一个程序员早上打开电脑,准备让 Claude Code 帮他改一个祖传 bug。
下午,祖传 bug 还在,Claude 先被公司列入了“高危软件”。
这件事有一种很当代的黑色幽默:过去我们担心 AI 抢人类饭碗,现在大厂先担心 AI 把饭碗里的配方、厨房里的钥匙、老板没写完的商业计划一起端走。
过去几年,Claude 尤其是 Claude Code 在开发者圈子里几乎有点“白月光”地位。它不只是聊天机器人,而是能读代码库、改文件、运行命令、写测试、提 PR、接 MCP 工具的编程智能体。换句话说,它不是坐在会议室里给你鼓掌的实习生,它是能拿到仓库钥匙、进后厨、开火、切菜,还顺便翻一下采购单的那种实习生。
所以,当媒体报道阿里将从 2026 年 7 月 10 日起在办公环境中禁止员工使用 Anthropic 的 Claude Code,并把它加入受限软件列表时,这件事就不应该被理解成“阿里讨厌 Claude”。
更准确地说,它像一个信号:
AI 工具已经不再只是工具。它正在变成企业的操作系统入口、代码资产入口、数据资产入口和地缘政治入口。
一旦 AI 变成入口,禁用就不再是技术选择,而是安全选择、商业选择、合规选择,以及某种很微妙的姿态选择。
先把事实边界说清楚
这件事需要先做一次“冷水浇头”。
截至本文写作时,我能看到的公开信息主要来自外媒对一财报道的转述。报道核心是:阿里将 Claude Code 标记为高风险软件,要求员工在办公环境中停止使用,并建议改用内部或替代工具 Qoder。
但这里有三个边界必须讲清楚。
第一,公开报道指向的是 Claude Code,尤其是它作为开发工具在办公环境中的使用,而不是阿里官方公开宣布“永久封杀所有 Claude 相关服务”。标题可以有戏剧性,事实不能跟着标题一起喝大了。
第二,“高危软件”和“存在后门”不是同一个概念。企业安全部门把一个工具列入高危,可能因为它能访问本地文件、运行命令、连接外部服务、上传上下文、调用插件,也可能因为供应商服务条款、地区限制、监管风险、数据出境风险。真正的后门指控需要可复现的技术证据,公开报道里目前没有足够材料完成这个判断。
第三,阿里和 Anthropic 双方都没有必要把话说得太满。阿里不一定会公开解释所有内部风控逻辑,Anthropic 也不一定会把它用于识别违规访问、滥用、模型蒸馏的机制摊在阳光下晒。一个说“我这是安全”,另一个说“你这是监控”。在 AI 时代,这种对话会越来越像离婚律师写的邮件:每个词都对,但每句话都不能让人舒服。
所以本文的判断方式是:
事实归事实,报道归报道,猜测归猜测,产业逻辑归产业逻辑。
我们真正要分析的,不是阿里有没有讨厌 Claude,而是为什么一个中国科技巨头会在 2026 年对一款美国 AI 编程工具说:你很好,但请离我的代码库远一点。
Claude Code 到底危险在哪里?
普通读者可能会问:一个写代码的 AI 助手,危险能危险到哪里去?
答案是:危险不在于它会不会写坏代码,而在于它为了写好代码,必须看见太多东西。
传统 SaaS 工具通常只处理一个明确场景。比如文档工具看文档,会议工具听会议,代码托管平台管代码。Claude Code 这类智能体工具不一样,它的价值恰恰在于跨边界。
它可以理解整个代码库。
它可以读取项目结构、接口文档、配置文件、测试日志。
它可以运行命令。
它可以使用 Git。
它可以接入 IDE、终端、CI/CD、Slack、GitHub、MCP 工具。
它可以把一个模糊需求拆成计划,然后跨多个文件修改,再验证结果。
这就是它好用的原因。
也是它让企业安全部门睡不着的原因。
一个普通聊天机器人最多像一个“外包脑子”。Claude Code 更像一个“带执行权限的外包脑子”。它不只是帮你想,它还帮你动手。动手意味着权限。权限意味着风险。风险意味着安全部门的 KPI 终于有了主角。
对于个人开发者,这很爽。对于一个有海量业务、支付、电商、云计算、供应链、广告系统、用户数据和内部基础设施的大公司,这件事就没那么浪漫。
让一个外部智能体进入内部开发环境,相当于邀请一个能力极强、记忆力极好、服务条款由美国公司控制、地区访问规则可能随时变化的外部协作者坐进办公室。
它也许是天才。
但天才也需要门禁卡。
阿里为什么要禁?第一层:数据安全
最表层的理由当然是数据安全。
代码不是普通文本。代码里藏着企业最真实的秘密。
产品路线藏在未发布分支里。
风控策略藏在规则引擎里。
推荐逻辑藏在排序特征里。
商业关系藏在接口命名里。
架构债务藏在注释里。
程序员的脾气藏在 commit message 里。
一个大型互联网公司的代码库,几乎就是这家公司的“数字内脏”。外人看财报,只能看到皮肤;看代码,能看到它消化不良、睡眠不足、哪里长过结节。
Claude Code 的官方文档强调其安全设计,包括默认只读权限、敏感操作需要用户批准、沙箱、写权限限制、网络命令审批等。这些机制对个人和团队当然有价值。但企业安全的逻辑不是“供应商说它有防护,所以我放心”,而是“我能否审计、控制、追责、替换、隔离、合规证明”。
在中国大型企业环境里,问题更复杂。
如果代码、日志、配置、Prompt、报错信息、接口路径被发送到境外服务,是否构成数据出境?
如果业务涉及消费者、商家、金融、云客户,是否触碰更高等级的数据分类?
如果员工用个人账号、代理服务、第三方中转访问模型,企业怎么审计?
如果模型输出被用于生产系统,责任链条在哪里?
如果供应商突然改变地区政策,内部研发流程会不会被卡脖子?
注意,这里并不需要证明 Claude Code 真的“偷了什么”。企业做风控时,很多时候不是因为已经发生事故,而是因为某个组合拳太难解释。
一个工具能读代码,能连外网,能调用命令,服务方又位于地缘敏感国家,使用地区还有政策限制。
安全部门看见这个组合,大概会产生一种朴素而坚定的冲动:
先关了再说。
这不是技术洁癖,这是大型组织的生存本能。大象走路不怕慢,怕的是脚底下突然出现一根没人备案的网线。
第二层:合规风险,比后门更现实
很多人把这件事讨论成“Claude 有没有后门”。这当然刺激,但未必是最重要的问题。
更现实的问题是:Claude 对中国大陆企业本来就不是一个稳定、合规、可长期依赖的基础设施。
Anthropic 官方支持地区页面没有列出中国大陆和香港。其使用政策也明确禁止绕过支持地区限制,以及未经授权使用输入输出训练其他 AI 模型,也就是常说的模型蒸馏或模型抓取。
这意味着一家中国大公司如果在内部大规模使用 Claude,至少会遇到三个麻烦。
第一,账号和访问路径不稳定。员工可能通过海外主体、代理、中转、云服务间接访问。这对个人来说叫“办法总比困难多”,对企业来说叫“审计地狱欢迎你”。
第二,供应商有权限制、暂停或终止访问。今天你把研发流程建在 Claude 上,明天对方加强风控,你的工作流就可能变成一座精装修烂尾楼。
第三,合同与监管解释成本很高。越是大公司,越不能把核心生产力工具建立在“大家都懂但最好别写出来”的访问方式上。灰色路径在创业公司叫灵活,在巨头内部叫事故预演。
从这个角度看,阿里禁用 Claude Code 并不需要等到“后门实锤”。只要它处在一个合规不稳定、审计不透明、地区政策敏感的位置,内部禁用就有充分理由。
说得黑色幽默一点:
如果一个工具好用到所有员工都想偷偷用,而公司又很难合法、稳定、可审计地让他们用,那它在组织里就不是生产力工具,而是生产力走私。
走私再高效,也不能写进制度。
第三层:阿里自己的 AI 生意,不能永远给别人打工
还有一个更商业的理由。
阿里不是一家普通公司。它不是“用户”,它是云厂商、模型厂商、开发平台厂商、电商基础设施厂商。
阿里正在把 AI 变成下一代增长引擎。公开报道显示,阿里已经承诺在三年内投入至少 3800 亿元人民币发展云计算和 AI 基础设施;其云业务增长也明显受到 AI 需求拉动。Qwen/通义千问不只是一个聊天产品,而是阿里云、淘系、电商、企业服务、智能体工具链共同指向的底层模型资产。
在这种背景下,如果阿里内部研发大量依赖 Claude Code,会出现一个很尴尬的画面:
对外卖 Qwen。
对内用 Claude。
对客户讲国产模型可用。
对员工说美国工具更香。
这就像一家新能源车企发布会上大谈自研电池,散场后高管集体坐油车回家。不是不能坐,但镜头最好别拍到。
所以,禁用外部工具也可能是一种内部“吃自己的狗粮”。如果阿里要让 Qwen、Qoder、通义灵码或其他内部智能体成为企业级开发工具,它就必须逼内部团队真实使用。真实使用会暴露问题,暴露问题才会迭代。
AI 工具链的竞争不是 PPT 竞争,而是日常痛苦竞争。
谁能承受自己员工骂得最狠,谁就更可能做出企业真正需要的产品。
从这个角度看,禁用 Claude 不只是“防外敌”,也是“练内功”。把外部最强替代品撤掉,内部工具才有机会被迫走上前线。只是这个过程往往不浪漫,甚至很像公司食堂宣布“为了支持自有品牌,从今天起只供应本食堂研发的咖啡”。员工会理解战略,也会怀念拿铁。
第四层:开发者工具正在变成战略入口
再往深处看,真正变了的是开发者工具的地位。
过去,IDE、终端、代码助手都是“边缘工具”。它们提高效率,但不决定权力结构。
现在不一样。
AI 编程智能体正在变成软件生产的入口。它不仅写代码,还理解需求、拆任务、生成测试、读文档、连接工具、沉淀经验。未来企业知识库、代码库、项目管理、客户反馈、线上日志都可能通过智能体汇合。
谁控制这个入口,谁就能看到企业如何工作。
谁积累这些工作流数据,谁就能优化下一代模型。
谁定义智能体权限、插件协议、上下文格式,谁就能定义企业数字劳动的接口标准。
这已经不是“用哪个编辑器更顺手”的问题,而是“你的企业大脑外接在哪个插座上”的问题。
对阿里这样的公司来说,把这个插座交给 Anthropic,不只是安全风险,也是战略风险。
对 Anthropic 来说,限制中国企业访问也不只是合规动作,更是保护自己模型优势、减少被蒸馏、减少被政策反噬的战略动作。
双方都不是小白兔。
阿里怕自己的代码和数据变成别人的训练养料。
Anthropic 怕自己的模型能力变成别人追赶的捷径。
一个担心“你看我”。
一个担心“你学我”。
AI 时代的大公司关系,有时候像两个武林高手一起吃火锅:都在笑,都在夹菜,但筷子从来没有离开过对方手腕三厘米。
Anthropic 为什么也会这么做?
如果只从阿里角度看,容易把故事写成“中国公司防美国工具”。
但 Anthropic 这边也有自己的逻辑。
Anthropic 一直强调安全、合规、负责任 AI。它的官方使用政策明确写着,会通过检测和监控执行政策;违反政策可能导致限流、暂停或终止访问。政策还禁止绕过地区限制,禁止未经授权用输入输出训练模型。
这套规则不是装饰品。对 Anthropic 来说,它至少服务于三件事。
第一,满足美国监管和国家安全压力。AI 前沿模型已经被视为战略技术,尤其涉及代码、网络安全、漏洞分析、自动化执行能力时,更容易被纳入出口管制、滥用防范和国家安全讨论。
第二,保护商业护城河。前沿模型公司最怕的不是普通用户问它今天吃什么,而是竞争对手规模化调用它,让它当免费老师,训练自己的学生。模型蒸馏在技术上很常见,在商业上很敏感。你可以说这是学习,也可以说这是抄作业;区别往往取决于律师费由谁支付。
第三,降低事故责任。Claude Code 这种工具越强,越可能被用于自动化攻击、漏洞发现、代码注入、供应链攻击。Anthropic 如果不做监控和限制,一旦出事,会被监管问:你们知道它有多强,为什么还放任?
所以,Anthropic 的矛盾在于:它既想让 Claude Code 成为全球开发者的生产力工具,又必须证明自己没有把一把电锯扔进幼儿园还说“请文明使用”。
这就导致一个不可避免的现实:
越强的 AI 工具,越不可能完全中立。
它一定会有地区策略、客户策略、审计策略、滥用检测策略、模型保护策略。
而这些策略在美国公司看来是安全治理,在中国企业看来可能就是不确定性来源。
双方其实都没错。
麻烦就在于,双方都没错的时候,世界通常更麻烦。
“后门”到底怎么理解?
报道里最刺激的词是“后门”。
但我们需要把它拆开。
在安全语境里,后门通常指隐藏的、未经用户授权的访问能力,能绕过正常权限控制获得数据或执行操作。这是非常严重的指控。
但在 AI 工具里,很多正常功能看上去也会很像“后门的表弟”。
例如,工具要上传上下文,才能让云端模型理解代码。
工具要记录日志,才能排查故障和改进体验。
工具要检测滥用,才能封禁违规账号。
工具要识别地区、账号、支付、网络路径,才能执行服务条款。
工具要调用外部服务,才能完成远程任务、插件集成、自动更新。
这些功能本身不必然恶意,但放进企业内网、核心代码库和跨境合规环境里,就会变成风险点。
一句话:
未必是后门,但可能是企业无法接受的门。
这也是大公司安全治理的核心:它不只关心对方有没有恶意,还关心自己能不能解释。
如果出了事,安全负责人不能在复盘会上说:“我相信 Anthropic 的价值观。”
复盘会通常不接受价值观当证据。
它更喜欢日志、合同、审计报告、权限边界、数据流向图、供应商责任条款。
很无聊。
但企业就是靠这种无聊活下来的。
中美 AI 赛道:两种打法正在分叉
阿里禁用 Claude Code 的事件,真正有意思的地方在于它折射出中美 AI 竞争的两种打法。
美国打法更像“高塔模式”。
最强模型集中在少数公司手里:OpenAI、Anthropic、Google、Meta、xAI 等。它们掌握顶级人才、顶级算力、顶级资本和顶级生态入口。前沿模型大多闭源或半闭源,通过 API、订阅、企业合同、云平台提供能力。
美国的优势是上限极高。它能不断冲击 frontier model,做出最强通用模型、最强代码智能体、最强多模态系统。它的资本市场愿意为“未来基础设施”提前支付天价估值,云厂商愿意烧钱,芯片公司愿意造更大的炉子。
但美国打法的副作用也明显:模型越强,监管越重;工具越关键,出口限制越多;公司越全球化,国家安全边界越难处理。美国 AI 公司一边想做世界生意,一边又被要求证明自己不会帮对手升级。
这就像一边开全球连锁餐厅,一边在门口按护照决定能不能点招牌菜。商业上很别扭,地缘上很合理。
中国打法更像“平原模式”。
中国模型公司和大厂在最顶级模型能力上可能仍面对算力、芯片、生态和资本结构的限制,但中国有几个独特优势:
应用场景密度高。
工程落地速度快。
本土产业链复杂。
企业愿意为降本增效付费。
开源和开权重生态更有战略价值。
从 DeepSeek 到 Qwen,再到大量垂直模型和行业智能体,中国 AI 的一个重要方向是:用更低成本、更开放的模型、更快的工程适配,把 AI 嵌入电商、客服、制造、金融、政企、教育、外贸、办公、开发工具。
美国追求“最强大脑”。
中国更需要“到处能用的神经末梢”。
当然,这不是说中国不追求前沿模型,也不是说美国不重视应用。区别在于约束条件不同。
美国有算力和资本,就会自然推高塔。
中国面对芯片限制和外部封锁,就会自然发展本土替代、开源生态、工程效率和场景落地。
如果说美国 AI 的关键词是 frontier、platform、control。
中国 AI 的关键词更可能是 efficiency、adaptation、deployment。
翻译成人话:
美国负责把模型做得像神。
中国负责把神塞进客服系统、工厂质检、直播间脚本、跨境电商选品和县城老板的 Excel 里。
前者更性感,后者更吵闹。
但商业世界从来不只奖励性感。它也奖励吵闹、便宜、稳定和能报销。
未来前景:谁会赢?
这个问题没有爽文答案。
如果只看最前沿模型能力,美国仍然占据优势。算力、芯片、顶尖研究、全球资本、英文互联网数据、企业软件生态,这些东西不是靠几句口号就能补齐。
但如果看 AI 的社会渗透率、应用速度、成本压缩、垂直行业改造,中国有机会形成另一种优势。
未来的 AI 竞争可能不是一个总榜,而是三张榜。
第一张榜是模型能力榜。谁的模型最强,谁能推理更久,谁能写更复杂代码,谁能处理更长上下文。
第二张榜是成本效率榜。谁能用更少 GPU、更低推理成本、更小模型完成同样任务。
第三张榜是产业改造榜。谁能把 AI 放进真实业务,产生收入、利润、效率和新的组织方式。
美国很可能继续领跑第一张榜。
中国可能在第二、第三张榜上快速逼近,甚至在某些场景反超。
阿里禁用 Claude Code 这种事情,短期看像一次安全事件,长期看像一次“基础设施主权”演练。
当 AI 工具变成数字劳动入口,每个大国、每个巨头、每个关键行业都会问同一个问题:
我的核心生产系统,能不能建立在别人随时可以拔掉的插头上?
这个问题一旦被问出来,答案其实已经倾向于“不能”。
所以,未来不是谁完全不用谁,而是谁都要准备自己的备份系统。
全球化不会消失,但会变得更像酒店备用电源:平时大家一起联网,出事时必须能独立运行。
普通人应该怎么办?
说到这里,普通人最容易产生两种误解。
一种是“那我以后不用 Claude 了”。
另一种是“那我只用 Claude,国产工具都是替代品”。
这两种都太懒。
真正该做的是:不要站队工具,要站队能力。
第一,建立多模型工作流。
不要把自己的工作方法绑定在某一个模型上。Claude 擅长长上下文、写作、代码理解;ChatGPT 擅长产品化和通用任务;Gemini 在某些多模态和生态场景有优势;Qwen、DeepSeek、Kimi、智谱等国内模型在中文、成本、本地化和可访问性上有自己的价值。
你要练的是“把任务拆给模型”的能力,而不是“跪拜某个模型”的能力。
第二,养成数据卫生习惯。
不要把公司代码、客户资料、合同、未公开财务数据、账号密钥、内部截图随手丢给公共 AI。很多人对 AI 的保密意识还停留在“我只是问问”。问题是,AI 不是朋友的微信聊天框,它是服务条款、日志、账号、模型和供应商责任共同构成的系统。
第三,学习智能体原理,而不是只学按钮位置。
Claude Code 今天强,明天可能被禁;Cursor 今天好用,明天价格可能变;某个国产工具今天粗糙,半年后可能突然能打。真正稳定的是智能体工作流:上下文、工具调用、权限、记忆、任务拆解、评估、回滚、审计。
懂这些,你换工具也不会失业。
不懂这些,你会不断跟着产品改版重新上小学。
第四,普通创业者和 OPC 要拥有自己的数据资产。
一人公司最危险的不是用了外国 AI,也不是用了国产 AI,而是所有 SOP、客户洞察、Prompt、脚本、知识库都散落在不同工具里,没有沉淀成自己的资产。
你可以用 Claude 写方案,用 Qwen 改中文,用 DeepSeek 做结构,用本地模型处理敏感资料。
但最终要把你的流程、模板、客户画像、行业知识、交付标准沉淀到自己能控制的位置。
AI 是员工,不是老板。
不要让员工把公司公章拿走。
第五,如果你是投资者,看工具链国产化和合规 AI。
阿里禁用 Claude Code 这样的事件,会带来一批新机会:企业级 AI 网关、模型路由、私有化部署、代码智能体安全审计、Prompt 审计、数据出境检测、本地化 coding agent、开源模型评测、MCP 权限管理、企业 AI 使用监控。
当大厂开始禁用外部强工具,不代表需求消失。
恰恰相反,它代表需求已经强到不能假装不存在。
需求不会死,只会换供应商。
最后的升华:AI 不是工具,是权力插座
阿里禁用 Claude Code 这件事,表面看是一个企业内部安全动作。
往深处看,它说明 AI 工具的性质变了。
过去的软件是锤子。
你拿它敲钉子,锤子不太关心你盖什么房子。
现在的 AI 是半个工人、半个顾问、半个监工、半个记忆库。它不只是被你使用,它还参与组织你的工作方式。
这就会触发一个更底层的问题:
谁来定义你的工作流?
谁来保存你的上下文?
谁来决定你的数据能不能被看见?
谁来决定你今天还能不能访问这个能力?
谁来从你的使用中学习下一代产品?
当 AI 只是玩具时,答案无所谓。
当 AI 是生产力时,答案就很贵。
当 AI 是基础设施时,答案就开始带边界、带审计、带国家颜色。
这就是阿里禁用 Claude 这件事真正好玩的地方。
它不是“国产替代”的老故事,也不是“美国工具不安全”的爽文。
它更像一个新时代的开场白:
欢迎来到 AI 基础设施时代。这里没有完全无辜的工具,也没有完全纯洁的选择。每一个按钮背后,都站着公司、合同、服务器、政策、资本和一点点人类不愿承认的恐惧。
普通人不必恐慌。
但必须清醒。
未来最有价值的人,不是只会使用某一个最强 AI 的人,而是能在不同模型、不同规则、不同风险之间搭建自己工作系统的人。
因为工具会被禁。
接口会断。
公司会改政策。
模型会换名字。
但你真正掌握的流程、判断力、审美、行业知识和客户关系,不应该跟着某个登录按钮一起消失。
如果说这件事有什么荒诞的启示,那大概是:
AI 时代,人类终于发明了能帮自己写代码的机器。
然后第一件成熟的大事,是给它办门禁。
免责声明
本文为产业观察和公开资料解读,不构成投资建议、法律建议、网络安全结论或对任何公司产品的事实指控。关于“阿里禁用 Claude Code”的信息以公开报道为基础,阿里和 Anthropic 如发布后续官方说明,应以官方信息为准。文中对双方动机、中美 AI 战略和未来趋势的分析为作者观点,仅供讨论参考。
信息来源
1. Times of India, *One of China's biggest ecommerce company to employees: Starting July 10, you cannot use America's ...*
https://timesofindia.indiatimes.com/technology/tech-news/one-of-chinas-biggest-ecommerce-company-to-employees-starting-july-10-you-cannot-use-americas-/articleshow/132157569.cms
2. Financial Times, *Anthropic moves to close loopholes that allow Chinese access to Claude*
https://www.ft.com/content/ad033063-60f9-4c0c-8d8a-9193a83e6f60
3. Anthropic, *Supported countries & regions*
https://www.anthropic.com/supported-countries
4. Anthropic, *Usage Policy*
https://www.anthropic.com/legal/aup
5. Claude Code Docs, *Overview*
https://code.claude.com/docs/en/overview
6. Claude Code Docs, *Security*
https://code.claude.com/docs/en/security
7. AP News, *China's Alibaba reports 38% jump in AI and cloud revenue as it races to grow*
https://apnews.com/article/e83a76c7188e27f69c9c3d7e4f8d9d83
8. AP News, *Alibaba's cloud business revenue soars 34% driven by AI boom*
https://apnews.com/article/eef3f9622961757b4fee9353d9fd3c76
9. Investopedia, *Alibaba Plans to Invest $52B in AI, Cloud Over Next Three Years*
https://www.investopedia.com/alibaba-plans-to-invest-usd52b-in-ai-cloud-over-next-three-years-11684981
10. QwenLM, *Qwen GitHub repository*
https://github.com/QwenLM/Qwen
11. arXiv, *U.S. Policies Unintentionally Accelerated China's Open AI Ecosystems*
https://arxiv.org/abs/2606.15999
12. arXiv, *Strategic Stalemates: The Paradox of Export Controls in the U.S.-China AI Race*
https://arxiv.org/abs/2605.23475
夜雨聆风