刚刚,橙柿互动记者从阿里内部人士处获悉,因近期Claude Code被曝存在植入后门的安全风险,阿里经综合评估后已将其列入高风险软件名单。自7月10日起,阿里将全面禁止内部员工在办公环境下使用Claude Code,并推荐使用Qoder作为替代方案。
阿里的快速反应,源于一场波及整个开发社区的信任危机。
就在两天前,Anthropic承认其AI编程工具Claude Code的二进制文件中,存在一段潜伏长达三个月的特殊代码。该代码经XOR加密混淆,精准锁定了147个中国域名,美团、网易、百度、阿里、字节跳动等国内主流科技公司及AI实验室均在监控名单之上。
其识别手段极为隐蔽。与简单的地域封禁不同,Claude Code不检测网络出口IP,而是直接读取电脑本地时区,一旦命中“Asia/Shanghai”,用户便进入观察名单;同时,它内置了包含各大厂商及API代理商域名的黑名单。完成识别后,工具不会弹窗或报错,而是通过修改系统提示词中的日期格式和Unicode字符作为“秘密水印”,回传至服务器以标记中国用户,整个过程用户毫无察觉。
实际上,这并非Anthropic首次对中国用户采取非常规手段。过去一个月内,国内Claude用户已遭遇大范围封号,且封号邮件中还嵌入了地址追踪像素。从封号、追踪到暗藏间谍代码,层层加码的手段让开发者感到不安。
橙柿互动·都市快报 记者 沈积慧
编辑 肖旭
审核 毛迪 陈欣文
校对 叶芹
BREAK AWAY