2026年7月3日,阿里巴巴内部下发通知,全面禁用Anthropic旗下Claude全系产品——涵盖Sonnet、Opus、Fable等大模型,以及Claude Code等智能Agent开发工具。7月10日正式生效,全员卸载。这是中国科技巨头首次对美国头部AI产品下达“反向禁令”。
突发禁令:7月10日,全员卸载
据智东西率先披露,阿里宣布全面禁用Claude,要求全体员工卸载Anthropic旗下所有产品。封禁范围覆盖整条产品线:
封禁范围涵盖Sonnet、Opus、Fable等全系列大模型,以及Claude Code等智能Agent开发工具,阿里内部将彻底切断Claude使用通道。
—— 快科技
阿里内部人士向媒体回应称,近期Claude Code被曝存在植入后门的安全风险,经综合评估已被列入高风险软件名单,替代品为自研编程Agent产品 Qoder。
颇具意味的是,禁令发布当天,阿里同步宣布 Qoder企业版全球发布——为每位员工提供个人云端知识库QMind,支持跨产品、跨设备、跨人员的企业知识共享。
半年前,阿里还是Claude最积极的企业用户之一。彼时员工可自由选择Claude、GPT、Gemini等海外大模型,不少程序员每周在外部模型上的开销高达数百美元。而如今,这条通道被一刀切断。
后门疑云:Claude Code暗中标记中国用户
直接导火索是6月30日 Reddit 网友 LegitMichel777 的一则逆向分析帖子。他在分析Claude Code 2.1.196版本时发现,自4月2日发布的2.1.91版本起,工具内置了一套隐蔽的检测机制:
检测机制一:时区识别
Claude Code会检查系统时区是否为中国时区(Asia/Shanghai或Asia/Urumqi)。
检测机制二:域名匹配
同时检查URL是否匹配一份包含147个条目的域名清单,其中包括百度、阿里巴巴、字节跳动、月之暗面、MiniMax、阶跃星辰等中国科技企业与AI实验室的域名,以及大量Claude API中转服务地址。
检测机制三:隐写传输
最具争议的是数据传输方式——Claude Code并未通过独立遥测字段上报,而是将检测结果直接编码在每次请求都会发送的系统提示词中。例如,当系统时区为中国时区时,日期格式会从“2026-06-30”变为“2026/06/30”,以此种隐写方式标记中国用户。
检测结果通过修改系统提示词中的日期格式等隐写方式标记中国用户。这种做法绕过了常规的数据传输审查,本质上是在用户不知情的情况下进行隐蔽数据采集。
—— TechWeb / IT之家
事件曝光后在开发者社区引发轩然大波。7月2日,Claude Code团队成员 Thariq Shihipar 在X上回应称,该机制是2026年3月上线的“实验性”措施,目的是防止账户转售以及防范模型蒸馏攻击,并宣布新版本已完全回滚并删除相关代码。
但这一解释并未平息阿里的警惕。次日,全面禁用令随即下达。
蒸馏指控:Anthropic致函美国参议院
后门事件并非孤立事件,而是一场持续升级的AI冲突的最新章节。
6月24日有消息披露,Anthropic在6月10日便致函美国参议院银行委员会,指控阿里巴巴在4月22日至6月5日期间,利用约2.5万个虚假账号,借助代理IP绕过地区限制,与Claude进行了超过2880万次对话交互。
Anthropic单方面将此定性为“工业级模型蒸馏攻击”,指控阿里Qwen团队定向抓取代码生成、长链路推理等Claude核心优势能力,并将事件上升至国家安全层面。
—— 彭博社 / 路透社 / FreeBuf
这并非Anthropic首次针对中国AI企业提出此类指控。早在2026年2月,Anthropic就以几乎一致的说辞,指控DeepSeek、月之暗面、MiniMax三家国内AI实验室实施大规模模型蒸馏。更早的2025年9月,Anthropic率先宣布停止向“中国控股的企业”提供服务,波及字节跳动、腾讯及阿里巴巴等多家公司。
层层加码之下,摩擦在2026年6月急剧升温。
事件时间线:从禁运到反禁运
- 2025年9月 — Anthropic率先宣布停止向“中国控股的企业”提供AI服务,阿里、字节、腾讯均在波及范围。
- 2026年2月 — Anthropic公开指控DeepSeek、月之暗面、MiniMax对Claude实施大规模蒸馏。
- 2026年3月 — Claude Code团队上线“实验性”检测机制(据事后说法),开始暗中标记中国用户。
- 2026年4月2日 — Claude Code 2.1.91版本发布,检测机制正式内置。
- 2026年4月22日—6月5日 — 据Anthropic指控,阿里相关人员通过约2.5万个账号与Claude产生超2880万次交互。
- 2026年6月8日 — 美国国防部发布“中国军事企业名单”(1260H名单),阿里、百度、比亚迪均在列。
- 2026年6月10日 — Anthropic向美国参议院银行委员会递交信函,正式指控阿里“工业级模型蒸馏攻击”。
- 2026年6月24日 — Anthropic指控内容被媒体曝光;同日,阿里向加州圣何塞联邦法院起诉美国国防部,要求将其从1260H名单中移除。
- 2026年6月30日 — Reddit网友逆向分析曝光Claude Code暗藏后门,以隐写方式上报数据。
- 2026年7月1日 — 美国商务部解除对Anthropic两款AI模型的出口管制,同日Anthropic信任危机与“解禁”上演。
- 2026年7月2日 — Claude Code团队回应称检测机制为“实验性”措施,宣布已回滚代码。
- 2026年7月3日 — 阿里内部宣布全面禁用Claude全系产品,7月10日生效;同日Qoder企业版全球发布。
国产替代:Qoder同日上位
禁令与新品发布在同一天落地并非巧合。
阿里在禁用通知中明确推荐员工使用 Qoder 作为替代方案。7月3日当天,Qoder企业版正式全球发布,为每位员工提供个人云端知识库QMind,实现知识自同步、自迭代,并支持资源池化的Credits付费模式。
从时间节点看,阿里对此早有准备。在Anthropic 6月10日致函参议院、6月24日指控曝光之后,全面切换自研产品已是必然。Claude Code后门事件的曝光,恰好为这一决策提供了安全层面的正当理由。
这一幕似曾相识。芯片领域美国制裁催生了华为麒麟的回归,大模型赛道上,类似的剧本正在AI编程工具领域上演。
深层博弈:AI工具的安全边界
阿里禁用Claude事件,表面是安全风险的应对,深层则是AI时代技术主权与数据安全的博弈。
一个值得深思的细节:Claude Code的检测机制并非通过常规遥测通道,而是将信息编码进日期格式——这种“隐写术”式的数据采集,意味着所有中国开发者过去三个月里都可能在完全不知情的情况下被标记和追踪。
对于企业而言,编程Agent工具拥有访问代码仓库、读取项目结构、分析代码逻辑的权限。如果工具本身内置了隐蔽的数据采集机制,其安全风险远大于普通消费级软件——它触及的是企业最核心的代码资产和技术机密。
当AI编程工具成为开发者的“第二双眼睛”,谁来保证这双眼睛不会替别人看?
Anthropic称此举是为了“防止账户转售和模型蒸馏”,但将中国科技企业域名列入检测清单、以隐写方式隐蔽传输数据的做法,已经超出了常规反滥用措施的边界。在中美科技博弈的大背景下,这种做法很难不让人产生更多联想。
阿里的“反向禁令”,本质上是对这一信任危机的最强回应。而Anthropic在7月1日刚获得美国商务部解除两款模型出口管制的“松绑”,次日就遭遇代码回滚,第三天即被中国最大科技公司之一全面拉黑——这场拉锯战远未结束。
关键数据
- 2.5万 Anthropic指控的虚假账号数
- 2880万 被指控的对话交互次数
- 147个 被检测的域名清单条目
- 7天 禁令缓冲期(7.3-7.10)
- 3个月 后门机制运行时长(4.2-7.2)
- 全系列 封禁范围(Sonnet/Opus/Fable/Code)
AI无国界,但AI工具必须有安全底线。
本文信息综合自以下权威媒体报道:
- 智东西:《突发:阿里全面禁用Claude》(2026年7月3日)
- IT之家:《消息称阿里巴巴全面禁用Anthropic旗下Claude产品:7月10日生效,全员卸载》(2026年7月3日)
- 凤凰网科技:《阿里为何禁用Claude?内部回应来了》(2026年7月3日)
- 第一财经 / TechWeb:《阿里内部全面禁用Claude Code,推荐使用Qoder》(2026年7月3日)
- 快科技:《因存在植入后门安全风险 阿里全面禁用Claude全系产品》(2026年7月3日)
- FreeBuf:《Anthropic指控阿里巴巴“非法”访问其Claude AI模型,创已知最大规模蒸馏攻击记录》(2026年6月)
- 彭博社 / 路透社:Anthropic致美国参议院银行委员会信函相关报道(2026年6月25日)
- Reddit:用户LegitMichel777对Claude Code逆向分析帖子(2026年6月30日)
- X (Twitter):Claude Code团队成员Thariq Shihipar官方回应(2026年7月2日)
更多AI安全与科技动态讨论,欢迎访问云栈社区。