突发!阿里7月10日全面禁用ClaudeCode,海外AI编程工具风险集中暴露

admin 2026-07-04 04:27:50 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 阿里因ClaudeCode存在沙箱逃逸、开源投毒及npm供应链后门三大高危漏洞,并内置识别中资设备逻辑,违反数据出境法规,决定7月10日起全面禁用该工具,推广自研Qoder。字节、快手等已先行封禁同类海外工具,行业趋势转向自研内网代码助手以保障数据安全。建议中小团队避免使用境外AI编程工具,拉取开源项目前扫描依赖。 综合评分: 85 文章分类: 漏洞分析,数据泄露,供应链安全,安全建设,解决方案


cover_image

突发!阿里7月10日全面禁用Claude Code,海外AI编程工具风险集中暴露

原创

安爸 安爸

安安是个小妹妹

2026年7月3日 22:51 安徽

在小说阅读器读本章

去阅读

7月3日最新消息,据阿里内部人士透露,因Claude Code存在多重高危安全漏洞与合规隐患,阿里已将其列入高风险软件清单,7月10日起办公环境全面禁止使用。

一、禁令落地:阿里全员停用Claude Code,自研Qoder替代

本次管控覆盖办公电脑、开发服务器、内网全场景,员工不得通过个人账户、代理等方式绕开限制,相关使用费用不予报销,内部统一推荐自研代码工具Qoder。阿里安全团队表示,公司数万研发人员若使用存在后门的海外工具,极易出现源码泄露、内网渗透等重大安全事故。

二、三大高危漏洞,代码资产安全岌岌可危

今年上半年Claude Code接连爆出致命漏洞,每一类都能直接入侵开发设备:

1. 沙箱逃逸缺陷:内置bubblewrap沙箱无法保护核心配置文件,恶意代码可植入持久钩子,工具重启后仍能以主机高权限窃取密钥与源码。

2. 开源项目投毒攻击:攻击者在GitHub仓库预埋恶意配置文件,开发者拉取项目并用Claude Code打开时,恶意程序自动静默运行,常规检测难以察觉。

3. npm供应链后门:有人持续在其依赖包植入窃取代码,后台悄悄上传项目文件、云凭证至境外服务器,形成长期数据窃取通道。

三、地缘合规风险加剧,工具内置国内用户检测逻辑

除技术漏洞外,Claude Code背后厂商Anthropic的态度与产品设计,进一步触发大厂警惕。

逆向代码发现,工具自带识别逻辑,可读取设备时区、国内企业域名,标记中资设备并回传信息;

早在去年9月,该公司就将使用禁令扩大至中国控股海外子公司,不少中资团队账号被无预警封禁。跨境传输代码、设备信息,既违反国内数据出境法规,也存在核心技术外泄隐患。

四、行业已成统一趋势:字节、快手早已封禁同类工具

阿里并非首个管控海外AI编程工具的头部企业,行业管控早已铺开:

字节跳动2025年5月下发内部通知,6月30日分批禁用Cursor、Windsurf等工具,强制自研Trae作为唯一合规代码助手;快手同年12月封锁Cursor,研发设备打开软件直接闪退,推广自研代码工具。

各家大厂逻辑高度一致:海外工具缺少国内合规资质,安全不可控,唯有自研内网代码助手,才能实现数据本地留存、操作全程审计。

五、行业启示:提效之外,安全才是开发底线

AI代码工具虽能大幅提升开发效率,但企业需守住安全红线。 对中小团队而言,办公环境杜绝境外AI编程工具,不借助代理访问海外代码助手,拉取开源项目前提前扫描依赖与配置文件,规避供应链攻击;对企业来说,内网自研代码工具已是大势所趋,国产工具功能持续完善,可兼顾效率与数据安全。

阿里封禁Claude Code给所有研发团队敲响警钟,效率永远不能凌驾于数据安全之上。你们公司是否管控海外AI编程工具?欢迎在评论区交流。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安安是个小妹妹 安爸 安爸《突发!阿里7月10日全面禁用Claude Code,海外AI编程工具风险集中暴露》

评论:0   参与:  0