未分类

Claude-Code隐写后门风波持续发酵,阿里全面停用切换自研,百炼配套迁移方案全面落地

近期,Claude-Code曝出定向隐写窃密高危漏洞,针对性的数据窃取风险引发全球产业对境外AI工具底层安全的普遍质疑。为适配国内网络安全与数据跨境合规要求,阿里巴巴出台专项管控措施,要求全员于7月10日前停用、卸载Anthropic全系产品,内部研发代码智能体统一替换为自研QoderWork-CN。此次替换覆盖阿里海内外所有研发体系,是国内头部科技企业实现AI研发基础设施自主可控的标杆性举措,获得海外科技领域广泛关注。
经技术逆向核验与权威安全机构认证,Claude-Code安全问题源于版本迭代中预埋的隐蔽采集模块,区别于常规功能性漏洞。该模块自2026年4月上旬版本更新后静默上线,近三个月内持续潜伏运行,全程无用户告知与授权提示。其具备精准地域识别能力,可抓取终端时区、代理链路、访问域名等设备指纹,定向筛查国内政企、云厂商及研发机构场景,针对性窃取本土研发数据,安全风险极具指向性。
该工具通过隐形字符替换、文本结构篡改等隐写方式,将核心研发代码、项目文档、设备信息等涉密数据封装于常规业务报文内,隐秘完成跨境回传。工信部安全监测平台已将其定性为高危风险,确认该行为可绕过用户授权,违规窃取企业核心研发资产,极易引发技术外泄、涉密数据非法跨境流转等重大安全事故。
企业自研代码、架构方案与核心业务逻辑是科技企业的核心技术壁垒与战略资产。长期依赖境外闭源AI工具,将导致核心研发数据管控权外流,数据流转、模型迭代全程不可控,不仅存在知识产权泄露、技术被逆向解析的风险,还不符合国内数据安全与跨境合规法规。为筑牢技术安全底线、实现合规长效经营,阿里全面替换境外AI工具,从研发基础设施层面根除系统性安全隐患。
为保障研发工作平稳衔接、规避效能波动,阿里将自研QoderWork-CN定为内部唯一代码智能体替代方案。该产品深度适配阿里多元业务场景,针对主流开发语言、云原生架构、数据库研发等核心技术栈完成定制优化,贴合内部研发与审计标准。其内置企业级权限审计系统,全流程留存研发日志,所有数据闭环部署于私有内网,从底层彻底解决境外模型普遍存在的管控失控、隐性采数、后门漏洞等问题。
本次工具升级是阿里全球研发体系的标准化治理举措,而非局部业务调整。集团海内外所有研发团队、跨境技术部门统一执行风控要求,全面停用Anthropic全系产品,整体迁移至通义千问Qwen自研生态,实现全球研发基础设施安全、合规、自主可控的统一管控。
针对行业开发者迁移难、成本高、业务易断层的痛点,阿里云百炼上线Claude专属一键迁移工具,全面兼容原有Claude研发流程、智能体配置、函数调度及提示词体系。开发者无需重构核心逻辑与参数,即可将存量项目无缝平移至通义千问生态,大幅缩短迁移周期,保障研发业务稳定连续。
为加速行业国产化替代,阿里云升级开发者算力扶持政策,将通义灵码Qwen-Coder-Plus免费Token额度提升3倍,单日免费算力达1000万tokens。充沛算力可全面覆盖项目开发、架构优化、漏洞巡检、自动化测试等研发场景,助力个人及中小团队低成本、高效率完成从境外AI工具到国产代码大模型的体系切换。
行业分析指出,阿里此次全域替换动作,标志着国内AI研发产业从工具粗放复用转向自主可控的结构性升级。境外AI工具长期垄断市场,但其核心技术、数据权限、迭代规则均由境外掌控,隐性采数、无序跨境传输、安全漏洞等问题难以根治。随着国内合规体系持续完善,政企及大中型研发主体对自研安全基础设施的需求持续攀升,国产AI工具替代已成行业必然趋势。
目前,阿里已构建“自研工具底座+轻量化迁移服务+普惠算力”的完整国产化替代闭环,依托QoderWork-CN筑牢企业研发安全根基,凭借百炼生态赋能全行业技术升级。在境外AI工具信任危机凸显的背景下,国产代码大模型技术与生态持续成熟,阿里的标杆实践有效打破境外产品垄断,重塑国内AI研发工具格局。长远来看,技术自主、数据合规、生态本土化将成为企业研发建设核心标准,推动国内AI研发生态迈入安全化、规模化、高质量发展新阶段。