中国政策档案 Governance Archive HOLDINGS 190,973 · FONDS 70
Record · 观察者网 ACC. 900035891

Alibaba Bans Claude Internally Over Backdoor Security Risks

存在后门风险,阿里反向禁用Claude

Issuer
观察者网
Date
2026-07-03
Instrument
other
Cited by
0
Alibaba has issued an internal ban on the use of Anthropic's Claude products, including Claude Code, due to discovered backdoor security risks, effective July 10. The company recommends its own Qoder as a replacement amid escalating cybersecurity concerns and geopolitical tensions.
Full text · 原文 2,812 字
(文/观察者网 刘媛媛 编辑/吕栋) <br> 7月3日,有消息称,阿里巴巴内部宣布反向禁用Claude。阿里全员被要求卸载Anthropic相关产品,包括Sonnet、Opus、Fable等多个系列模型,以及Claude Code在内的Agent产品。禁令于7月10日正式生效。 <br> 对此,观察者网也从阿里内部人士处获悉,该消息属实。因近期Claude Code被曝存在植入后门的安全风险,阿里经综合评估后已将其列入高风险软件名单。该内部人士表示,自7月10日起,阿里将全面禁止内部员工在办公环境下使用Claude Code,并推荐使用Qoder作为替代方案。 <br> 禁令背后的安全风暴 <br> 据了解,此次禁令并非空穴来风,而是建立在Anthropic一系列安全事件累积的基础之上。 <br> 早在2025年初,Claude Code上线不久便因自动更新功能存在严重漏洞而“翻车”。当工具以root权限安装时,错误的更新命令会修改关键系统文件访问权限,导致部分用户工作站“变砖”,最终不得不借助救援实例修复。 <br> 2026年以来,Claude又遭连续曝光的多起高危安全事件。先是2月,Check Point Research披露Claude Code存在多个远程代码执行(RCE)漏洞,攻击者可通过恶意配置文件在用户机器上执行任意代码。 <br> 其中,CVE-2025-59536(CVSS评分8.7)允许攻击者在用户启动Claude Code时自动执行任意shell命令;CVE-2026-21852则可在用户打开恶意仓库时窃取API密钥,将认证流量重定向至攻击者控制的服务端。 <br> 接着是3月底发生的源代码泄露事件。Anthropic因构建配置失误,意外暴露了Claude Code的完整源代码,包含未发布的KAIROS系统和UndercoverMode子系统等。 <br> 几乎同时期,安全研究员Alexander Hanff独立发现,Claude Desktop for macOS会在用户设备上静默安装Native Messaging清单文件,为三个预授权的Chrome扩展ID建立与本地可执行文件的通信桥梁,且无需任何权限提示、每次启动都会重新写入。 <br> 到了今年6月,安全社区进一步传出“Claude Code内置一套隐蔽的指纹标记系统,专门检测中国用户”的消息。尽管该说法尚未得到官方证实,但结合此前Anthropic的MCP协议被OX Security发现存在根本性架构缺陷(官方SDK在所有支持语言中均未对命令字符串进行有效验证或清理,导致攻击者可通过提示注入、恶意市场下载等方式执行任意命令),企业的安全焦虑已被推至顶点。 <br> 地缘政治的“双向切割” <br> 不过,此次禁令不是单纯的安全技术决策,其背后折射出中美科技博弈进入深水区后的“双向切割”趋势。 <br> 在不久前的6月24日,Anthropic被曝向美国参议院银行委员会递交的一纸信函,信函中指控,阿里巴巴在4月22日至6月5日期间,利用约2.5万个虚假账号与Claude进行了超过2800万次对话交互,并将其单方面定性为“工业级模型蒸馏攻击”,直接上升至国家安全层面。 <br> 这也不是Anthropic首次使用“蒸馏攻击”的话术针对中国AI企业。2026年2月,Anthropic就曾公开发文指控DeepSeek、月之暗面与MiniMax三家中国AI实验室对Claude实施大规模蒸馏攻击,引发海外开发者社区的激烈讨论,马斯克等科技界人士亦加入声讨行列。 <br> 彼时,这一指控被不少海外网友质疑为贴脸开骂式的商业竞争手段。在开源模型生态日益成熟的背景下,基于公开API的交互学习是否构成攻击,在学术界本身尚存争议。然而,Anthropic却选择以受害者姿态将技术竞争政治化。 <br> 而同样是在6月24日,阿里巴巴证实向美国加州圣何塞联邦法院提交诉状,起诉美国国防部,要求将其从“中国军事企业名单”中移除。该名单于6月8日由美国防部发布,阿里、百度、比亚迪等多家中国头部企业赫然在列。 <br> 尽管该清单不直接等同于正式制裁,但其引发的寒蝉效应不容忽视,市场普遍担忧,列入该名单的企业可能面临美国前沿技术的使用限制,供应链风险陡增。 <br> 这种操作,很难不与Anthropic的指控联系起来:一边是美国政府以国家安全名义扩大对华科技企业的限制清单,另一边是美国AI公司以蒸馏攻击名义收紧对中国用户的技术服务。两者或共同指向一个目标:在AI这一战略制高点上,构建针对中国的技术隔离带。 <br> 代码资产与数据安全是生命线 <br> 对于阿里巴巴这样的科技巨头而言,代码资产与数据安全是生命线。Claude Code作为一款深度集成开发环境的Agent产品,其工作模式决定了它必须拥有读取代码库、执行命令、访问敏感配置的高权限。一旦存在后门或漏洞,其破坏力远超普通应用。 <br> 2026年6月发表的学术论文《SkillJect》指出,Agent技能生态已成为新型供应链攻击面,攻击者可在看似无害的技能包中植入隐藏指令,一旦用户安装,即可在后续执行中反复触发恶意行为,实现持久化后门。 <br> Snyk于2026年2月对近4000个技能的审计发现,13.4%存在关键级安全问题,包括恶意软件分发、提示注入攻击和凭证外泄。 <br> 2025年11月,Anthropic自身还披露了一起“首个被报告的AI策划网络间谍活动”,攻击者通过越狱手段让Claude执行侦察、漏洞利用、凭证窃取和数据渗出等操作,AI完成了80%-90%的攻击工作量,人类仅需在4-6个关键决策点进行干预。 <br> 这意味着,一旦Claude Code存在可被外部操控的后门,其自主执行能力反而会成为攻击者的自动化武器。 <br> 阿里巴巴此次禁令覆盖范围不仅限于Claude Code,还包括Sonnet、Opus、Fable等模型系列,显示出这是一次基于供应商风险评估的全面断联,是对潜在未知后门的预防性隔离。 <br> 至于替代方案Qoder,2025年8月,阿里推出Qoder IDE,类似于Cursor的国内版,具备Quest自主编程、Repo Wiki等功能;同年10月,Qoder CLI正式上线,直接对标Claude Code,面向终端开发者提供命令行AI编程体验,支持多文件编辑、命令直接执行、内置代码审查、Git工作流集成等核心能力,且兼容MCP Server、Subagent、Hooks等现代AI编程工具的标准功能。 <br> 此外,Qoder在架构设计上强调可控性。与Claude Code的闭源策略不同,Qoder作为阿里内部生态产品,在数据主权、代码审计、权限管控等方面具备天然优势。 <br> 因此,对于阿里员工而言,使用Qoder意味着代码不会流经境外服务器,模型推理可在阿里云国内节点完成,从根本上规避了数据跨境和供应链安全风险。