~ / noticias /alibaba-baniu-claude-code $ _

Alibaba baniu o Claude Code: o que é real no "backdoor de detecção de China"

Lucas Souza Lucas Souza 10 min de leitura Notícias
Alibaba baniu o Claude Code: o que é real no "backdoor de detecção de China"

Um usuário do Reddit abriu o Claude Code, foi fuçar num recurso de controle remoto que a Anthropic tinha desativado, e caiu num trecho de código ofuscado que ninguém tinha visto. Cinco dias depois, a Alibaba baniu o Claude Code de todos os funcionários e mandou trocar pelo Qoder, a ferramenta de código dela.

A imprensa correu com a manchete de "backdoor de detecção de China". A palavra "spyware" apareceu. E aí começou o problema: quase ninguém separou o que o código realmente fazia do pânico geopolítico de EUA contra China que grudou por cima.

Este post faz essa separação. O que a Anthropic embutiu, por quê, o que é exagero, e — a parte que importa pra você — o que isso muda pra quem roda coding agent em código sensível aqui no Brasil.

TL;DR

  • O que aconteceu: a Alibaba proibiu o Claude Code dos funcionários a partir de 10/07/2026, classificando a ferramenta como risco de segurança e recomendando o Qoder no lugar. História furada pela Reuters em 03–04/07.
  • O gatilho técnico: um mecanismo, presente desde a versão 2.1.91 (02/04/2026), que inspecionava o ambiente do usuário — timezone e proxy — e marcava de forma escondida o system prompt enviado à Anthropic.
  • Por que existia: segundo a própria Anthropic, um experimento anti-abuso contra revendedores não autorizados e contra distillation (destilação de modelo).
  • Status: a Anthropic removeu o código (PR mergeado em 01/07). Não é spyware de propósito geral. Mas o episódio é real e tem lição.
  • Formato vivo: atualizo este post conforme Anthropic e Alibaba se pronunciarem oficialmente.

O que realmente estava no código

Vamos ao fato técnico, sem adjetivo.

Em 30/06, o usuário LegitMichel777 publicou no r/ClaudeAI uma engenharia reversa do Claude Code. Ele não estava caçando backdoor — estava restaurando um recurso de controle remoto que a Anthropic tinha desligado. No caminho, esbarrou num bloco ofuscado que não constava em nenhuma release note desde a versão 2.1.91, de 02/04/2026.

O que esse bloco fazia, em ordem:

  1. Só ligava quando detectava um proxy. Sem proxy configurado, nada acontecia. Isso já mata metade do drama: não era um rastreador universal ligado em todo mundo.
  2. Checava o timezone do sistema. Especificamente se batia com Asia/Shanghai ou Asia/Urumqi — os dois fusos da China continental.
  3. Comparava a URL do proxy contra uma lista hardcoded de domínios chineses e identificadores de laboratórios de IA, incluindo Alibaba, Baidu, Ant Group e ByteDance.
  4. Ofuscava tudo com XOR usando a chave 91, pra dificultar leitura em texto plano.

Até aqui é uma heurística de detecção de origem. O que chamou atenção mesmo foi como o resultado era sinalizado.

A parte esperta: esteganografia no system prompt

Em vez de logar "usuário chinês detectado" num lugar óbvio, o mecanismo escondia o sinal dentro do próprio system prompt que o Claude Code manda de volta pros servidores da Anthropic. Dois truques:

  • O formato de data mudava de traços para barras quando o timezone chinês era detectado.
  • O apóstrofo em Today's date is era trocado por uma de três variantes Unicode visualmente idênticas ao apóstrofo comum — cada variante codificando uma combinação de flags.

Traduzindo: uma marca d'água invisível pro olho humano, mas trivial de ler pra máquina do outro lado. Você olha o prompt, vê Today's date is, e jura que é o apóstrofo de sempre. Não é.

Isso é o tipo de detalhe que separa "bug de telemetria" de "mecanismo desenhado pra não ser notado". Foi desenhado pra não ser notado. Negar isso seria desonesto.

Por que a Anthropic fez isso (a versão sem teatro)

A resposta oficial veio de um engenheiro da Anthropic, Thariq Shihipar, direto no thread:

"an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation" — e completou que "the team has landed stronger mitigations since then and we've actually been meaning to take this down for a while".

Traduzindo do PR-speak: era um experimento de março pra barrar abuso de conta por revendedor pirata e pra proteger contra distillation. E, segundo ele, o time já tinha mitigação melhor e ia derrubar isso de qualquer jeito. O PR de remoção foi mergeado em 01/07.

Pra entender o "por quê", você precisa da palavra distillation. Destilação de modelo é usar as respostas de um modelo forte (Claude) pra treinar um modelo mais fraco e barato, copiando o comportamento sem pagar o custo de treinar do zero. É extração de capacidade via API.

E não é paranoia solta. A Anthropic acusou operadores ligados ao laboratório Qwen, da Alibaba, de rodar o maior ataque de distillation conhecido contra o Claude: cerca de 25 mil contas fraudulentas, 28,8 milhões de trocas numa janela de 45 dias (22/04 a 05/06/2026), mirando justamente as capacidades agênticas e de código do modelo. O mecanismo de detecção nasceu no meio dessa guerra.

Ou seja: a origem do código não é "espionar dev brasileiro". É "identificar quem tá sugando o modelo em escala industrial via proxy". Você provavelmente nunca foi o alvo. Mas o método escolhido — marcação escondida via esteganografia — foi ruim o suficiente pra virar munição do outro lado.

Esse é exatamente o mesmo enredo do caso anterior, quando a Meta proibiu Claude Code e Codex dos próprios engenheiros: o motivo real é proteção de dados de treino e distillation, não filme de espião. A diferença é que agora tem código na mesa pra olhar.

Por que a Alibaba baniu o Claude Code: pânico vs. fatos

Aqui é onde a manchete atropela a engenharia.

"Backdoor" carrega uma promessa: acesso remoto não autorizado, exfiltração de arquivo, execução de comando escondida. Nada disso foi mostrado. O que existe é um mecanismo de inspeção de ambiente que classifica a origem da requisição e marca o system prompt. É invasivo? É. É "spyware que lê seu código-fonte e manda pra Pequim ou pra Washington"? Não há evidência disso no que foi reverso-engenheirado.

Separando as pilhas:

  • Fato: havia código ofuscado inspecionando timezone e proxy, marcando o prompt de forma escondida, sem constar em release notes. Verificado por engenharia reversa pública.
  • Fato: a Alibaba baniu a ferramenta e classificou como risco. Verificado (Reuters, TechCrunch, Tom's Hardware).
  • Contexto, não neutro: os dois lados estão numa guerra comercial e de propriedade intelectual. A Alibaba tem uma ferramenta concorrente (Qoder) pra empurrar. "Baniu por segurança" e "baniu porque é rival e dá pra pintar como espião" não são mutuamente exclusivos.
  • Especulação: que o objetivo real fosse vigilância de estado, coleta de código ou qualquer coisa além de anti-abuso. Sem evidência técnica pública.

Ceticismo dos dois lados é o único caminho honesto. A Anthropic embarcou um mecanismo escondido e mal comunicado — isso é problema real de confiança, ponto. E a Alibaba tem incentivo óbvio pra transformar isso no maior escândalo possível. As duas coisas são verdade ao mesmo tempo.

O que muda pra quem roda coding agent em código sensível no Brasil

Agora a parte prática. Se você usa Claude Code — ou qualquer coding agent de nuvem — em código proprietário, cliente sob NDA ou dado regulado, o episódio não é sobre China. É sobre uma pergunta que você deveria estar fazendo desde sempre: o que sai da sua máquina quando o agente roda?

Checklist honesto:

  • Assuma que o agente de nuvem manda contexto pro provedor. Não porque tem backdoor, mas porque é o modelo de negócio: o código vai pra API pra o modelo responder. Trate isso como premissa, não como traição.
  • Leia os termos de retenção e treino. Planos enterprise da Anthropic e da OpenAI têm cláusula de não-treino e retenção zero configurável. Plano individual, nem sempre. Saiba em qual você está.
  • Segregue o que é sensível. Segredo de verdade (chave, PII de cliente, código regulado) não deveria estar no caminho de um agente de nuvem sem mascaramento. Isso vale contra Anthropic, OpenAI e qualquer um.
  • Se a exigência é código nunca sair da rede, o caminho é modelo local. Não é "de graça" nem "fácil", mas é a única resposta técnica real pra "nada sai daqui". Já escrevi sobre a conta real de rodar LLM local.
  • Trocar por ferramenta chinesa por medo de EUA (ou o inverso) não é segurança — é escolher o outro fornecedor. Qoder também é agente de nuvem, de outra empresa, com outros incentivos. Você não fugiu do problema; mudou o CNPJ que recebe seu contexto.
  • Trate o setup do agente como superfície de ataque. Esse episódio é sobre o que o vendor embute. Mas seu agente também é enganável por conteúdo externo — é o caso do repositório "limpo" que faz o Claude Code instalar malware sozinho.

FAQ rápido

O Claude Code roubou meu código ou espionou minha máquina? Não há evidência disso. O mecanismo reverso-engenheirado inspecionava timezone e proxy e marcava o system prompt — não exfiltrava arquivos nem abria acesso remoto. "Backdoor" é uma palavra forte demais pro que foi mostrado.

O código ainda está lá? Não. A Anthropic diz que era um experimento de março e mergeou o PR de remoção em 01/07/2026. Se você atualizou o Claude Code depois disso, não tem mais esse bloco.

Sou dev no Brasil, devo me preocupar? Com esse mecanismo específico, quase nada — ele mirava tráfego via proxy com fuso chinês. Com a pergunta de fundo (o que sai da minha máquina?), sim, sempre. Vale pra qualquer agente de nuvem.

Trocar por Qoder ou por modelo chinês resolve? Resolve o problema de "não quero depender de empresa dos EUA". Não resolve "não quero que meu código saia da rede" — pra isso só modelo local. E te coloca sob os incentivos e a jurisdição de outro fornecedor.

O que fica

Tira o barulho geopolítico e sobra uma lição de engenharia: você não sabe o que o binário do seu coding agent faz, a menos que alguém faça engenharia reversa. Dessa vez alguém fez. O código era real, mal comunicado e desenhado pra passar despercebido — e ao mesmo tempo bem menos assustador que a manchete de "spyware". As duas coisas.

O reflexo maduro não é escolher o lado da guerra fria de IA. É desenhar seu fluxo assumindo que todo agente de nuvem é uma fronteira: decida com consciência o que cruza ela, segregue o que é sensível e saiba quando o único caminho é rodar local.

Esse tipo de decisão — onde o agente roda, o que entra no contexto, onde fica a fronteira de confiança — é o que a gente vai construir na prática no Do Prompt ao Harness, o workshop ao vivo de 11 e 12 de julho, montando um agent de vendas do prompt até o harness que roda em produção. É onde essas escolhas deixam de ser abstração e viram arquitetura.

Porque no fim, coding agent bom não é o que promete mágica. É o que você entende bem o suficiente pra confiar — e pra saber exatamente onde não confiar.

Lucas Souza
Lucas Souza

{AI Engineer} — apaixonado por Laravel, arquitetura de software e construir produtos com impacto. Compartilho aqui tutoriais, descobertas e reflexões sobre o dia a dia de engenharia.

Você também pode gostar

Curte cerveja e código? 🍺 Pergunta pra VirguIA como entrar no clã Beer and Code.

VirguIA

beer & code assistant

conectando…

Não foi possível iniciar o chat agora.

tocando