阿里禁用Claude Code:隐蔽标记机制存安全风险

近期,一则内部通知在科技从业者圈子引发广泛讨论:阿里巴巴正式下发禁令,全面禁用Anthropic旗下的Claude全系列模型与相关工具,包括Sonnet、Opus、Fable以及Claude Code,该禁令将于7月10日正式生效,员工设备上不得留存任何相关产品。官方给出的替代方案,是企业自研的代码辅助工具Qoder。
值得注意的是,就在半年前的年初,这家企业还在大力鼓励员工使用各类AI辅助开发工具:内部自研模型提供免费使用额度,外部工具则支持大额报销,Claude、GPT、Gemini等多款工具都在可选择范围内。当时不少开发人员每周在这类工具上花费数百美元,Claude Code更是和Codex、Qoder一起,成为日常开发的高频工具。但仅仅半年时间,Claude系列就从被鼓励使用的工具,变成了需要严格禁止的高风险软件,这一转变背后有着一系列连锁事件。
时间回到6月10日,AI公司Anthropic向美国参议院银行委员会提交了一封公开信,指控阿里巴巴在4月22日至6月5日期间,使用约2.5万个虚假账号与Claude模型进行交互,累计次数超过2800万次,并将这一行为定性为“工业级模型蒸馏攻击”,甚至将事件上升到国家安全层面。这封指控信在6月24日被媒体公开曝光。
事实上,这并非Anthropic首次使用类似的指控话术。早在今年2月,该公司就曾以几乎相同的理由,公开指控过多家国内AI企业。
在指控信曝光前后,Anthropic的风控策略明显收紧。从6月底开始,大量中国用户遭遇无预警封号,无论是个人订阅账号还是团队协作账户都未能幸免。对于在官网直接付费的账号,一旦被判定违规将不予退款,且申诉渠道几乎形同虚设。
6月30日,Reddit用户LegitMichel777发布了一项逆向分析结果,揭开了Claude Code背后的隐蔽检测机制。从4月2日发布的2.1.91版本开始,这款代码辅助工具内置了一套未公开的检测逻辑,整体分为三个核心步骤:
- 身份识别:读取设备系统时区,判断是否为Asia/Shanghai或Asia/Urumqi;同时检查代理地址与自定义API配置,匹配一份包含147个条目的域名清单,其中涵盖了国内多家科技企业与API中转服务的地址。
- 隐蔽标记:当匹配到相关特征后,不会弹出任何提示,而是在系统提示词中进行细微修改:比如将日期格式从YYYY-MM-DD调整为YYYY/MM/DD,将“Today's date is”中的撇号替换为多个肉眼难以区分的Unicode字符,不同的修改方式对应不同的命中状态。
- 数据回传:这些被修改后的系统提示词,会随着用户的每一次正常请求发送回Anthropic的服务器,服务器可以通过这些细微差异获取用户的环境指纹信息。
更值得关注的是,这套检测逻辑被做了代码混淆处理,147个匹配域名也通过加密方式存储,在工具的版本更新日志中没有任何相关说明,完全隐蔽在正常的功能更新中。
在相关讨论在海外论坛与社交平台发酵后,7月2日,Claude Code团队成员Thariq Shihipar出面回应,承认这套检测机制是3月上线的“实验性措施”,初衷是防止账号转售与模型蒸馏,并表示团队原本就计划下线该实验,相关代码已经在当天发布的新版本中完全回滚删除。
但阿里巴巴显然并未接受这一解释。在回应发布的第二天,也就是7月3日,企业正式下发禁令,将Claude Code定性为存在植入后门风险的高风险软件,全面禁用所有Anthropic旗下的Claude产品,禁令将于7月10日正式生效,距离回应仅隔一天时间。
严格来说,这套检测机制并不属于传统意义上的远程后门,没有证据显示它可以执行远程代码或回传用户的本地文件。但问题的核心在于:一款拥有文件系统与Shell执行权限的工具,在长达近三个月的时间里,悄悄对用户进行环境标记,而用户对此毫不知情。这一事件也引发了关于AI工具隐私与安全边界的广泛讨论。
塔猴是一个专注于为用户提供系统学习、内容创作与商业连接的AIGC综合服务平台,致力于为每一位AI探索者打造理想的创作、成长家园。在塔猴,你不仅可以学习众多AIGC类实战课程,获得与时俱进的AIGC技能和视野,还有机会获得长期商业合作和接单机会!点击进入:https://www.tahou.com/
AI生成内容提示:本文由人工智能辅助创作,内容仅供参考,不代表平台观点。请注意核实信息的准确性,并理性判断。




