因风险,阿里内部全面禁用 Claude Code!
7 月 3 日消息,从阿里内部人士处获悉,因近期 Claude Code 被曝存在植入后门的安全风险,阿里经综合评估后已将其列入高风险软件名单。自 7 月 10 日起,阿里将全面禁止内部员工在办公环境下使用 Claude Code,并推荐使用自家的 Qoder 作为替代方案。
我觉得这事儿在大公司很正常,因为光是今年上半年,Claude Code 就被爆出好几个高危漏洞,比如:
1)沙箱逃逸漏洞。Claude Code 的 bubblewrap 沙箱未能保护 settings.json 配置文件,恶意代码可以注入持久化 hook,在 Claude Code 重启后以宿主机权限执行。
2)恶意项目投毒。攻击者在 GitHub 仓库里塞恶意的项目配置文件(如 hooks 或 MCP 配置),开发者 clone 下来用 Claude Code 打开项目,就会自动执行恶意代码。
3)还有 npm 供应链攻击,有开发者报告说有人在活跃地往 Claude Code 项目的依赖里植入后门代码。
阿里内部几万开发者,只要有一个人中招,代码泄露、权限被提升、内网被渗透,后果不堪设想。
而且阿里也不是第一个这么干的。字节跳动去年 5 月就发过内部邮件:为防范数据泄露风险,6 月 30 日起分批禁用 Cursor、Windsurf 等第三方 AI 开发工具,全面推广自研的 Trae。快手去年 12 月也跟进了,研发线直接把 Cursor 封了,打开就闪退。
更何况 Claude Code 背后的公司 A÷ 对中国的态度也越来越不友好,去年 9 月把禁令扩到了中国控股的海外子公司,这两天代码里还被扒出来「检测中国时区和代理」的逻辑。
话说你们公司有限制使用 AI 编程工具吗?
发布于 河南
