7月3号,阿里内部下了一道通知:自7月10日起,全面禁止员工在办公环境下使用Claude Code,所有Anthropic旗下产品一并列入高风险软件名单。7天倒计时,到期卸载。推荐替代方案是阿里自家的Qoder。
这条消息当天就上了知乎热搜和36氪头条,但大部分媒体只报了"禁用"这一个动作。您要是真想知道阿里为什么急眼了,得往前倒半年。这事儿比一个通知深得多。
先说Claude Code是个什么东西。Anthropic在2025年2月推出的AI编程助手,不是那种帮你补两行代码的插件,是能自主操作完整项目的开发助手,读你的代码库、改文件、跑命令、处理PR。程序员圈子里火得很快,国内大厂研发团队今年上半年批量试用,有人自费买订阅,有人公司报销。一个月两百块钱,用着确实顺手。
但这个工具在过去半年里,出了好几档子事。
头一桩,3月31号,源码泄露。说起来都离谱,不是黑客攻击,不是内部泄密,是Anthropic自己打包的时候手抖了。npm包里没排除.map文件,一个59.8MB的cli.js.map被传上了公开仓库。这个文件里包含完整的TypeScript源码,51.2万行,1906个源文件,系统提示词、多Agent协作引擎、权限控制逻辑,全裸着搁那儿。搞安全的研究员拿source-map-explorer一还原,目录结构清清楚楚。两个小时之内有人备份到了GitHub,五万颗星,创了GitHub最快星标纪录。Anthropic确认是打包环节人为失误,不是安全入侵,但你说一个以"AI安全"为核心卖点的公司,连自己家的代码都管不住,谁信你管得住用户的数据?
这还不是第一次。更早几天,3月26号,Anthropic的内容管理系统配置错误,三千份内部文件暴露在公开存储里,其中包括未发布模型Claude Mythos的详细信息。一周之内连泄两次,一个靠"安全"吃饭的公司,基础工程规范漏成了筛子。
但这些都不是阿里禁用的直接原因。
直接原因是7月1号爆出来的,Claude Code里藏了一段"间谍代码"。
Reddit上一个叫LegitMichel777的安全研究者做了逆向分析,发现从2.1.91版本开始,Claude Code里嵌了一段隐蔽逻辑。这段代码不是对所有人都触发,只在用户设置了代理访问的时候才激活。它干了两件事:第一,读你系统的时区,看是不是Asia/Shanghai或者Asia/Urumqi;第二,提取你的代理域名,跟一份硬编码在二进制文件里的147个域名清单做比对。
一旦匹配到,你的时区是中国,你的代理域名在清单上,它就开始动手脚了。悄悄篡改系统提示词中的日期格式和部分表达符号,打上隐形标记,随正常的代码补全请求一起发回Anthropic的服务器。你作为用户,什么都看不到,什么都感觉不到。该写代码写代码,该跑命令跑命令,但你每一次跟Claude的对话,都被偷偷贴了一个"中国用户"的标签发回大洋彼岸。
Anthropic后来承认了这段代码的存在,说是"实验性质的",承诺移除。但这个解释你信吗?一个能读你本地代码仓库、能执行命令行指令的高级AI工具,在你不知情的情况下偷偷收集你的位置信息、篡改你的请求内容,这叫实验?
这还不算完。更早的2月份,Check Point Research就披露过Claude Code存在多个远程代码执行漏洞,其中一个CVE-2025-59536,CVSS评分8.7,攻击者可以通过恶意配置文件在用户机器上执行任意代码。
您把这些事儿搁一块儿看看,远程代码执行漏洞、源码裸奔、间谍代码标记中国用户,这家公司嘴上说的"安全优先""透明可信",跟它实际干的活儿,中间差了十万八千里。
阿里的反应这么大,还有一层原因,是双方本来就互相不信任。
6月下旬,Anthropic向外界提交了一份材料,指控阿里在两个月时间里通过大批账号跟Claude产生了数千万次交互,把这种行为定义为"模型蒸馏"。说人话就是,你阿里拿我的模型当老师,训练你自家的千问。阿里这边没公开回应过这个指控,但你琢磨琢磨这个时间线,Anthropic指控阿里偷师,阿里发现Anthropic在自己员工电脑里埋探针,两边互相抓着对方的把柄,互相不信任到极点。
到了7月3号,阿里摊牌了。你在我员工终端里藏东西,还反过来说我蒸馏你的模型?行,那别用了。7天之内,全部卸载。
推荐的替代品是Qoder,阿里自家2025年8月发布的Agentic编程平台,到今年5月累计用户超过500万。5月份Code Arena放榜,阿里千问3.7编程能力全球第二,仅次于Claude系列,在大模型厂商里排第一。就是说,阿里禁Claude不是断臂求生,自己手里有能打的牌,顺势把自己的工具推上去,一举两得。
但这篇文章真正想说的不是阿里和Anthropic的恩怨。
先看看这几天同时发生的几件事
美国那边,GPT-5.6发布了,但特朗普政府要求"一客一审",每个企业客户的访问权限由美国政府逐案审批。OpenAI的CEO Altman罕见公开抗议,说"政府审批制不应成为长期默认模式",但抗议归抗议,模型还是锁着。
中国这边,阿里公开以"安全风险"为由禁用了Claude。同一天,腾讯云宣布DeepSeek-V4正式版7月中旬上线,原厂直供,引入峰谷定价。
把这三天的事搁在一块儿看,美国在管模型输出,怕AI太强了流出去;中国在管模型输入,怕AI偷东西进来。一堵一锁,方向完全相反,但干的是同一件事,建墙。
GPT-5.6锁在保险柜里,Claude Code被赶出了中国大厂。全球AI从技术竞争进入了制度竞争阶段。技术还在跑,但跑的方向不再是"谁更强",而是"谁的地盘谁说了算"。
7天的卸载倒计时已经开始。阿里带头禁了,其他大厂会不会跟?这个问题现在没人回答,但答案大概率是"会"。因为Claude Code那段间谍代码不是只针对阿里的,它针对的是所有中国时区的用户。阿里只是第一个公开说不的。
至于那些还在用Claude Code的程序员们,你花200块钱买的工具,正在偷偷给大洋彼岸发你的时区。你还打算继续用吗?
夜雨聆风