Il colosso cinese Alibaba ha vietato ai propri dipendenti l’uso di Claude Code, l’agente di programmazione basato su intelligenza artificiale sviluppato da Anthropic, a partire dal 10 luglio. La decisione arriva dopo che alcuni ricercatori di sicurezza hanno sostenuto che il software conteneva un codice nascosto pensato per capire se chi lo utilizzava si trovasse in Cina o fosse collegato a laboratori di IA cinesi. Secondo quanto emerso il 3 luglio, l’azienda avrebbe inserito Claude Code in una lista di software ad alto rischio con vulnerabilità di sicurezza, parlando apertamente di potenziali rischi legati a un backdoor.
Ai dipendenti sarebbe stato indicato di passare a Qoder, la piattaforma di coding sviluppata internamente da Alibaba. La direttiva, stando a voci provenienti da fonti interne all’azienda, andrebbe però ben oltre la semplice sostituzione di uno strumento. Al personale sarebbe stato chiesto di disinstallare tutti i prodotti Anthropic, comprese le famiglie di modelli Sonnet, Opus e Fable. Un segnale netto, che si inserisce in una frattura tra le due aziende esplosa il mese precedente, quando Anthropic aveva accusato operatori collegati al laboratorio Qwen di Alibaba di aver condotto il più grande attacco di distillazione mai registrato contro Claude.
Alibaba: cosa avrebbe scoperto la ricerca sul codice
Tutto è partito da un post pubblicato il 30 giugno su Reddit, nella community r/ClaudeAI, da un utente che affermava di aver fatto reverse engineering di Claude Code mentre ripristinava una funzione di controllo remoto disattivata. Secondo la sua ricostruzione, una logica di rilevamento offuscata sarebbe stata distribuita in silenzio a partire dalla versione 2.1.91, uscita il 2 aprile, senza alcuna traccia nelle note di rilascio. Quando veniva individuato un proxy, il codice avrebbe verificato se il fuso orario del sistema corrispondesse ad Asia/Shanghai o Asia/Urumqi, confrontando poi l’indirizzo del proxy con un elenco predefinito di domini cinesi e identificatori di laboratori di IA. Tra questi comparirebbero Alibaba, Baidu, Ant Group e ByteDance.
A trasformare una scoperta tecnica in un vero caso è stato il metodo con cui i dati sarebbero stati trasmessi. Invece di inviare un segnale evidente, lo strumento avrebbe codificato le sue rilevazioni in modo steganografico, modificando il formato della data e sostituendo un carattere di punteggiatura nel prompt di sistema rimandato ai server di Anthropic. Invisibile per chi usa il programma, ma leggibile in automatico dall’altra parte. L’autore del post ha definito questa trasmissione nascosta di dati una violazione fondamentale della fiducia degli utenti, spiegando che chiedeva solo trasparenza.
La frattura tra Anthropic e Alibaba
Anthropic non ha rilasciato dichiarazioni ufficiali, ma Thariq Shihipar, ingegnere del team di Claude Code, ha affrontato la questione su X descrivendo il meccanismo come un esperimento lanciato a marzo, pensato per contrastare l’abuso degli account da parte di rivenditori non autorizzati e per proteggersi proprio dalla distillazione. Shihipar ha aggiunto che il team intendeva rimuovere quel codice da tempo e che la modifica è stata integrata il 1 luglio, il giorno dopo il post su Reddit.
Il tempismo del divieto imposto da Alibaba si incastra perfettamente nella tensione crescente. Il 10 giugno Anthropic aveva inviato una lettera ai vertici della commissione bancaria del Senato statunitense, accusando operatori legati al laboratorio Qwen di aver usato quasi 25.000 account fraudolenti per generare 28,8 milioni di scambi con Claude tra il 22 aprile e il 5 giugno. Un tentativo definito di livello industriale per distillare le capacità di ragionamento e ingegneria del software del modello. Alibaba ha negato ogni illecito, senza entrare nel dettaglio.
La distillazione, ovvero l’addestramento di un modello più piccolo sfruttando gli output di uno più capace, resta in una zona grigia sul piano legale ed etico che il settore non ha ancora chiarito. Dopo la lettera al Senato, Anthropic ha introdotto restrizioni pesanti sugli account, tagliando fuori numerosi utenti cinesi senza preavviso. L’azienda mantiene la linea più rigida del settore sull’accesso dalla Cina. Si è infatti dichiarata l’unica realtà di frontiera a limitare il servizio a entità di proprietà cinese, anche tramite controllate registrate all’estero. Proprio per questo gli sviluppatori cinesi raggiungono Claude Code attraverso proxy, e proprio per questo una funzione di rilevamento attivata dai proxy viene letta, da quel lato del mondo, come uno strumento costruito per stanarli.
La vicenda si colloca dentro un rapporto tra Stati Uniti e Cina sull’intelligenza artificiale che nel 2026 ha oscillato in entrambe le direzioni. Washington aveva prima imposto restrizioni all’export di chip verso la Cina, per poi allentare i controlli quest’anno autorizzando circa 10 aziende cinesi, Alibaba compresa, ad acquistare gli H200 in quantità fino a 75.000 unità per cliente. Pechino, dal canto suo, ha scoraggiato le proprie aziende dal comprare silicio americano approvato, citando ragioni di sicurezza e spingendo verso una filiera dell’IA tutta interna. Ora anche l’accesso al software sembra seguire la stessa strada fatta di sbarramenti. Anthropic blocca la Cina a livello di account, la più grande azienda tecnologica cinese blocca Anthropic a livello aziendale. In precedenza OpenAI aveva bandito numerosi account collegati alla Cina, accusati di amplificare artificialmente le proteste contro i costi dell’elettricità dei data center americani.