近日,被曝阿里巴巴集团内部发出紧急通知,安全阿里要求全员立即停止使用 Anthropic 推出的风险 AI 编程助手 Claude Code,并全面禁用相关服务。全面这一举措源于该工具被曝出存在潜在的禁用数据泄露与安全风险,引发了企业级用户对代码资产保护的被曝强烈担忧。
事件背景
Claude Code 是安全阿里 Anthropic 最新推出的基于 Claude 模型的命令行编程助手,旨在通过自然语言交互提升开发效率。风险然而,全面随着其在开发者社区中的禁用快速普及,部分安全研究人员和内部员工发现,被曝该工具在处理敏感代码库时,安全阿里可能存在将代码片段上传至云端进行推理的风险风险。
核心风险点
代码数据外泄隐患
尽管 Anthropic 官方承诺不会使用客户数据训练模型,全面但在企业级应用场景中,禁用用户难以完全验证代码是否被临时缓存或用于其他用途。一旦涉及核心算法、私有 API 密钥或内部架构设计,任何微小的数据残留都可能构成重大安全隐患。合规性冲突
阿里巴巴等大型企业对数据主权和合规性有极高要求。在缺乏明确本地化部署选项或端到端加密保障的情况下,使用云端 AI 工具处理内部代码,可能违反内部信息安全政策及行业监管规定。供应链攻击面扩大
AI 编程助手作为新型开发工具,其插件机制、权限控制和网络请求路径增加了攻击面。若工具本身存在未披露的后门或第三方依赖漏洞,可能被恶意利用,导致整个开发环境被渗透。
阿里应对措施
- 立即停用:所有员工被要求即刻卸载并停止使用 Claude Code,包括个人设备上的本地安装版本。
- 审计排查:IT 与安全部门正在对近期使用过该工具的设备进行日志审计,排查是否存在敏感代码上传记录。
- 替代方案推荐:公司正加速推进内部自研 AI 编程助手及经安全认证的第三方工具(如通义灵码、GitHub Copilot 企业版等)的部署与培训。
- 政策更新:将 AI 编程工具纳入企业软件白名单管理,未来所有 AI 辅助开发工具需通过严格的安全评估与合规审查后方可引入。
行业影响
阿里巴巴的果断行动在科技圈引发广泛关注。多家头部互联网企业已启动对各类 AI 编程助手的安全评估,部分公司甚至暂停了相关工具的试用计划。此举凸显了企业在享受 AI 技术红利的同时,对数据安全和知识产权保护的重视程度正在显著提升。
专家观点
网络安全专家指出:“企业使用 AI 工具不应仅关注效率提升,更需建立‘零信任’思维。任何涉及核心资产的外部服务,都必须经过数据流向追踪、权限最小化和加密传输的全链路验证。”
结语
随着 AI 深度融入软件开发流程,如何平衡创新效率与安全合规,已成为全球科技企业面临的共同挑战。阿里巴巴的禁令并非否定 AI 编程助手的价值,而是提醒行业:在数据安全底线面前,谨慎与规范不可或缺。未来,具备本地化部署、私有化训练和透明数据治理能力的 AI 工具,或将更受企业青睐。