阿里集团已通过内部通知,将从 2026 年 7 月 10 日起禁止全体员工在工作环境中使用 Anthropic 的 Claude Code。通知将 Claude Code 定性为"近期被发现存在后门风险"的高危软件,列入安全漏洞清单,并要求员工改用阿里自研的编程助手 Qoder。据 Tom's Hardware 等媒体援引知情人士的消息,禁令范围实际超出了 Claude Code 本身——员工被要求卸载所有 Anthropic 产品,包括 Sonnet、Opus 和 Fable 系列模型。
这则消息由中文财经媒体第一财经率先报道,随后路透社通过独立信源证实。阿里和 Anthropic 均未就禁令发表官方声明。但事件的冲击力不在两家公司的沉默,而在于它揭示了一个正在加速的趋势:代码 Agent 不再被视为"高级聊天机器人",企业开始用审视网络软件的标准来审视它们。
Claude Code 的隐藏代码到底做了什么
禁令的导火索是 6 月 30 日 Reddit 上的一篇帖子。用户 LegitMichel777 在 r/ClaudeAI 板块发文称,他在尝试恢复 Claude Code 一个被禁用的远程控制功能时,逆向工程发现了一段隐藏的检测逻辑。
根据多份技术分析汇总,这段代码自 2.1.91 版本(4 月 2 日发布)起就静默存在于 Claude Code 中,发布说明中从未提及。其工作机制分为三层:
触发条件。 当 Claude Code 检测到用户通过代理连接(环境变量 ANTHROPIC_BASE_URL 被修改),代码会检查系统时区是否匹配 Asia/Shanghai 或 Asia/Urumqi,并将代理 URL 与一个硬编码列表比对。该列表包含约 147 个中国相关实体,涉及企业网络、云区域和 AI 实验室——阿里巴巴、百度、字节跳动、蚂蚁集团、月之暗面等均在其中。实体名称和域名使用 XOR-91 加密和 base64 编码隐藏,普通文本搜索无法发现。
信号编码。 一旦匹配成功,工具不会发送明码遥测信号,而是通过隐写方式在系统提示词中编码检测结果:将日期格式从 2026-06-30 改为 2026/06/30,并用三个肉眼不可区分的 Unicode 撇号字符之一替换标准 ASCII 撇号,分别对应不同的检测组合(中国时区/中国代理/中国 AI 实验室)。
数据传输。 修改后的系统提示词随正常 API 请求发回 Anthropic 服务器,用户端无任何可见提示——但对 Anthropic 而言,这是一条机器可读的分类标记。
Anthropic 没有否认该机制的存在。Claude Code 团队成员 Thariq Shihipar 在 X(原 Twitter)上回应称,这是"我们在 3 月启动的一个实验,目的是防止未经授权的转售商的账户滥用行为,并防御模型蒸馏"。他表示团队"本来就打算移除这段代码",对应的 Pull Request 已于 7 月 1 日合并。但此时距离代码首次合入已过去整整三个月。
为什么代码 Agent 比聊天机器人敏感得多
要理解阿里禁令的合理内核,必须先理解 Claude Code 与普通 AI 聊天产品的本质差异。
Claude Code 是一个命令行代码 Agent,而非一个对话界面。它的设计定位是直接在开发者的终端中运行,天然具备以下权限:读取整个代码仓库的文件结构、编辑和创建文件、执行 Shell 命令、管理 Git 工作流、通过 MCP(Model Context Protocol)连接外部工具和 API、访问环境变量(其中常包含数据库密码和 API 密钥)。
这意味着,一个在底层嵌入隐蔽检测逻辑的代码 Agent,其风险面远大于一个仅处理文本的聊天机器人。Docker 在一份 2026 年的安全分析中记录了至少 10 起已公开的 AI 编码工具事故,横跨 Claude Code、Amazon Kiro、Replit AI Agent、Google Antigravity IDE 和 Cursor 等六个主流产品,失败模式集中在六个关键风险类别:越权文件操作、密钥泄露、依赖注入、未经审查的命令执行、工作区边界突破,以及未声明的网络外联。
当一家企业让开发者把这样一个工具装在工作终端上,它实际是在授权的不是一个"助手",而是一个带有文件系统和网络访问权限的自动化代理。在这种情况下,任何未经披露的客户端行为——无论动机是反滥用还是反蒸馏——都会触发安全团队最核心的审查逻辑:这个软件在用户不知情的情况下做了什么?
阿里内部通知中的措辞——"经综合评估,列入存在安全漏洞的高风险软件清单"——并非简单的中美对抗语言,而是一份标准的企业安全准入评估结论。
蒸馏争议是这个故事的前半部分
Claude Code 隐藏代码事件并非孤立发生,而是叠在一条已经燃烧了两个月的导火索上。
6 月 10 日,Anthropic 向美国参议院银行委员会领导人致信,指控与阿里 Qwen 实验室相关的运营者在 4 月 22 日至 6 月 5 日期间,使用约 25,000 个欺诈账户生成了约 2,880 万次 Claude 交互,构成 Anthropic 所描述的"规模最大的非法能力提取行动"。阿里未就此公开置评。
在此之前,Anthropic 已于 2 月公开指控 DeepSeek(超过 15 万次交互)、月之暗面(超过 340 万次交互)和 MiniMax(超过 1,300 万次交互)进行了工业规模的模型蒸馏攻击。Anthropic 在官方博客中详细描述了这些实验室如何通过代理服务搭建"九头蛇集群"架构——一旦某个账户被封禁,新账户立刻替代——来规避检测。
Anthropic 是目前唯一一家明确禁止向中国境内实体及其海外子公司提供商业服务的前沿 AI 公司。中国开发者要使用 Claude Code,本身就必须通过代理。因此,一段以"检测代理+中国时区+中国 AI 实验室域名"为触发条件的隐藏代码,在中方视角下会自然被解读为一种定向监控机制,而非通用的反滥用过滤器。
无论 Anthropic 的真实意图是什么,当反蒸馏措施以客户端隐写 + 未披露的识别逻辑的形式出现时,它已经跨过了企业安全团队会接受的那条线。
这不是孤例:Meta 也在收紧
阿里是第一个因隐藏代码问题正式禁用 Claude Code 的大型企业,但并非第一个对代码 Agent 施加内部限制的科技公司。
6 月下旬,The Information 披露了 Meta 的内部文件,显示 Meta 已对旗下应用 AI 工程部门的工程师使用 Claude Code 和 OpenAI Codex 施加了严格限制。一份内部备忘录甚至要求部分团队暂停使用外部工具的任务,警告竞争产品的输出可能"渗入 Meta 的训练数据",引发"与合作伙伴公司的严重升级事件"。
与阿里不同,Meta 的限制动机是防止无意的模型蒸馏:Meta 正在开发自研编程工具 MetaCode,如果工程师在开发过程中大量使用竞争对手的代码 Agent,Meta 可能在不经意间用对手模型的输出训练自己的系统——这在法律和竞争层面都构成了风险。Google 也被报道限制了 Meta 使用 Gemini 模型进行编程的量。
这些案例指向同一个趋势:头部科技公司正在将代码 Agent 从"生产力工具"重新归类为"供应链风险"。这一分类转变的意义不亚于当年企业将浏览器从"办公辅助"升级为"攻击面"。
代码 Agent 正在进入安全准入时代
2026 年的企业 AI 部署正在经历一个结构性转变。Gartner 将"Agentic AI 治理"列为 2026 年顶级网络安全趋势之一,理由正是大多数组织部署 Agent 的速度远超治理框架的跟进速度。
代码 Agent 的特殊性在于,它同时触及了企业安全模型中最敏感的几层:
- 身份与凭证层:Agent 通常以当前用户身份运行,继承其全部文件系统权限。开发者的终端往往存储着 SSH 密钥、云服务凭证、内部仓库的访问令牌。
- 代码资产层:Agent 天然需要读取和修改源代码——这是大多数科技公司最核心的知识产权。
- 供应链层:Agent 的更新机制、依赖库、远程配置下发通道都是潜在的供应链攻击面。如果一家 AI 公司可以在客户端中嵌入未被记录的检测逻辑并静默运行三个月,那么安全团队必然会追问:还有什么我们不知道的?
- 网络边界层:代码 Agent 的 MCP 工具连接、远程会话功能、CI/CD 集成意味着它可能成为跨越企业网络边界的数据通道。
安恒信息、奇安信等中国安全厂商近期已在报告中提示企业注意 AI 编码工具的客户端行为审计。而这并非中国特色——Forcepoint 在 2026 年的一份报告中指出,"当 Agent 在跨企业基础设施中自主行动时,其访问权限、记忆、工具集成以及与其他 Agent 的连接,都变成了潜在的攻击面"。
阿里禁令的真正信号在于:这是第一家因客户端隐蔽行为——而非竞争策略或成本考量——正式禁用特定代码 Agent 的大型企业。它设定了一个先例,即代码 Agent 厂商的客户端透明度和可审计性将成为企业采购评估的前置条件,而非事后要求。
悬而未决的问题
截至禁令生效日期 7 月 10 日之前,仍有几个关键问题没有答案。
首先,没有独立的第三方安全审计确认 Claude Code 中隐藏代码的完整行为。Reddit 用户的逆向工程分析虽然详实,但未经过正规安全厂商的验证。Anthropic 表示已移除相关代码,但未承诺对产品进行全量审计或公开审计结果。
其次,阿里的禁令范围尚不完全明确。包括 Tom's Hardware 在内的多家媒体援引知情人士称,禁令覆盖所有 Anthropic 模型产品,而不仅是 Claude Code。如果属实,这意味着阿里不仅禁掉了一个工具,实质上切断了与 Anthropic 的全部软件供应关系。
第三,其他中国大型企业是否会跟进尚不可知。字节跳动和百度同样出现在 Claude Code 隐藏代码的检测名单中,这两家公司拥有大规模开发者团队和自研代码助手(百度的 Comate、字节的 MarsCode)。如果它们效仿阿里的做法,将构成对海外代码 Agent 在中国市场的实质性准入壁垒。
最后也是最重要的,代码 Agent 的安全评估标准目前不存在。和浏览器有 CORS 同源策略、移动应用有沙箱权限模型不同,代码 Agent 的安全模型基本上是"信任厂商",缺乏行业共识的审计框架。任何客户端 Agent 本质上都有能力执行其开发者编写的任意代码——阿里事件把这层窗户纸捅破了。
阿里禁用 Claude Code 的直接原因是特定的技术与政治摩擦。但它抖落出的尘埃揭示了一个更大的轮廓:当代码 Agent 从实验性工具变成生产环境中的标准配置时,"信任厂商"不再是可接受的安全策略。 企业安全准入的大门正在对代码 Agent 关上——而推门的,不只是一家公司。
