Alibaba prohíbe Claude Code a su personal por un presunto backdoor de Anthropic
Alibaba veta Claude Code a su personal desde el 10 de julio por un código oculto que detectaba usuarios en China.
TL;DR:
- Alibaba clasificó Claude Code como software de alto riesgo y prohibió su uso interno a partir del 10 de julio de 2026.
- El detonante fue un código presente desde la versión 2.1.91 (2 de abril) que, según investigadores, detectaba a usuarios en China o ligados a laboratorios como Alibaba, Baidu, ByteDance y Moonshot AI.
- Anthropic no lo niega del todo: un miembro de su equipo dijo que era una medida antiabuso y que ya lo retiraba, pero ninguna firma independiente ha auditado el caso.
Alibaba prohibió a sus empleados usar Claude Code, el asistente de programación de Anthropic, y lo clasificó como software de alto riesgo. La medida entra en vigor el 10 de julio de 2026 y responde al hallazgo de un código oculto que, según investigadores de seguridad, detectaba si un usuario estaba en China o vinculado a un laboratorio chino de inteligencia artificial. El gigante tecnológico chino no confirmó la decisión en público ni respondió a solicitudes de comentario. La orden cae en el peor momento para ambas partes: a mediados de junio, Anthropic acusó a operadores ligados al laboratorio Qwen de Alibaba de la mayor campaña de distillation registrada contra Claude. Ahora Alibaba contraataca con su propia acusación, esta vez sobre un presunto mecanismo de espionaje incrustado en el software.
Alibaba clasificó Claude Code como software de alto riesgo
La orden quedó por escrito en una circular interna que Alibaba distribuyó el jueves, un documento al que tuvo acceso el diario South China Morning Post, que pertenece al propio grupo Alibaba.
"Tras detectarse recientemente que Claude Code presenta riesgos de puerta trasera, y después de una evaluación exhaustiva, Claude Code se incorporó a una lista de software de alto riesgo con vulnerabilidades de seguridad."
Así lo indica la circular interna de Alibaba. Todo el personal tiene prohibido usar la herramienta en la oficina desde el 10 de julio. El veto lo reportó primero el medio financiero chino Yicai, y lo corroboró después Reuters citando a una sola persona con conocimiento del asunto. Ninguno obtuvo respuesta oficial de la empresa.
Un backdoor, o puerta trasera, es un mecanismo oculto dentro de un software que permite eludir sus controles normales, por ejemplo para detectar, acceder o señalizar algo sin que el usuario se entere. Lo que los investigadores describen aquí no es un acceso remoto abierto, sino un sistema de detección silenciosa.
Qué hacía el código oculto, según quien lo destapó
El origen del escándalo es una publicación del 30 de junio en Reddit, firmada por un usuario identificado como LegitMichel777, que asegura haber aplicado ingeniería inversa a Claude Code mientras restauraba una función de control remoto desactivada. El análisis técnico también circuló en GitHub.
Según ese análisis, las versiones de Claude Code posteriores a la 2.1.91, publicada el 2 de abril de 2026, hacían tres cosas:
- Revisaban en silencio la configuración de proxy y la zona horaria del sistema del usuario.
- Comparaban esos datos contra dos listas ocultas que, según el investigador, nombraban redes corporativas, regiones de nube y laboratorios chinos de IA, entre ellos Alibaba, Baidu, ByteDance y Moonshot AI.
- Si había coincidencia, no mandaban telemetría explícita: en su lugar, cambiaban el formato de la fecha y sustituían un signo de puntuación dentro del propio system prompt de la herramienta para codificar el hallazgo.
Analistas citados por Cyber Security News advierten que ese tipo de señalización encubierta puede escapar a las herramientas de monitoreo habituales, lo que la vuelve difícil de detectar.
La versión de Anthropic y el pleito de fondo con Qwen
Anthropic no publicó un comunicado formal. Un integrante de su equipo de Claude Code, identificado como Thariq, respondió en redes sociales que el mecanismo buscaba frenar la reventa de cuentas y la distillation de modelos, y que se eliminaría en la siguiente versión. The Register y otros medios reportaron que el retiro ya estaba en marcha hacia el 1 de julio. En otras palabras, la compañía no niega que el código existiera: discute para qué servía. Estuvo activo cerca de tres meses.
La distillation (destilación) es una técnica para entrenar un modelo de IA más barato: se consulta de forma masiva a uno más avanzado y se usan sus respuestas como material de entrenamiento para imitarlo.
Este pleito no salió de la nada. En una carta fechada el 10 de junio y enviada a senadores de Estados Unidos, Anthropic acusó a operadores ligados al laboratorio Qwen de Alibaba de operar casi 25 mil cuentas fraudulentas para extraer las capacidades de programación y razonamiento de Claude, con más de 28.8 millones de intercambios entre el 22 de abril y el 5 de junio. La existencia de esa carta la reportó Bloomberg. Anthropic la describió como la mayor campaña de este tipo que ha detectado, por encima del volumen combinado de tres casos previos que atribuyó a DeepSeek, Moonshot y MiniMax. Alibaba tampoco se pronunció en público sobre esa acusación.
Por qué el caso pesa más allá de las dos empresas
Si el veto se aplica como está descrito, Alibaba sería de las primeras grandes empresas en restringir Claude Code por el presunto mecanismo, y no por costo o competencia. Los más expuestos serían los desarrolladores en China que enrutan su tráfico por proxy para siquiera alcanzar la herramienta: justo el perfil que el sistema de detección, si operaba como se describe, marcaba.
El episodio sube otro peldaño en el pulso entre Estados Unidos y China por la inteligencia artificial. En las últimas semanas Anthropic ya había endurecido el acceso de usuarios chinos a sus modelos, y Washington impuso controles de exportación sobre sus modelos Mythos y Fable por motivos de seguridad nacional.
Preguntas rápidas sobre el veto a Claude Code
¿Qué es Claude Code?
Claude Code es el agente de programación por línea de comandos de Anthropic. Deja a los desarrolladores escribir y depurar software desde la terminal, no desde una ventana de chat. Es uno de los productos empresariales de más rápido crecimiento de la compañía.
¿Anthropic reconoció el backdoor?
No emitió un comunicado formal, pero un integrante del equipo de Claude Code dijo en redes que el mecanismo era una medida contra el abuso de cuentas y la distillation, y que se retiraría en la próxima versión. Reportes indican que la eliminación empezó cerca del 1 de julio de 2026.
¿Desde cuándo estaba el código en Claude Code?
Según el análisis del investigador que lo destapó, las versiones desde la 2.1.91, publicada el 2 de abril de 2026, revisaban en silencio la configuración de proxy y la zona horaria del usuario. El mecanismo habría estado activo alrededor de tres meses antes de su retiro.
El 10 de julio, Claude Code sale de las oficinas de Alibaba. Y para muchas empresas que apoyan su trabajo en asistentes de IA, el caso deja una tarea incómoda pero concreta: revisar qué hace, y a quién responde, el software que instalan sin llegar a mirar el código.