7月3日那天,阿里内部一份红头文件炸开了锅:7天之内,全公司所有电脑、云桌面、测试机、线上生产服务器,通通把一款叫Claude Code的海外AI编程插件卸干净。财务同步关掉报销通道,网关直接屏蔽相关域名。工信部这边也没闲着,紧跟着挂出官方高危风险预警。

事情最早的引爆点,是6月30日海外论坛上冒出来的一份技术拆解帖。发帖的人ID叫LegitMichel777,他闲着没事把Claude Code最新版本的安装包整个扒了一遍,结果在二进制文件的角落里翻出一段用XOR加密混淆过的代码。
好家伙,解密之后是啥?
一份完完整整的域名黑名单,147条,全是国内头部互联网大厂、国产大模型实验室、还有第三方API镜像平台的地址。名单里没有一条其他国家的域名混进来,干干净净,指向精准到让人后背发凉。

这份名单是啥时候被塞进去的?
时间倒回到4月2日。那天Claude Code推送了2.1.91版本更新,更新说明写得比小学生作文还清爽,一个新功能提示都没有。可底层代码里,早就把这套识别机制埋好了。从4月推到6月底,整整三个月,没人发现。

想想都后怕。
绝大多数程序员看到更新推送,手指一滑就点了确认,谁会没事拆二进制文件玩儿?这就是软件更新的信任漏洞——你以为是修修补补,可能夹带的是一整个后门工程。
LegitMichel777的帖子发出去之后,两个海外安全研究员迅速跟进,各自独立复刻了整个逆向过程。得出的结论一模一样。证据链焊死,没有任何抵赖空间。
7月1日,涉事那边的工作人员出来道歉,一口咬定这只是防止账号倒卖的内部实验项目,第二天就发新版本删掉。话说得轻描淡写,可三个月里已经被标记回传的用户画像数据,能一键回收吗?
删不掉了。

7月2日,新版本确实把监控代码删了,但客户端本身的读写权限一分没减。也就是说,源头没堵,随时能再塞。
再联系一下更早的背景。2025年9月5日,Anthropic官方就已经公示过服务约束条款,明明白白把中方控股过半的企业、离岸子公司、API中转商全部划进禁用名单。当时那份公告只是文字层面的约束,没配任何技术手段。可4月2日之后,画风变了——从"不让你用",升级成了"看看谁在偷偷用"。

这个转变才是最要命的。
商业条款封禁是明的,谁都看得见。技术手段追踪是暗的,藏在你每天用的工具里。前者站在门口拦人,后者躲在墙缝里数人头。
先说这套监控体系有多刁钻。整个流程被设计成了三层触发结构,全程不弹窗、不留日志、不单独发数据包,普通的杀毒软件和企业防火墙压根抓不到它尾巴。
第一层:卡触发门槛。
你要是老老实实通过官方直连渠道使用,它一动不动,跟个乖宝宝似的。可你一旦手动改了环境变量、搭代理绕过地域封禁,这套监测模块立马醒过来。这一刀切得极其精准——不查普通用户,专查那些绕道使用的企业内网。
翻墙的必查,直连的不管。
想干什么,一目了然。目标锁定的就是那些没法通过正规渠道接入、只能通过代理转发的中国公司。

第二层:双重身份识别。
先读你电脑的系统时区。它不看IP,因为IP能伪装,代理能改。但时区不一样,时区是设备底层的东西,你除非专门去改,否则大部分企业电脑默认就是上海或者乌鲁木齐。这两个时区一命中,第一关锁定。
再查代理域名。软件里硬编码了那份147条的加密清单,你的代理域名一比对,只要命中,第二关也锁定。
到这一步,你的身份标签就已经被贴上了。

第三层:真正的杀手锏——隐写术。
按常理讲,采集到信息之后应该往外发数据包对吧?可是发独立报文很容易被内网流量审计给拦下来。这套系统玩了一手绝的:它压根不单独发包。
它直接改你每次代码请求里自带的默认提示文本。
怎么改呢?如果时区命中了,就把日期里的横杠替换成斜杠。如果域名匹配了,就把句子里的单引号替换成一种视觉上一模一样、编码却不同的特殊符号。屏幕上看,你完全察觉不到差别。可服务器那边一读,标签清清楚楚。

肉眼看着是同一个字。
编码不一样。
我第一次看到这个技术细节的时候,说实话有点佩服——真的下了功夫。可佩服完立马就冒火:这本事用在别处不好,非要拿来定向摸中国公司的家底?
还有个细节要提,编程AI工具的权限大得吓人。程序员用它的时候,习惯把项目源码、数据库密钥、系统架构文档整段整段粘贴进去让它帮忙排错。这些内容会跟着标记暗号一起飞出境。它能读你的本地文件,能执行终端命令,能遍历你的代码仓库——权限相当于把开发电脑半交给了别人。

这不是辅助工具,这是内应。
事情爆出来之后,三方立场立刻拉扯起来了,一个个看。
先说Anthropic官方的口径。他们统一说辞:这只是短期的内部风控实验,目的是打击账号批量倒卖、防止同行盗取模型参数。发现有争议立刻关停,绝对没有恶意窃取数据的主观意图。
听起来挺委屈的对吧?
但技术圈从业者一个都不信。

原因有三个硬伤。
一个是黑箱操作。整套程序全程没有任何公开日志,更新说明里对新增模块一个字没提。这直接违背了软件行业最基本的透明度原则——你说你是风控实验,实验完了发个报告出来啊,为什么要藏三个月?
一个是地域针对性。黑名单里只有中国企业的域名。全世界那么多地方都有代理中转的用户,怎么就只针对中国做定向扫描?这已经超出了普通"防倒卖"的范畴。
一个是隐写技术。你要真是内部风控,直接记录一下API调用行为就完事儿了,为什么非要用字符替换、暗号夹带这种绕开企业内网安全设备的方式?规避监管的心思,藏都藏不住。

再补一个背景。2026年6月,Anthropic向美方相关机构递交过一封举报信,控诉阿里使用两万五千个虚拟账号发起了两千八百万次接口调用,说对方是在借助对话数据复刻自己家的大模型。这封举报信的递交时间,跟监控代码上线的周期几乎完美重合。
防倒卖只是表面话。
真正的诉求——追踪竞品模型的蒸馏行为——才是核心。你要真只是防黄牛,没必要单独整一份中国企业专属黑名单。这个逻辑,圆不上。

再看阿里的反应。
有一小撮人在网上唱反调,说人家不是删代码了嘛,升个版本继续用不就行了,阿里全盘禁用是不是有点过?

阿里安全部门给的理由,我觉得站得住。
一,2026年元旦生效的《网络安全法》修订版里,跨境数据传输是明确的监管范畴。企业使用未做网信备案的境外AI工具,一旦携带重要数据出境,被抽查到违规单条处罚最高千万级。这不是过度,这是自保。

二,客户端的读写权限一分没改。今天能删代码,明天下一次更新完全可以再塞一个新的。境外软件不受国内监管约束,企业根本没有权限逐行审查它每一次更新的源码。这种黑箱产品,用一次是运气,用两次就是傻。

三,人家自己都明文禁止中方控股企业使用了。企业绕道使用,本来就在灰色地带。事情爆发之后,还有什么继续合作的理由?
版本更新能删掉代码,删不掉已经收集完的用户画像。话糙理不糙。
工信部这边,也有人觉得不够硬——为啥不直接全网下架?
这里得理清一下权责边界。个人开发者单机自用,不会往里面塞企业机密,风险自担,监管没必要干预私人安装选择。但企业内网就完全是另一码事,那是关键数据处理场景,安全主体责任在企业自己头上。监管做的是风险提示,倒逼企业自建审核制度。至于境外软件的下架,涉及跨国监管协同,国内单方面强制海外厂商是行不通的。

分级预警,其实是最贴合实操的方案。
觉得温和的人,是没搞清楚谁的锅该谁背。
单从一款插件的角度看这事儿,格局小了。它掀开的,是一整套行业规则的重构。
第一道门是信创采购的边界。
过去大家做国产替代,眼睛盯着的都是操作系统、数据库、中间件这些底层的东西。IDE插件?AI编程助手?云端开发工具?基本没人管。这次事情之后,这些上层应用工具,全部被划进了供应链安全的管控范围。

央企、大厂会陆续搞境外AI工具白名单制度,源码不能审计、无法定期做安全测评的海外产品,直接被拦在研发内网门口。通义Qoder、豆包代码助手、文心编程这些本土工具,会迎来一波企业端的替换潮。

以前只顾着底层,现在开发工具这道关卡也得盯死。
第二道门是跨境AI服务的分化。
这不是单方面封锁造成的割裂,而是供需两端双向选择的必然结果。海外厂商用股权、地域两道条件划红线,再用客户端技术锁死绕道通道,本质是把商业壁垒下沉到了程序底层。中方这边依托新法条明确数据出境边界,企业主动剥离不可控的海外工具依赖。
大模型这盘棋,慢慢就分成两个独立生态圈了。
以后海外主流大模型厂商大概率会把这套用户识别机制学一遍。中转代理这条路,会越走越窄。靠翻墙蹭海外AI工具的粗放模式,走到头了。

时代变了。
第三道门是企业内部的AI管理规范。
以前绝大多数公司对外部AI软件的管控是空白的。员工想用啥用啥,随手下载随手接入办公设备,没人管。这次事情之后,企业至少要补上三道环节:接入前做安全尽调,摸清楚软件后台隐秘上报、越权读文件的风险;使用中部署内容审计,拦截敏感代码和密钥往外网传;事后把违规使用未备案境外AI纳入安全考核,谁乱用谁扛责任。
以前AI插件没人当风险源看,现在等于全行业上了堂必修课。
学费不便宜。

第四道门是技术防护体系的升级。
传统的防火墙、杀毒软件,大部分是对独立网络请求做拦截的。可这次的隐写术,是把信息藏在正常对话文本里带出去的。字符编码差异、格式微调这种手段,普通安防设备根本认不出来。
以后企业的网络安全体系,必须从边界防护升级到应用内容的深度检测。不然这种暗门采集手段,只会换个马甲反复出现。

传统防火墙拦得住数据包,拦不住藏在文本里的暗号。这句话,值得每个企业安全负责人钉在墙上。
我个人觉得,这事儿的意义已经超出了一款软件本身。它把"自主可控"这四个字的边界,从底层的操作系统、芯片,一路延伸到了程序员日常使用的每一款小工具。你以为不重要的插件,往往是最容易被利用的口子。

说到底,这次事件不是什么偶然的软件bug,是海外AI公司在商业封禁之外又叠加一层技术溯源手段的必然结果。它也逼着国内行业重新划一遍AI工具供应链的安全边界——自主可控这四个字,不再只是芯片和操作系统的专属,它一路延伸到了每天写代码要用的每一个小插件。

你们公司排查了吗?评论区聊聊。#点赞云南##发优质内容享分成##上头条 聊热点##科技#
参考资料
《因存在植入后门风险 阿里内部全面禁用 Claude Code》,财联社
《列入 “黑名单”,阿里为什么全面禁用 Claude Code?》,第一财经
《工信部网络安全漏洞平台 Claude Code 风险提示公告》,工信部网络安全威胁和漏洞信息共享平台
《新修改的网络安全法本月起施行 —— 加强安全监管,促进人工智能健康发展》,人民日报
更新时间:2026-07-13
本站资料均由网友自行发布提供,仅用于学习交流。如有版权问题,请与我联系,QQ:4156828
© CopyRight All Rights Reserved.
Powered By 61893.com 闽ICP备11008920号
闽公网安备35020302035593号