
7 月 3 日,阿里巴巴将 Anthropic 旗下的 Claude Code 列入高风险软件名单,并计划自 7 月 10 日起禁止员工在办公环境中使用,内部推荐替代工具为阿里自研的 AI 编程平台 Qoder。
这件事表面上看,是一家中国互联网大厂禁用一款海外 AI 编程工具;再往下看,则是一个更大的信号:当 AI 编程助手从“写几行代码的效率工具”,升级为能读取代码仓库、执行命令、调用接口、理解业务逻辑的 Agent,它就不再只是软件,而是企业研发体系里的一个新入口。
入口意味着效率,也意味着风险。阿里这次禁用 Claude Code,折射了一个问题:企业在 AI 原生研发时代,究竟能不能把核心代码、工程上下文和开发权限交给一个外部不可控的智能体?
事件不是突然发生的
据媒体报道,阿里此次动作的直接原因,是近期 Claude Code 被曝存在针对中国相关用户的识别机制,引发“后门”“隐蔽监测”等争议。Claude Code 客户端曾被质疑会通过时区、日期格式、代理环境、域名线索等方式判断用户是否与中国有关,并把这些线索编码进请求上下文中。
Anthropic 方面相关人员随后回应称,这是一项在 2026 年 3 月上线的“实验性”措施,目的在于防止未经授权的账户转售以及模型蒸馏攻击,并称相关检测代码已在 7 月 2 日发布的新版本中回滚删除。
这也是争议的关键:从 Anthropic 的视角看,它是在执行区域限制、反滥用和反模型蒸馏;从中国企业和开发者的视角看,一个本来用于写代码的工具,在用户不充分知情的情况下采集或推断运行环境信息,并将其带入请求链路,已经越过了企业安全可接受的边界。
Claude Code 为什么更敏感
过去,企业禁用某个 SaaS 工具,通常担心的是文档外泄、账号合规、数据跨境。到了 AI 编程工具这里,风险模型变了。
Claude Code 这类工具需要接触更多上下文。它可能读取整个项目结构,分析私有代码,理解接口设计,查看报错日志,甚至在开发者授权下执行本地命令。越是好用的 AI 编程 Agent,越需要更深地进入工程现场;越深入工程现场,它越接近企业的技术资产核心。
这就是这类工具的悖论:它要足够聪明,就必须看见足够多;它看见得越多,企业就越难把它当作一个普通外部应用。
对于大型互联网公司,代码仓库里有系统架构、业务流程、风控规则、内部接口、灰度策略、日志样本、测试数据和工程习惯。AI Agent 长期、持续、批量地接触这些上下文,其安全等级就更加接近研发基础设施,而不是普通办公软件。

“好用”不再是唯一标准
过去一年,很多开发者对 Claude Code 的评价很高,尤其是在复杂代码理解、重构、多文件修改、长上下文推理方面,它确实一度代表了 AI 编程工具的高水位。国内开发者对它的依赖,也正说明一个现实:在不少工程任务上,领先模型带来的效率提升是真实存在的。
但企业采购和个人尝鲜不是一回事。个人开发者可以为了效率承受账号被封、链路不稳、数据不透明的代价;大型组织不能把研发基础设施建立在灰色访问、代理转发、跨境账号和不可解释客户端逻辑之上。
这也是为什么阿里禁用 Claude Code 的同时推荐 Qoder。Qoder 未必在所有能力上立即超越 Claude Code,但它至少更容易被纳入内部权限、审计、数据治理和安全合规体系。
AI 编程工具未来的竞争,也会从单纯模型能力,转向模型能力 + 工程集成 + 权限治理 + 数据隔离 + 审计能力的综合竞争。

AI 编程进入“信任成本”时代
阿里禁用 Claude Code,更像是一道分界线:AI 编程工具的第一阶段,是谁更会写代码;第二阶段,是谁更值得被信任。
在企业研发体系里,效率必须和安全、合规、可控放在同一张表上计算。尤其当 AI Agent 开始拥有读取、理解、修改甚至执行代码的能力,它就从“助手”变成了“研发基础设施的一部分”。
这件事最后留下的是一个长期问题:当最强的模型来自外部,最重要的数据留在内部,企业如何在效率和主权、安全和开放之间做选择?
而阿里给出的答案是先收紧边界。
夜雨聆风