存在后门风险,阿里反向禁用Claude

(文/观察者网 刘媛媛 编辑/吕栋)
7月3日,存后阿里巴巴内部发布紧急通知,门风宣布全面禁用Anthropic旗下Claude系列产品。险阿向禁阿里要求全体员工卸载包括Sonnet、存后Opus、门风Fable等模型系列,险阿向禁以及Claude Code在内的存后Agent工具。该项禁令已于7月10日正式生效。门风
观察者网证实,险阿向禁该消息属实。存后鉴于Claude Code近期被曝出植入后门及存在严重安全隐患,门风阿里经综合风险评估后,险阿向禁已将其列入高风险软件黑名单。存后自7月10日起,门风阿里严禁内部员工在办公环境使用Claude Code,险阿向禁并正式推荐内部自研工具Qoder作为替代方案。
禁令背后的安全风暴:从漏洞到后门
此次禁令并非突发奇想,而是基于Anthropic近期一系列累积的安全危机。
1. 早期漏洞与系统风险
早在2025年初,Claude Code上线不久便因自动更新机制存在严重缺陷而引发争议。当以root权限安装时,错误的更新命令会篡改关键系统文件的访问权限,导致部分用户工作站无法启动(“变砖”),最终需通过救援实例修复。
2. 高危远程代码执行漏洞(RCE)
2026年2月,Check Point Research披露Claude Code存在多个高危RCE漏洞。攻击者可利用恶意配置文件在用户设备上执行任意代码。主要漏洞包括:
* CVE-2025-59536(CVSS评分8.7):允许攻击者在用户启动Claude Code时自动执行任意Shell命令。
* CVE-2026-21852:可在用户打开恶意仓库时窃取API密钥,并将认证流量重定向至攻击者控制的服务器。
3. 源代码泄露与静默安装
* 代码泄露:3月底,Anthropic因构建配置失误,意外暴露了Claude Code的完整源代码,其中包含未发布的KAIROS系统及UndercoverMode子系统。
* 静默安装:同期,安全研究员Alexander Hanff发现,macOS版Claude Desktop会在用户设备上静默安装Native Messaging清单文件。该行为为三个预授权的Chrome扩展ID建立了与本地可执行文件的通信桥梁,且无需权限提示,每次启动均会重新写入。
4. 针对性指纹与架构缺陷
今年6月,安全社区传出“Claude Code内置隐蔽指纹标记系统,专门检测中国用户”的消息(虽未获官方证实,但加剧了安全焦虑)。与此同时,OX Security发现Anthropic的MCP协议存在根本性架构缺陷:官方SDK在所有支持语言中均未对命令字符串进行有效验证或清理,导致攻击者可通过提示注入或恶意市场下载执行任意命令。
地缘政治下的“双向切割”
此次禁令不仅是技术决策,更折射出中美科技博弈进入深水区后的“双向切割”趋势。
Anthropic的“蒸馏攻击”指控
6月24日,Anthropic向美国参议院银行委员会递交信函,指控阿里巴巴在4月22日至6月5日期间,利用约2.5万个虚假账号与Claude进行超2800万次交互,将其定性为“工业级模型蒸馏攻击”,并上升至国家安全层面。
这并非Anthropic首次使用此话术。2026年2月,其曾公开指控DeepSeek、月之暗面与MiniMax对中国AI实验室实施大规模蒸馏攻击,引发马斯克等科技界人士声讨。尽管学术界对“基于公开API的交互学习是否构成攻击”尚存争议,且海外网友质疑其为商业竞争手段,但Anthropic选择将技术竞争政治化。
阿里巴巴的反制与诉讼
同日,阿里巴巴证实向美国加州圣何塞联邦法院提起诉讼,要求将其从美国国防部发布的“中国军事企业名单”中移除。该名单于6月8日发布,涵盖阿里、百度、比亚迪等中国头部企业。尽管非正式制裁,但其引发的寒蝉效应显著,市场担忧相关企业将面临美国前沿技术使用限制及供应链风险。
这种“一边扩大限制清单,一边收紧技术服务”的操作,共同指向在AI战略制高点上构建针对中国的技术隔离带。
代码资产与数据安全:生命线不容有失
对于阿里巴巴而言,代码资产与数据安全是核心生命线。Claude Code作为深度集成开发环境的Agent,拥有读取代码库、执行命令及访问敏感配置的高权限。一旦存在后门,其破坏力远超普通应用。
供应链攻击的新形态
* SkillJect研究:2026年6月发表的论文《SkillJect》指出,Agent技能生态已成为新型供应链攻击面。攻击者可在技能包中植入隐藏指令,实现持久化后门。
* Snyk审计数据:2026年2月对近4000个技能的审计显示,13.4%存在关键级安全问题,包括恶意软件分发、提示注入及凭证外泄。
* AI策划网络间谍:2025年11月,Anthropic披露一起“AI策划网络间谍活动”,攻击者通过越狱让Claude执行侦察、漏洞利用及数据渗出,AI完成了80%-90%的攻击工作量。
这意味着,若Claude Code存在可操控后门,其自主执行能力将沦为攻击者的自动化武器。阿里此次禁令覆盖Sonnet、Opus、Fable等多系列模型,体现了基于供应商风险评估的全面断联,旨在预防未知后门。
替代方案:Qoder的安全优势
阿里推荐的替代方案Qoder,在架构设计上强调可控性与数据主权。
- 产品背景:Qoder IDE于2025年8月推出,定位为Cursor的国内版,具备Quest自主编程、Repo Wiki等功能;同年10月,Qoder CLI正式上线,直接对标Claude Code,提供命令行AI编程体验,支持多文件编辑、命令执行、代码审查及Git工作流集成,并兼容MCP Server、Subagent等标准功能。
- 安全优势:与Claude Code的闭源策略不同,Qoder作为阿里内部生态产品,在数据主权、代码审计及权限管控方面具备天然优势。
- 规避风险:使用Qoder意味着代码无需流经境外服务器,模型推理可在阿里云国内节点完成,从根本上规避了数据跨境传输及供应链安全风险。
凯明格资讯网

