作者|格林 董义振 出品 | 新芒xAI
过去几年,“国产替代”这个词更多出现在芯片、数据库、操作系统、工业软件这些领域。
但现在,它开始进入一个更细、更日常、也更敏感的位置:程序员每天写代码的工具。
据 Tom’s Hardware、Times of India 等媒体援引一财和 SCMP 报道,阿里将从 2026 年 7 月 10 日 起,在办公环境中禁用 Anthropic 的 AI 编程工具 Claude Code,并建议员工转向内部 AI 编程平台 Qoder。
报道还称,阿里将 Claude Code 列入高风险软件名单,原因是内部评估认为其存在潜在安全风险。
这件事表面上是一次软件封禁。
但放在 2026 年的 AI 产业背景里看,它更像一个信号:AI 编程工具正在从“效率插件”,变成企业软件供应链、数据安全和技术主权的一部分。
▌
这不是普通的代码助手
Claude Code 和传统代码补全工具不一样。
过去的代码助手,主要是在 IDE 里补几行代码、解释一个函数、生成一个测试用例。它更像一个坐在旁边的高级搜索框。
但 Claude Code 这一代 AI 编程工具已经进入 Agent 阶段。它可以读取项目文件,理解代码库结构,执行命令,修改文件,调用外部工具,甚至根据任务目标连续规划多步操作。
换句话说,它不只是“帮你写代码”,而是在某种程度上进入了开发流程。
这也是为什么企业会变得紧张。
一个能读仓库、改代码、跑命令、接触配置文件和业务逻辑的 AI Agent,天然会接近公司最核心的资产:源代码、架构设计、内部文档、接口信息、测试数据、研发流程,甚至可能包括密钥和访问凭证。
对个人开发者来说,它是效率工具;对大公司来说,它就是一个进入研发内网的外部智能体。
一旦工具背后的服务商不在企业可控范围内,问题就不只是“好不好用”,而是“能不能被信任”。
▌
争议从一个“检测机制”开始
这次事件的直接导火索,是外界对 Claude Code 内部检测逻辑的质疑。
据报道,有研究者和用户称,Claude Code 中存在针对中国用户或中国 AI 实验室的检测机制,会检查时区、代理 URL 和部分中国公司相关标识,并通过较隐蔽的方式把相关信号传回 Anthropic。
Anthropic 方面尚未发布正式声明。Tom’s Hardware 报道称,Claude Code 团队一名工程师曾在 X 上回应,将相关机制描述为一次用于防止账号滥用、未授权转售和模型蒸馏的实验,并称相关移除代码已在 7 月 1 日合并。
这就形成了一个典型的信任分裂。
从 Anthropic 的视角看,它可能认为自己是在做反滥用、防爬取、防模型蒸馏、防止违规访问。
但从中国企业的视角看,一个外部 AI 编程工具如果会在本地环境里做地理、代理和公司身份相关检测,即使初衷是风控,也足以被视为高风险。
因为代码工具和普通聊天机器人不同。
聊天机器人拿走的是一段输入;编程 Agent 可能接触的是整个工程环境。
▌
背后是更大的 AI 软件摩擦
这次阿里禁用 Claude Code,并不是孤立事件。
此前,Anthropic 曾指控与阿里 Qwen 实验室相关的操作者通过大量账号访问 Claude,进行模型蒸馏。
Business Insider 报道称,Anthropic 在致美国参议员的信中表示,相关操作者在 2026 年 4 月至 6 月期间,通过近 2.5 万个账号与 Claude 发生了 2880 万次交互,试图提取其软件工程和推理能力。
阿里方面并未对这些指控作出详细公开回应。
与此同时,Financial Times 报道称,Anthropic 正在加强对中国公司绕道使用 Claude 的限制,包括通过海外主体、云服务和代理网络访问的情况。
所以这场争议的本质,不只是“阿里不用 Claude Code 了”。
它其实是两件事撞在了一起:
一边,美国前沿模型公司越来越担心中国公司通过 API、代理和蒸馏获得模型能力。
另一边,中国大型科技公司越来越担心美国 AI 工具进入自己的研发体系后,会带来代码、数据和工程环境风险。
硬件上的限制与反限制,正在蔓延到软件层。
▌
AI 编程工具也开始“国产替代”了
过去说 AI 国产替代,很多人想到的是大模型本身:通义千问、豆包、Kimi、DeepSeek、智谱 GLM 等。
但这次更值得注意的是,替代对象不是聊天模型,而是编程工作流。
这意味着国产替代正在从模型层进入工具层。
如果一家企业只是换一个底层大模型,影响的是回答质量和调用成本;但如果它换掉 AI 编程工具,影响的是研发流程、权限体系、代码审查、CI/CD、知识库、插件生态和工程规范。
真正难的地方也在这里。
企业级 AI 编程工具不是套一个大模型就够了。它至少要解决五个问题:
第一,代码上下文能不能读懂。大型企业的代码库往往跨语言、跨服务、跨团队,模型必须理解遗留系统和内部框架。
第二,权限边界能不能管住。哪些目录能看,哪些命令能执行,哪些数据不能出域,都要有细粒度控制。
第三,结果能不能审计。AI 改了什么、为什么改、谁批准、能不能回滚,必须有记录。
第四,能不能接入企业内部工具链。代码仓库、缺陷系统、发布平台、知识库、测试平台,都不是孤立存在的。
第五,出了问题谁负责。AI Agent 引入的漏洞、误删、错误修复、依赖污染,最终责任不能悬空。
所以,Qoder 如果只是“国产 Claude Code”,还不够。
它真正要成为企业内部可用的 AI 编程平台,必须比 Claude Code 更懂阿里的工程体系,也必须在安全、权限、审计和合规上更可控。
▌
“好用”与“可信”开始分离
过去开发者选择工具,核心标准很简单:谁更聪明,谁更好用,谁生成代码更准。
但大公司选择 AI 编程工具,标准会变得完全不同。
它不一定选择最强的模型,而是选择最可控的系统。
这就是企业 AI 和个人 AI 最大的分叉。
个人开发者可以为了效率使用最强工具,哪怕它来自海外,哪怕数据边界不够清晰。大公司不行。一个工具只要进入研发内网,就必须接受企业安全体系的约束。
这也会改变 AI 编程工具的竞争逻辑。
未来最有价值的产品,不一定是单点能力最强的代码模型,而是能提供完整企业级闭环的平台:本地化部署、私有知识库、权限管理、日志审计、代码扫描、模型路由、风险拦截、成本控制、多人协作。
AI 编程工具的战场,正在从“谁写代码更快”,转向“谁能安全地进入企业研发系统”。
▌
中国厂商的机会来了,但也更难了
对中国 AI 厂商来说,这件事当然是机会。
当海外前沿模型因为地缘政治、服务条款、数据安全和访问限制变得不稳定,国内企业会更愿意使用国产模型和国产工具。
但机会不等于胜利。
国产 AI 编程工具要真正替代 Claude Code、GitHub Copilot、Cursor 这类产品,不能只靠“安全可控”四个字。
开发者最终还是要看体验。
能不能理解复杂需求?能不能在大型代码库里定位问题?能不能少改错代码?能不能自动写测试?能不能解释架构?能不能在不打扰开发者的情况下完成小任务?
如果国产工具既安全,又能嵌入企业工程体系,还能在实际开发中省时间、少出错,它才有机会成为真正的生产力工具。
这也是 Qoder 这类内部工具接下来最值得观察的地方。
这可能是 AI 软件供应链的拐点
过去我们讨论软件供应链安全,通常说的是开源依赖、npm 包、镜像仓库、CI/CD 脚本、第三方 SDK。
现在,一个新的变量进入了供应链:AI Agent。
它不像传统软件那样只执行预设逻辑,而是会根据上下文生成行动。它能读、能写、能推理、能调用工具,还能在看似合理的目标下执行危险操作。
这让企业安全边界变得更复杂。
一个 AI 编程 Agent 到底算开发工具、外包工程师、自动化脚本,还是云服务入口?
它的权限该怎么给?
它产生的代码怎么审?
它看到的上下文算不算数据出境?
它调用外部模型时,企业源代码是否被间接暴露?
这些问题,都会在未来两三年变成企业 CIO、CTO 和安全团队绕不开的议题。
阿里禁用 Claude Code,只是把这个问题提前摆上了台面。
▌结语
这件事最值得讨论的,不是阿里和 Anthropic 谁对谁错。
真正重要的是:AI 编程工具已经重要到不能再被当作普通效率软件。
当一个工具可以进入代码库、理解业务系统、修改工程文件、调用命令行,它就不再只是“程序员的助手”,而是企业研发基础设施的一部分。
基础设施天然会要求可控、可审计、可替代。
所以,AI 编程工具的国产替代不是简单的民族情绪,也不是一句口号。它背后是企业对代码资产、数据边界、研发主权和供应链安全的重新评估。
过去,程序员问的是:哪个 AI 写代码最强?
以后,大公司还会多问一句:哪个 AI 可以放心放进我的代码库?
这才是阿里禁用 Claude Code 这件事真正的含义。
参考资料
Tom’s Hardware:Alibaba bans Anthropic's Claude Code
Business Insider:Anthropic is accusing China's Alibaba of exploiting its AI models
Financial Times:Anthropic moves to close loopholes that allow Chinese access to Claude
Times of India:Alibaba employees told to stop using Claude Code
专注「AI前沿科技」和「大公司商业秩序」
兼具内容品质和传播影响力

