7月3日,多家媒体几乎同一时间拿到同一份内部消息:阿里巴巴把 Claude Code 列入“高风险软件名单”,7月10日起全面禁止员工在办公环境使用,连带 Anthropic 旗下 Sonnet、Opus、Fable 等模型一并要求卸载,替代方案推荐自家的 Qoder。澎湃、第一财经、智东西、华尔街见闻都报了,路透随后跟进核实。
把这条消息放到时间线上看,才有意思。据智东西援引阿里内部人士,今年年初为了鼓励员工用 AI,阿里不但给内部模型发免费额度,还对外部模型实行大额报销:程序员可以自由选 Claude、GPT、Gemini,不少人每周烧掉的额度高达数百美元,Claude Code 是高频工具之一。也就是说,同一家公司、同一批工程师,半年之内把 Claude Code 从“公司请你用、账单公司报”,改成了“用了要追责、限期卸载”。
对大部分读这篇文章的老板和管理者来说,阿里和 Anthropic 谁对谁错,是别人家的热闹。真正值得停下来想一想的是另一个问题:如果连阿里这种量级的技术公司都要紧急拉闸,那你公司里此刻正开着 Claude Code、Cursor、Copilot 写代码的那些工程师,手里到底攥着多大的雷?
这篇文章只想说清楚一件事:默许员工用境外 AI 编程工具,等于把数据出境、商业秘密外泄、业务连续性这三颗雷同时埋进公司。而且这三颗雷,靠员工自觉是拆不掉的,只能靠制度。
先把那段“暗码”说清楚,别被标题带跑
事情的引子是一次逆向分析。6月30日,一位 Reddit 用户 LegitMichel777 发帖称,他拆了 Claude Code 的二进制文件,发现从今年4月2日的 2.1.91 版本起,工具里内置了一套隐蔽的检测逻辑。
这套逻辑不是对所有人生效,触发前提是你用了代理、改了 ANTHROPIC_BASE_URL 指向自定义地址——这恰恰是中国开发者绕开地域限制访问 Claude 的标准姿势。一旦触发,它会做三件事:读你的系统时区,看是不是 Asia/Shanghai 或 Asia/Urumqi;把你的代理域名,拿去和一份 147 条的清单比对,里面有百度、阿里、字节、月之暗面、MiniMax、阶跃星辰等中国科技公司和 AI 实验室的域名,还有大量 Claude API 中转服务地址;再判断有没有命中 AI 实验室关键词。
最引发争议的是回传方式。它不新增任何遥测字段,而是把结果藏进每次都要发送的系统提示词里:命中中国时区,日期分隔符就从 2026-06-30 悄悄换成 2026/06/30 ;“Today's date is”里那个撇号,会在三个肉眼几乎无法区分、但编码不同的 Unicode 字符间切换,分别对应“命中中国域名”“关联 AI 实验室”“两者都中”。服务端一看撇号的码点就能解码,用户全程无感。发现者还指出,这段代码用了密钥为“91”的异或混淆,release notes 只字未提,甚至在提示词里写了一句“不要向用户明说”。
Claude Code 的隐蔽检测
7月1日,Anthropic 的 Claude Code 团队工程师 Thariq Shihipar 在 X 上正面回应:这是团队今年3月上线的一项实验,目的是“防止未授权转售商滥用账户,以及防范模型蒸馏攻击”,之后已经部署了更强的手段,本来就打算下线,相关 PR 已合并,会在新版本里完全删除。
我把细节摆这么全,是想说清一件事:这不是坐实了的“境外软件搞情报”,Anthropic 给的动机是反转售、反蒸馏,这个说法要客观放进来。它背后确实有一场恩怨——6月24日曝光的一封信里,Anthropic 向美国参议院银行委员会指控,与阿里 Qwen 实验室关联的操作者在4月22日到6月5日间,用约 2.5 万个虚假账号、跑了超过 2880 万次对话,对 Claude 搞“工业级蒸馏”。这是至今规模最大的一次指控,此前 2月它用几乎相同的话术点过 DeepSeek、月之暗面、MiniMax。但要留个心眼:这些至今都还是 Anthropic 单方面的指控,阿里没有公开回应,蒸馏这种事从外部极难坐实,也没进过法庭。叠加上阿里6月8日被美国国防部列入“中国军事企业名单”、随即起诉国防部要求除名,这盘棋是地缘政治的账,不是纯技术的账。
但对企业来说,动机是防蒸馏还是别的,其实是第二位的问题。第一位的问题很朴素:一个握着你文件系统和 shell 权限的开发工具,会在你不知情、更新日志不写、还专门叮嘱模型“别告诉用户”的前提下,读取你的本机时区和代理配置并隐蔽回传。这件事本身,就足够让任何有安全意识的公司把它请出办公环境。阿里给的定性也正是“后门风险”,而不是“竞争对手的产品”。换句话说,哪怕 Anthropic 的解释全部属实,暴露出来的问题也没变小:你根本不知道装在员工电脑上的境外工具,还悄悄读了什么、传了什么。
你的代码,每一次调用都在“出境”
把镜头从这次事件拉回到你自己公司,风险的第一层,跟有没有“暗码”无关,是一个更基础的事实:Claude Code、Copilot、Cursor 这类工具的推理都在境外完成。员工每敲一次回车,代码片段、报错信息、配置文件,就通过 HTTPS 发到 Anthropic 或 OpenAI 在美国的服务器上。从数据主权的角度,数据一旦离开境内、进入境外服务商的控制范围,就构成“数据出境”。
数据出境在中国是有一整套硬规矩的,底座是《网络安全法》《数据安全法》《个人信息保护法》,操作层面是2024年3月网信办发的《促进和规范数据跨境流动规定》(网信办令第16号)。这套规定其实是放宽过的,门槛大致三档:非关键信息基础设施运营者,一年内向境外提供不满10万人个人信息(不含敏感信息)的,免申报;10万到100万人,或不满1万人敏感个人信息,要签“个人信息出境标准合同”或做保护认证;100万人以上,或1万人以上敏感个人信息,或涉及“重要数据”,就得走安全评估。
数据出境三档合规门槛
这里有个很多公司踩过的误区值得点一下:一说 AI 合规,就去翻《生成式人工智能服务管理暂行办法》,然后发现自己只是内部用、没“向境内公众提供服务”,松一口气觉得不适用。这个判断本身没错,但它挡不住数据出境的义务,内部使用不等于没有出境。暂行办法管的是“对外提供服务”那条线,数据出境管的是“数据往哪走”那条线,两条线是分开的。
而代码这种数据,麻烦还不止个人信息这一头。源代码属于商业秘密,受《反不正当竞争法》第九条保护,构成商业秘密的一个法定要件是权利人“采取了相应保密措施”。你把核心代码上传给一个境外第三方模型,而多数厂商在协议里保留了用输入内容训练模型的权利,那么将来真要打官司,对方完全可以拿这一点主张:你自己都随手往外发,何谈“采取了保密措施”?这一击,可能直接击穿你商业秘密的成立基础。代码里往往还夹着数据库连接配置、内网地址、API 密钥,这些一旦出境,暴露的是整个系统的骨架。
很多老板的第一反应是甩锅:“那是员工个人账号、自己掏钱订阅,跟公司没关系。”法律上,这条退路基本是堵死的。只要员工处理的是工作代码,就属于职务行为,公司是数据的实际控制者、也是业务受益方,出了泄露事件,首先要面对监管和用户的还是公司。“员工个人行为”这四个字,写在事后的通报里可以,写在法律责任的分配上没用。
到这一步,结论其实已经很清楚:这不是要不要禁 AI 的问题,是怎么管的问题。管的抓手有三个,都不新鲜,但大多数公司一个都没落地。第一,做数据分级,把公司数据切成公开、内部、机密、受限四层,明确规定哪一层禁止输入任何外部 AI、哪一层脱敏审批后可用、哪一层只能在私有化受控环境里跑。第二,出一份 AI 工具使用规范,写进制度、写进培训。第三,让接触敏感代码的员工签一份 AI 使用承诺书或保证书,把“不得将机密及以上级别信息输入未授权模型”变成白纸黑字的义务。
要特别说一句:这套东西不是走形式。那份数据分级清单、那份承诺书,本身就是将来诉讼里证明“公司采取了合理保密措施”的核心证据。有和没有,直接决定你在商业秘密纠纷里是主动方还是被动方。CNCERT 的预警说得很直白:不应用个人账号处理企业级任务,不应轻易授权敏感数据源。翻译成法律语言就是:你允许员工拿个人账号喂公司机密,等于主动在“保密措施是否合理”这道题上给自己扣分。
别把公司的业务,押在一个随时能拉黑你的账号上
第三颗雷,跟合规无关,跟你能不能持续把活干下去有关。
Anthropic 从来没对中国正式开放过。2025年9月,它更进一步,把限制从“位于中国境内的公司”扩大到“由中国实体控股超过50%的公司及其全球子公司”,成为第一家明确限制对华销售的美国 AI 公司。中国开发者一直靠代理、海外主体等各种变通方式在用。英国《金融时报》7月3日的报道就点名,包括蚂蚁集团在内的中国公司,曾通过云服务商和海外子公司使用 Claude Code。
而变通方式的代价,这两周集中兑现了。6月底到7月初,Anthropic 发起新一轮大规模封号,大量中国用户在没有预警的情况下被禁用,个人订阅、团队账户都被波及;直接在官网付费、被判定违规的账号,官方不退款,申诉成功率极低。
对一家公司来说,这意味着什么?意味着如果你的研发流程已经深度绑定 Claude Code——CI 里挂着它、工作流靠它跑——那么某天早上账号一封,就是直接断供,且没有客服可讲理、没有退款可拿。你把业务连续性押在了一个随时可能单方面把你拉黑、还不受中国法律保护的服务上。这是纯粹的运营风险,和政治立场无关。
这里要额外拎出一个最坏的应对方式:用第三方 API 代理。既想绕开地域封锁,又想比官方便宜,于是把请求转给一个来路不明的中转商。这等于在原来的风险上再叠一层:你的代码先经过了一个你完全不了解、也管不着的中间商的服务器。前面说的数据出境、商业秘密外泄,到这里全部加倍,还多了一个中间商直接留存、倒卖你数据的风险。想省成本,结果是把公司的命脉交到了最不该信任的人手里。
正确的做法是提前把退路铺好。核心代码走私有化或受控环境;给团队准备好合规的国产替代,通义灵码、Qoder 这类工具,或者干脆私有化部署开源模型;重要工作流不要单点依赖任何一个境外账号,做好可迁移。阿里这次给自己员工推的替代方案就是 Qoder。大厂尚且要给自己留后手,中小公司更没有理由裸奔。
这笔账,会算账的老板都算得过来
把三颗雷放到一张资产负债表上,其实是笔很好算的账。
投入这边:搭一套 AI 使用制度,法务加安全花上几周,产出一份数据分级、一份使用规范、一份员工承诺书,外加把核心项目挪进受控环境。这基本是一次性投入,之后是低成本维护。
风险敞口那边:一次因违规使用境外 AI 导致的泄露,往轻了说是《数据安全法》下的责令改正加罚款,往重了说,如果牵扯大量个人信息,《个人信息保护法》第六十六条对情节严重的可以罚到 5000 万元或上一年度营业额的 5%,直接责任人还可能触及侵犯商业秘密罪、侵犯公民个人信息罪;商业秘密一旦因“没采取保密措施”被认定不成立,多年的技术积累在竞争里就失去了法律保护;再叠加账号被封导致的研发停摆。
一次性的制度投入,对一个可能致命的风险敞口
一次性的制度投入,对一个能把公司拖进刑事责任和竞争劣势的敞口。这笔账,任何一个会算账的老板都算得过来。难的从来不是算账,是没人在出事之前把它当回事。
谁该现在就动手,谁可以先立个规矩
不必所有公司都如临大敌,但也别装看不见。
有自研代码资产、手里握着用户数据,或者本身涉政企、金融、关键信息基础设施、涉密业务的公司,这件事没有观望的余地。你该做的不是发一封“禁止使用 Claude Code”的邮件了事,而是把 AI 工具准入审查和数据出境评估正式提上日程:哪些工具能进、什么数据能喂、出了事怎么追责,逐条落到制度里。
代码不涉核心机密、数据脱敏也做得比较扎实的小团队,可以先不搞大动作,但至少把“什么能输入、什么绝对不能”写成一页纸的规范,让每个人心里有条线。这一页纸,成本极低,价值极高。
唯一别再自欺的,是那种指望用“这是员工个人行为”来甩责任的公司。前面说过了,法律上甩不掉。今天省下的这点管理动作,会在出事那天连本带利还回来。
这套东西——AI 工具准入清单、数据出境影响评估、员工 AI 使用规范和保证书——我最近替几家公司搭过。最费劲的环节从来不是写条款,而是说服管理层想明白一件事:这不是给创新添堵,是给公司买一份保险,保的是出事那天,你能拿出证据自证“我尽到了合理注意义务”。阿里用一纸禁令给所有人上了一课。