般成熟公司的代码仓库不会直接放密钥。但仓库里会有这些:
-
• 接口结构
-
• 数据库字段
-
• 内部服务名
-
• 部署流程
-
• 权限边界
-
• 测试环境地址
-
• 事故修复记录
这些信息拼起来,就是这个公司的工程系统地图。
Claude Code 官方也说:和模型的交互会通过网络发送用户提示和模型输出;商业用户默认保留 30 天;本地会话以纯文本存在 ~/.claude/projects/。
这不是说 Claude Code 不安全。
而是说:你必须把它当成高权限软件来治理。
Agent 的风险不是它知道多少,而是它被允许做多少。
四、这事不是孤例。Claude Code 已经成为攻击者眼里的富矿。
企业安全部门看这件事,不会只看那一枚 Unicode 撇号。
他们看的是整条攻击链。
2026 年 4 月,Trend Micro 发了一份报告,说 Anthropic 一次打包错误,把 Claude Code 约 51.2 万行 TypeScript 源码暴露了。
不是什么高级黑客攻击。就是发布 npm 包的时候,忘了删掉 source map 文件。
source map 是什么?你可以想象成一张"翻译对照表"。把经过压缩混淆的代码,精准还原回原始的、可读的版本。生产发布时如果忘了删掉这张对照表,就等于把内部实现暴露给全世界。
攻击者马上闻到味道了。24 小时内,GitHub 上出现了假的"Claude Code 泄露版"下载仓库。下载回来的,是 Vidar stealer 和 GhostSocks 代理恶意软件。
你以为是下了一个高级 AI 工具,结果电脑变成了黑客的代理节点。
另一个案例来自 Snyk。
Snyk 发现,2026 年一次针对 TanStack npm 包的供应链攻击中,恶意蠕虫会把文件写进 .claude/目录,包括 .claude/settings.json。然后利用 Claude Code 的 hooks 机制,在工具事件触发时重新执行恶意代码。
hooks,就是"某件事发生时自动执行某动作"。保存文件后自动格式化、提交前自动检查——这些都是合法的 hooks。
但在恶意软件手里,hooks 就是持久化入口。
你卸载了那个有问题的 npm 包,以为自己安全了。下次打开项目用 Claude Code,恶意脚本又被触发。
更激烈的是 Anthropic 自己披露的案例。
2025 年 11 月,Anthropic 报告说,一个中国国家支持背景的威胁行为者,操纵 Claude Code 尝试入侵约 30 个全球目标。攻击链包括侦察、漏洞利用、凭证收集、后门创建和数据外传。Anthropic 估计 AI 完成了 80% 到 90% 的攻击工作。
你看,不是 Claude Code 等于恶意软件。
而是:AI 编程 Agent,已经进入了网络攻防的真实链条。
当一个工具既能帮你写代码,也能被操纵写 exploit——
它就不能再用普通效率工具的标准来管。
五、你以为只是禁用通知。不,这是一场战争的微观战场。
现在把图放大。
Anthropic 为什么对中国代理、中国时区、中国 AI 实验室域名这么敏感?
因为前沿模型的能力,本质上是昂贵资产。
训练一个顶级 AI,要算力、要数据、要工程团队、要安全对齐、要长时间调参。动辄几亿美金。
如果有竞争对手能批量注册假账号、搭代理网络、向你的模型无限提问,然后把回答收集起来训练自己的模型——这是不是等于用你的资源养他的人?
这就是蒸馏攻击的商业痛点。
Anthropic 把它描述为一种绕过出口管制和地区限制的能力抽取。
从 Anthropic 的角度看,Claude Code 尤其值钱。因为它涉及 coding、tool use、agentic reasoning——这些正是 AI 编程工具含金量最高的能力。
所以它想在客户端做识别,理论上并不奇怪。
但从中国企业的角度看,这就是另一种画面。
一家美国公司的高权限本地编程工具,在代码里藏了针对中国时区、中国域名、中国 AI 实验室的识别逻辑。
即便目标是反滥用,企业安全部门也只有一句判断:这个工具的行为不可完全预期。
而阿里,恰好是被 Anthropic 公开指控"非法抽取 Claude 能力"的一方。
这时候禁用 Claude Code、推荐 Qoder,就不只是安全动作。
它是产业动作。
Qoder 强调国内大模型、国内部署、企业 VPC、专属版、知识增强、敏感信息过滤、安全审计。
VPC 是什么?虚拟私有云。你把它理解成云上的隔离网络。你的代码和提示词在可控网络里流动,而不是穿过不可控的境外服务。
这些词对普通开发者可能不太性感。但对大企业安全部门,字字都打在痛点上。
模型战争打到最后,争夺的不是某个回答有多好。而是谁有资格坐进开发者的终端。
六、企业该学的,不是跟风封禁。是建立 AI Agent 准入制度。
很多公司看到这个消息,第一反应肯定是"我们也禁了吧"。
这太粗了。
真正要做的,是四层治理。
第一层:准入。
任何一个能读代码、改文件、跑命令的 AI 工具,都得回答这些问题:
-
• 你的客户端里到底在干什么?
-
• 你的网络出口连到哪里?
-
• 你的行为变更写进 release notes 了吗?
-
• 你的 SBOM(软件物料清单)能提供吗?
如果存在隐藏逻辑,准入评分直接下降。
第二层:隔离。
AI Agent 默认不应该进生产仓库。
正确做法:先放 dev container、虚拟机、受限网络、只读仓库副本里。禁止生产凭证、客户数据、核心密钥进入 Agent 可见范围。
dev container 就是开发容器——把开发环境装进一个隔离箱里,工具就算出问题,也只能在这个箱子里折腾。
第三层:审计。
审计不只是看模型回答了什么。还要审计:
-
• 读了什么文件
-
• 改了什么文件
-
• 执行了什么命令
-
• 访问了什么网络地址
-
• hooks 配置有没有变化
-
• MCP server 有没有新增
特别要盯住 .claude/settings.json、.vscode/tasks.json、Git hooks、CI 配置、npm scripts 这些自动化入口。它们是供应链攻击最喜欢的地方。
第四层:替代与例外。
不是一刀切。
-
• 金融、政务、核心平台团队 → 私有化、国内部署、本地模型。
-
• 低敏项目、开源项目、隔离沙箱 → 可以继续评估国际工具,但要有审批和日志。
关键不是"谁都不能用"。关键是:不同数据级别,不同治理策略。
企业不需要迷信某个 AI 工具,企业需要掌握 AI 工具的控制面。
七、这不只是 Claude Code 的事。这是 AI 编程工具的成人礼。
过去两年,AI 编程工具比的是三件事:
谁写的代码更准。
谁记得的上下文更多。
谁的 Agent 能跑得更远、改得更多。
Claude Code 在这三点上都很强。这也是为什么这么多开发者喜欢它。
但阿里这个事件,会加入新的比拼维度:
谁的客户端更透明。
谁的网络出口更清楚。
谁的权限模型可被第三方审计。
谁能让企业管理员开开关关,而不是靠逆向工程才知道软件在干什么。
这不是 AI 编程的倒退。
恰恰相反,这是一个行业从玩具变成基础设施必须经历的成人礼。
你想想:当汽车刚发明的时候,谁在乎它有没有安全带、刹车灯、碰撞测试?大家只在乎它能不能跑。
但汽车变成城市基础设施以后,这些东西就不再是"额外加分",而是"入门门槛"。
AI Agent 正在经历同样的转变。Anthropic 可以反滥用,可以反蒸馏,可以保护自己的模型资产。这些都没问题。
但它必须回答一个根本问题:如果你的防御手段会影响用户的安全,你敢不敢写在文档里,让用户知情?
信任,不是一个可选项。它是 Agent 产品的核心资产。
信任一旦被消耗,企业会用最直接的方式回答你:
从办公环境移除。
最后的判断
阿里禁用 Claude Code,不是简单的民族技术替代。
也不是 Claude Code 已被证明是恶意后门。
更准确的画面是:Claude Code 被发现存在面向代理、时区、域名的隐蔽标记机制。这个机制更像反滥用指纹,而不是传统恶意后门。但由于它发生在高权限 AI 编程 Agent 里,又叠加了 Anthropic 与中国 AI 实验室之间的反蒸馏冲突,因此足以触发大型企业的安全禁用。
Qoder 的登场,是安全处置,也是控制面迁移。
这件事的长期意义,不在于 Claude Code 会不会少一个客户。
它是标杆事件。
从此以后,所有 AI 编程工具的入场券不再是"能写多好的代码",而是"能不能被企业像员工一样信任"。
下一代 AI 编程工具,拼的不是谁更像程序员。是谁更像一个可靠的同事。
延伸阅读 / 参考来源:
-
• Reuters via MarketScreener, 2026-07-03:Alibaba to ban Claude Code in workplace over alleged backdoor risks
-
• 第一财经, 2026-07-03:阿里内部全面禁用 Claude Code
-
• The Register, 2026-07-01:Anthropic is removing its covert code for catching Chinese competitors
-
• GitHub Gist:Claude Code Anti-China Code Analysis
-
• Anthropic, 2026-02-23:Detecting and preventing distillation attacks
-
• Taipei Times, 2026-06-26:Anthropic says Alibaba illicitly pulled from Claude
-
• Claude Code Docs:Security/ Data Usage/ Network Config
-
• Trend Micro, 2026-04-03:Weaponizing Trust Signals: Claude Code Lures and GitHub Release Payloads
-
• Snyk:TanStack npm Packages Hit by Mini Shai-Hulud
-
• Anthropic, 2025-11-13:Disrupting the first reported AI-orchestrated cyber espionage campaign
-
• 阿里云文档:什么是 Qoder CN 系列
-
• Qoder Docs:产品概述