Alibaba 禁止使用 Claude Code,因涉嫌後門與安全風險

Alibaba 禁止使用 Claude Code,因涉嫌後門與安全風險

Alibaba 因安全考量禁用 Claude Code

Alibaba 正在禁止員工在工作場所使用 Claude Code,原因是有報導指出其可能存在後門風險以及資料安全問題。公司據稱正指示員工改用自家內部程式開發平台 Qoder,以降低使用具深度存取權限的第三方 AI 工具所帶來的風險,這些工具能夠存取專有程式碼庫。

自主 AI 代理的核心安全風險

從簡單的 LLM 聊天介面轉向像 Claude Code 這樣的自主程式碼代理,會為企業帶來顯著的安全漏洞。因為這類工具必須對本機工作站與專有原始碼擁有廣泛的讀寫權限才能運作,從而形成高潛力的資料外洩向量。

產業觀察者指出,企業對能夠讀取大量專有程式碼庫的開發者工具越來越謹慎。風險不僅是意外的資料洩漏,更可能是刻意的「後門」或未記錄的功能,讓外部勢力能即時監控公司的智慧財產與內部思考過程。

Claude Code 未記錄功能的指控

技術使用者之間的討論顯示,Claude Code 可能內含偵測其執行環境的特定邏輯。有使用者聲稱,對該工具進行反編譯後發現了用於偵測軟體是否在中國時區與語系下執行的程式分支。

此外,也有報導指出「未記錄功能」可能會洩漏資料。這些說法暗示該工具可能會收集位置資料,或根據使用者的地理區域呈現不同的行為,進一步加劇了導致 Alibaba 禁令的擔憂。

地緣政治影響與「雲端風險」

此禁令凸顯了美國 AI 基礎設施依賴所帶來的更廣泛地緣政治緊張。技術評論者認為,任何遠端 AI 服務對於可能成為美國政府目標的實體而言,都構成安全風險,因為服務提供者理論上可以向情報機構提供即時活動資訊。

"所有遠端 AI 對於可能被美國政府盯上的個人/公司/政府而言,都是巨大的安全風險。美國很可能會從每個他們正在檢查的 AI 供應商那裡取得即時資訊,以辨識感興趣的事物……這將讓他們得以存取這些公司內部的思考過程以及大量文字型智慧財產。"

此觀點突顯了向本地 AI 與開源程式碼代理轉移的趨勢,讓公司能完全掌控資料,避免專有雲端模型的「黑箱」特性。

企業 AI 採用的循環

Alibaba 政策的轉變反映了更廣泛的企業 AI 採用與隨後修正的模式。許多組織最初急於採用「vibe coding」與自主代理以提升功能開發速度,卻在授予第三方公司對工作站的自主存取權後,意識到安全層面的衝擊。

隨著企業朝向更成熟的 AI 整合前進,焦點正從單純的生產力提升,轉向兼顧安全、資料主權,以及使用內部部署或開源替代方案的平衡策略。

Sources