去年 Cloudflare 重新定义了网络爬虫的访问权限,引发了互联网对数据保护的重新思考。这个月,另一条权力线正在浮现:企业开始严格审视哪些外部 AI 工具可以进入内网。
阿里的这次禁令,表面上是对 Claude 的清理,实际上标志着企业 AI 的第一道防线正在收紧。这不是阿里的个别行动,而是一个行业信号——当 AI Agent 和编程工具开始真正进入生产环节,企业不再只问"能不能用",开始问"能不能审计、能不能信任"。
根据多家中文科技和财经媒体 7 月 3 日的报道,阿里巴巴内部已下发通知,全面禁用 Anthropic 旗下产品,覆盖范围包括 Claude Sonnet、Opus、Fable 等多个系列模型,以及 Claude Code 等 Agent 工具。禁令于 7 月 10 日正式生效,要求全体员工在办公环境下卸载相关应用。

阿里同时建议员工使用 Qoder 作为替代工具。Qoder 是阿里自研的 AI 编程助手,与通义千问系列大模型深度集成,数据完全留存在阿里内部。
从功能层面看,这次禁用的范围很广。Claude Code 是 Claude 的编程 Agent 版本,能够直接调用用户的开发环境、读取本地代码、生成代码建议并执行操作。对于像阿里这样拥有大量复杂代码库和内部系统的大型科技公司而言,这是一个接触点。禁用它意味着一整条工作流被切断——工程师之前可能已经习惯在代码编写中依赖 Claude Code 的实时协助。
更耐人寻味的是,禁令不仅针对 Claude Code,也涵盖了纯对话类的 Claude 模型。这说明阿里的担忧不只是某个特定功能的风险,而是对整条 Anthropic 产品线的系统性评估。
这次禁令的导火索,据报道与 Claude Code 中被曝存在的用户检测机制有关。
根据多个开发者的逆向分析和报道,Claude Code 从 2.1.91 版本开始,会在用户使用代理时进行环境检测。具体来说,它会检查系统时区是否为 Asia/Shanghai 或 Asia/Urumqi,并判断代理 URL 是否指向中国域名。如果检测到这些特征,会在内部日志中加入特殊标记。

这是一个极其隐蔽的机制。用户在正常使用 Claude Code 时,完全无法看到这个检测过程。代码被嵌入在客户端底层,不会在界面或日志中显示任何提示。这种设计方式引发了广泛的争议——既有关于功能可信性的担忧,也有关于用户知情权的讨论。
Anthropic 方面曾就此进行过说明。根据 Anthropic Claude Code 负责人的表述,这套检测代码是在三月份推出的一项"实验",目的是防止"未经授权的中转站滥用账户"以及防范"蒸馏攻击"(distillation attack——即利用虚假账号与模型交互,来复制和训练竞争对手的模型)。换句话说,Anthropic 声称这是一道安全防线,而不是功能限制。
但这个解释并未完全消除疑虑。一是因为检测机制的隐蔽性——如果是出于防护目的,为什么不明确告知用户?二是因为后续发展——即便 Anthropic 承诺回滚相关代码,信任一旦破裂就很难恢复。
要理解阿里这次禁令的背景,还需要看 Anthropic 和阿里之间的历史摩擦。
根据《华尔街日报》在 2026 年 6 月 25 日的报道,Anthropic 曾向美国国会议员发送信件,指控阿里巴巴及其 AI 部门——通义千问团队——进行了"迄今为止已知最大规模的蒸馏攻击"。Anthropic 声称,阿里创建了近 2.5 万个虚假账户,通过与 Claude 进行交互来提取该模型的能力,用于训练自己的竞争模型。
Anthropic 进一步指出,这些操作违反了其服务条款和地域限制政策——Claude 在中国本不提供官方服务,任何中国用户的访问都是通过代理等变通方式进行的。
这些指控从未被阿里官方正式回应。但从行为上看,阿里的禁令似乎是一种对抗性的回应——既然 Anthropic 指控我们滥用,那我们索性把你的工具都请出去。
这次禁令的真实含义,不仅仅是一次工具替换,而是企业对"什么样的外部 AI 工具可以接近我们的核心资产"这个问题的具体回答。
当 AI 编程工具足够强大时,它就不再只是"一个聊天框",而是成为了代码开发流程中的一个操作者。它会读取代码库的结构、理解业务逻辑、建议改动、甚至执行某些操作。这种深度的系统集成,意味着工具供应商实际上获得了对企业内部重要资产的可见性。

更敏感的是,这些工具通常会将交互数据回传到供应商的服务器。Claude Code 每一次用户的请求、每一段被分析的代码,都会被发送到 Anthropic 的服务器进行处理。从企业信息安全的角度,这是一个重大的攻击面。
企业需要回答的问题包括:
第一,数据会被如何处理?是仅用于实时推理,还是会被用于模型训练和优化?Anthropic 或许没有恶意,但一旦有指控,企业如何应对?
第二,供应商的立场是否可信?如果供应商与某个地区或国家的政策产生冲突,它是否会改变对该地区用户的处理方式?Claude Code 的隐藏标记正是这种担忧的具体化。
第三,一旦出现问题——比如代码泄露、功能失效、或者供应商改变政策——企业的回滚成本有多高?替代方案是否足够成熟?
这些问题没有完美的答案,但它们正在推动企业做出实际的决策。大企业倾向于建立内部 AI 工具链,中小企业则开始建立白名单和黑名单,所有人都在重新评估"信任"这个因素在工具选择中的权重。
阿里禁令后立即推荐 Qoder,这不只是一次市场机会,更是一次对产品成熟度的公开赌注。
Qoder 是阿里自研的 AI 编程助手,基于通义千问大模型。相比于 Claude Code 的"不可控性",Qoder 有一个明显的优势:数据完全可控。代码、请求、日志,所有的东西都留在阿里的服务器上,不会流向任何外部供应商。这对于在意数据安全的企业而言,是一个强有力的卖点。
同时,阿里在 7 月 3 日还开源了 Page Agent,一个让大模型直接操纵网页 DOM 的 JavaScript 库。这看起来是一个独立的技术动作,实际上是阿里在构建一个完整的、可控的 AI 工具生态——从代码编程(Qoder)到网页操作(Page Agent),都用通义系的模型,所有的数据和日志都在阿里的控制范围内。

这种"可控性优先"的策略,对比 OpenAI、Anthropic 这样的"能力优先"的路线,代表了两种不同的商业和安全哲学。Qoder 或许在代码理解和生成的原始能力上不如 Claude Code 成熟,但这个差距可以通过时间弥补,而可控性是无法从竞争对手那里补充的。
这次禁令的深层含义,落在四个具体的变化上:
第一,外部 AI 工具进入企业内网的门槛正在提高。不是简单的"能不能用",而是要通过越来越复杂的安全评估。能否审计、是否透明、供应商的地域政策是什么,这些都成了硬要求。
第二,能力不再是唯一的竞争维度。过去企业选择工具,主要考量是功能强弱。现在还要考虑可控性、可隔离、可替换的难度。Claude Code 功能强,但这次被禁;Qoder 功能可能稍逊,但可控性强,就获得了内部采购的资格。
第三,大型企业会倾向于自建或采购可控的工具链,而中小企业则会被迫进入平台方的生态。阿里禁用 Claude 并推荐 Qoder,实际上是在强化"通义系工具"的内部垄断。这在短期内是安全的,但长期可能造成创新激励不足——工程师如果不能用最好的工具,产出就会受影响。
第四,AI Agent 和编程助手真正进入生产环节之前,企业需要先建立"权限模型"。换句话说,AI 能看什么、能做什么、日志留在哪里、误操作怎么回滚、谁来审计,这些必须全部定义清楚。光是功能好远远不够。

从大面上看,这是 AI 工具从"玩具阶段"进入"生产阶段"的一个标志。玩具时期,企业容忍风险,追求新鲜感。生产时期,企业开始要求可靠性、可审计性、可追责性。这个转变对整个 AI 应用生态的影响是深远的——它会加速大厂建立专有工具的步伐,也会加大中小开发者的集成成本。
首先,阿里是否会公开详细说明禁用原因。目前官方尚无正式声明,只有媒体报道和内部通知。如果阿里能够直言不讳地阐述安全考量,会提高企业对这一决策的理解度,同时也会向业界释放信号——可控性正在成为企业采购 AI 工具的一票否决因素。
其次,Anthropic 是否会正面回应中国用户的隐藏标记问题。承诺回滚代码还不够,需要更透明的政策说明——为什么要做这种检测,检测到中国用户后会如何处理,是否有其他类似的机制存在。信任的恢复需要时间和持续的透明度。
再次,Qoder 和通义系工具是否能借此机会获得内部和外部的大量应用。禁令之后,阿里员工别无选择,只能用 Qoder。但问题是,Qoder 的稳定性和能力是否能经受突然增加的使用量?这也是一次对阿里技术基础设施的真实考验。
最后,其他中国科技企业是否会跟进限制外部 AI 编程工具。字节、腾讯、百度这样的大厂,是否也会评估并禁用 Claude 或其他外部工具?如果形成行业趋势,将会重塑整个 AI 工具市场的竞争格局——从全球竞争转向区域化竞争。
这次禁令也暴露了一个困境。从安全角度,阿里的决策是合理的——既然无法完全信任一个外部工具,禁用它是最直接的办法。但从创新和效率的角度,禁用最强的工具也带来了代价——工程师失去了最好用的编程助手。
Anthropic 面临的也是同样的困境。从防护角度,检测中国用户的特征是为了防止滥用。但这种隐蔽的做法反而破坏了信任——用户现在要怀疑,还有没有其他隐蔽的机制在监控自己的行为。
这背后的根本问题是:当一个工具掌握了用户的核心资产(代码、数据、业务逻辑),信任就不能再只依靠功能的好坏,而必须依靠供应商的透明度和制度保障。透明度和制度的建立,需要的不仅是口头承诺,而是可验证的、可审计的、可追责的机制。
在这个意义上,中国企业禁用 Claude 并不是民族情绪的表现,而是对"AI 工具供应商应该如何对待用户数据和信任"这个问题的一种实际投票。这个投票会传导到全球 AI 工具的开发方,推动他们进一步完善透明度和审计机制。即便 Claude 最终在中国恢复使用,这个警醒也会持久地影响企业的采购决策。
夜雨聆风