Alibaba baniu o Claude Code: o que é real no "backdoor de detecção de China"
Um usuário do Reddit abriu o Claude Code, foi fuçar num recurso de controle remoto que a Anthropic tinha desativado, e caiu num trecho de código ofuscado que ninguém tinha visto. Cinco dias depois, a Alibaba baniu o Claude Code de todos os funcionários e mandou trocar pelo Qoder, a ferramenta de código dela.
A imprensa correu com a manchete de "backdoor de detecção de China". A palavra "spyware" apareceu. E aí começou o problema: quase ninguém separou o que o código realmente fazia do pânico geopolítico de EUA contra China que grudou por cima.
Este post faz essa separação. O que a Anthropic embutiu, por quê, o que é exagero, e — a parte que importa pra você — o que isso muda pra quem roda coding agent em código sensível aqui no Brasil.
TL;DR
- O que aconteceu: a Alibaba proibiu o Claude Code dos funcionários a partir de 10/07/2026, classificando a ferramenta como risco de segurança e recomendando o Qoder no lugar. História furada pela Reuters em 03–04/07.
- O gatilho técnico: um mecanismo, presente desde a versão 2.1.91 (02/04/2026), que inspecionava o ambiente do usuário — timezone e proxy — e marcava de forma escondida o system prompt enviado à Anthropic.
- Por que existia: segundo a própria Anthropic, um experimento anti-abuso contra revendedores não autorizados e contra distillation (destilação de modelo).
- Status: a Anthropic removeu o código (PR mergeado em 01/07). Não é spyware de propósito geral. Mas o episódio é real e tem lição.
- Formato vivo: atualizo este post conforme Anthropic e Alibaba se pronunciarem oficialmente.
O que realmente estava no código
Vamos ao fato técnico, sem adjetivo.
Em 30/06, o usuário LegitMichel777 publicou no r/ClaudeAI uma engenharia reversa do Claude Code. Ele não estava caçando backdoor — estava restaurando um recurso de controle remoto que a Anthropic tinha desligado. No caminho, esbarrou num bloco ofuscado que não constava em nenhuma release note desde a versão 2.1.91, de 02/04/2026.
O que esse bloco fazia, em ordem:
- Só ligava quando detectava um proxy. Sem proxy configurado, nada acontecia. Isso já mata metade do drama: não era um rastreador universal ligado em todo mundo.
- Checava o timezone do sistema. Especificamente se batia com
Asia/ShanghaiouAsia/Urumqi— os dois fusos da China continental. - Comparava a URL do proxy contra uma lista hardcoded de domínios chineses e identificadores de laboratórios de IA, incluindo Alibaba, Baidu, Ant Group e ByteDance.
- Ofuscava tudo com XOR usando a chave
91, pra dificultar leitura em texto plano.
Até aqui é uma heurística de detecção de origem. O que chamou atenção mesmo foi como o resultado era sinalizado.
A parte esperta: esteganografia no system prompt
Em vez de logar "usuário chinês detectado" num lugar óbvio, o mecanismo escondia o sinal dentro do próprio system prompt que o Claude Code manda de volta pros servidores da Anthropic. Dois truques:
- O formato de data mudava de traços para barras quando o timezone chinês era detectado.
- O apóstrofo em
Today's date isera trocado por uma de três variantes Unicode visualmente idênticas ao apóstrofo comum — cada variante codificando uma combinação de flags.
Traduzindo: uma marca d'água invisível pro olho humano, mas trivial de ler pra máquina do outro lado. Você olha o prompt, vê Today's date is, e jura que é o apóstrofo de sempre. Não é.
Isso é o tipo de detalhe que separa "bug de telemetria" de "mecanismo desenhado pra não ser notado". Foi desenhado pra não ser notado. Negar isso seria desonesto.
Por que a Anthropic fez isso (a versão sem teatro)
A resposta oficial veio de um engenheiro da Anthropic, Thariq Shihipar, direto no thread:
"an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation" — e completou que "the team has landed stronger mitigations since then and we've actually been meaning to take this down for a while".
Traduzindo do PR-speak: era um experimento de março pra barrar abuso de conta por revendedor pirata e pra proteger contra distillation. E, segundo ele, o time já tinha mitigação melhor e ia derrubar isso de qualquer jeito. O PR de remoção foi mergeado em 01/07.
Pra entender o "por quê", você precisa da palavra distillation. Destilação de modelo é usar as respostas de um modelo forte (Claude) pra treinar um modelo mais fraco e barato, copiando o comportamento sem pagar o custo de treinar do zero. É extração de capacidade via API.
E não é paranoia solta. A Anthropic acusou operadores ligados ao laboratório Qwen, da Alibaba, de rodar o maior ataque de distillation conhecido contra o Claude: cerca de 25 mil contas fraudulentas, 28,8 milhões de trocas numa janela de 45 dias (22/04 a 05/06/2026), mirando justamente as capacidades agênticas e de código do modelo. O mecanismo de detecção nasceu no meio dessa guerra.
Ou seja: a origem do código não é "espionar dev brasileiro". É "identificar quem tá sugando o modelo em escala industrial via proxy". Você provavelmente nunca foi o alvo. Mas o método escolhido — marcação escondida via esteganografia — foi ruim o suficiente pra virar munição do outro lado.
Esse é exatamente o mesmo enredo do caso anterior, quando a Meta proibiu Claude Code e Codex dos próprios engenheiros: o motivo real é proteção de dados de treino e distillation, não filme de espião. A diferença é que agora tem código na mesa pra olhar.
Por que a Alibaba baniu o Claude Code: pânico vs. fatos
Aqui é onde a manchete atropela a engenharia.
"Backdoor" carrega uma promessa: acesso remoto não autorizado, exfiltração de arquivo, execução de comando escondida. Nada disso foi mostrado. O que existe é um mecanismo de inspeção de ambiente que classifica a origem da requisição e marca o system prompt. É invasivo? É. É "spyware que lê seu código-fonte e manda pra Pequim ou pra Washington"? Não há evidência disso no que foi reverso-engenheirado.
Separando as pilhas:
- Fato: havia código ofuscado inspecionando timezone e proxy, marcando o prompt de forma escondida, sem constar em release notes. Verificado por engenharia reversa pública.
- Fato: a Alibaba baniu a ferramenta e classificou como risco. Verificado (Reuters, TechCrunch, Tom's Hardware).
- Contexto, não neutro: os dois lados estão numa guerra comercial e de propriedade intelectual. A Alibaba tem uma ferramenta concorrente (Qoder) pra empurrar. "Baniu por segurança" e "baniu porque é rival e dá pra pintar como espião" não são mutuamente exclusivos.
- Especulação: que o objetivo real fosse vigilância de estado, coleta de código ou qualquer coisa além de anti-abuso. Sem evidência técnica pública.
Ceticismo dos dois lados é o único caminho honesto. A Anthropic embarcou um mecanismo escondido e mal comunicado — isso é problema real de confiança, ponto. E a Alibaba tem incentivo óbvio pra transformar isso no maior escândalo possível. As duas coisas são verdade ao mesmo tempo.
O que muda pra quem roda coding agent em código sensível no Brasil
Agora a parte prática. Se você usa Claude Code — ou qualquer coding agent de nuvem — em código proprietário, cliente sob NDA ou dado regulado, o episódio não é sobre China. É sobre uma pergunta que você deveria estar fazendo desde sempre: o que sai da sua máquina quando o agente roda?
Checklist honesto:
- Assuma que o agente de nuvem manda contexto pro provedor. Não porque tem backdoor, mas porque é o modelo de negócio: o código vai pra API pra o modelo responder. Trate isso como premissa, não como traição.
- Leia os termos de retenção e treino. Planos enterprise da Anthropic e da OpenAI têm cláusula de não-treino e retenção zero configurável. Plano individual, nem sempre. Saiba em qual você está.
- Segregue o que é sensível. Segredo de verdade (chave, PII de cliente, código regulado) não deveria estar no caminho de um agente de nuvem sem mascaramento. Isso vale contra Anthropic, OpenAI e qualquer um.
- Se a exigência é código nunca sair da rede, o caminho é modelo local. Não é "de graça" nem "fácil", mas é a única resposta técnica real pra "nada sai daqui". Já escrevi sobre a conta real de rodar LLM local.
- Trocar por ferramenta chinesa por medo de EUA (ou o inverso) não é segurança — é escolher o outro fornecedor. Qoder também é agente de nuvem, de outra empresa, com outros incentivos. Você não fugiu do problema; mudou o CNPJ que recebe seu contexto.
- Trate o setup do agente como superfície de ataque. Esse episódio é sobre o que o vendor embute. Mas seu agente também é enganável por conteúdo externo — é o caso do repositório "limpo" que faz o Claude Code instalar malware sozinho.
FAQ rápido
O Claude Code roubou meu código ou espionou minha máquina? Não há evidência disso. O mecanismo reverso-engenheirado inspecionava timezone e proxy e marcava o system prompt — não exfiltrava arquivos nem abria acesso remoto. "Backdoor" é uma palavra forte demais pro que foi mostrado.
O código ainda está lá? Não. A Anthropic diz que era um experimento de março e mergeou o PR de remoção em 01/07/2026. Se você atualizou o Claude Code depois disso, não tem mais esse bloco.
Sou dev no Brasil, devo me preocupar? Com esse mecanismo específico, quase nada — ele mirava tráfego via proxy com fuso chinês. Com a pergunta de fundo (o que sai da minha máquina?), sim, sempre. Vale pra qualquer agente de nuvem.
Trocar por Qoder ou por modelo chinês resolve? Resolve o problema de "não quero depender de empresa dos EUA". Não resolve "não quero que meu código saia da rede" — pra isso só modelo local. E te coloca sob os incentivos e a jurisdição de outro fornecedor.
O que fica
Tira o barulho geopolítico e sobra uma lição de engenharia: você não sabe o que o binário do seu coding agent faz, a menos que alguém faça engenharia reversa. Dessa vez alguém fez. O código era real, mal comunicado e desenhado pra passar despercebido — e ao mesmo tempo bem menos assustador que a manchete de "spyware". As duas coisas.
O reflexo maduro não é escolher o lado da guerra fria de IA. É desenhar seu fluxo assumindo que todo agente de nuvem é uma fronteira: decida com consciência o que cruza ela, segregue o que é sensível e saiba quando o único caminho é rodar local.
Esse tipo de decisão — onde o agente roda, o que entra no contexto, onde fica a fronteira de confiança — é o que a gente vai construir na prática no Do Prompt ao Harness, o workshop ao vivo de 11 e 12 de julho, montando um agent de vendas do prompt até o harness que roda em produção. É onde essas escolhas deixam de ser abstração e viram arquitetura.
Porque no fim, coding agent bom não é o que promete mágica. É o que você entende bem o suficiente pra confiar — e pra saber exatamente onde não confiar.
{AI Engineer} — apaixonado por Laravel, arquitetura de software e construir produtos com impacto. Compartilho aqui tutoriais, descobertas e reflexões sobre o dia a dia de engenharia.
Você também pode gostar
Claude Code ficou 5x mais caro? O preço real em 2026 (Pro, Max e API na ponta do lápis)
O Fable 5 voltou com taxímetro, o HN diz que o Claude Code ficou 5x mais caro e o Reddit tá em chamas. Separamos fato de anedota: a tabela real de preços 2026 (Pro, Max, Team e API), a conta assinatura vs API e como cortar custo sem perder qualidade.
Meta proíbe Claude Code e Codex dos próprios engenheiros: o que aconteceu
A Meta restringiu Claude Code e Codex dos próprios engenheiros para proteger seus dados de treino. O motivo real é distillation, não spyware. Separamos fato de boato e o checklist pra quem usa coding agent em código fechado.
Claude Code e malware: como um repositório "limpo" engana seu agente de código (e como blindar o setup)
O time 0din da Mozilla mostrou que dá pra esconder instruções maliciosas num repositório GitHub aparentemente limpo e fazer o Claude Code instalar malware sozinho. Entenda o vetor de ataque passo a passo e um checklist defensivo pra blindar seu setup.
Anthropic vai exigir verificação de identidade no Claude? O que muda (e o que não) pra quem usa no Brasil
A Anthropic começou a pedir verificação de identidade por biometria no Claude e a comunidade surtou achando que era restrição de acesso. Calma: separamos o pânico do que é real, e o que isso significa pra dev no Brasil.