Alibabaが、AnthropicのAIコーディングエージェント「Claude Code」を社内の業務環境で7月10日から禁じると伝えられた。日本経済新聞は中国メディア第一財経の報道として、AlibabaがClaude Codeを「高リスクソフトウェア」に分類し、制限リストに加え、代替としてQoderの利用を推奨すると伝えている。
この報道は、競合ツールの排除というより、開発環境に入る外部エージェントの扱いを見直す材料として読める。直前には、AnthropicがAlibaba系のオペレーターによる大規模なClaude利用を問題視し、モデル蒸留の疑いを米議員に伝えたと報じられていた。社内禁止が公式に確認されれば、対立の焦点は「誰が誰のモデルを学習に使ったのか」から、「企業の開発環境に入るコードエージェントをどこまで信頼できるのか」へ広がる。
社内禁止報道が浮かべる、コードエージェントの調達リスク
Claude Codeは、チャットボットとして単独で答える製品ではない。Anthropicの説明では、ターミナル、VS Code、デスクトップアプリ、Web、JetBrains、GitHub Actions、Slack、Chromeなど複数の作業面で使える開発支援エージェントである。リポジトリ全体を理解し、複数ファイルにまたがる変更を提案し、テストやコマンド実行を伴う作業まで扱う。
この性質は、通常のSaaSよりも企業の警戒線に近い。コードエージェントは、ソースコード、ビルド設定、開発端末、社内ネットワーク、外部API、認証情報の近くで動く。人間の開発者が許可した範囲で動くとしても、企業のセキュリティ部門から見れば、IDE拡張や端末ツールは情報持ち出し、監査、権限管理、サプライチェーン管理の対象になる。
Anthropicもこの点を認めている。Claude Codeの公式セキュリティ文書は、標準では読み取り専用で始まり、ファイル編集やBashコマンド実行には明示的な許可を求めると説明する。サンドボックス、プロジェクト配下への書き込み制限、ネットワーク要求の承認、クラウド実行時の隔離VM、監査ログ、短期のスコープ付き認証情報といった仕組みも並べている。
それでも、企業が安心できるかは別問題である。公式文書が説明するのは、Claude Codeを安全に使うための権限設計だ。一方、今回の報道が示す懸念は、Claude Codeが地域、プロキシ、企業ネットワークに関わるシグナルをどう扱っていたのかという点にある。公開されたClaude Codeのchangelogで、該当するとされるバージョン2.1.91には、中国、プロキシ、タイムゾーン検出に関する説明は見当たらない。これは機能の存在や不存在を証明するものではないが、公開リリースノートだけでは利用企業が挙動を判断できない。
Anthropicは中国アクセスとモデル蒸留を明確に禁じている
Anthropic側の行動にも、公開文書で確認できる土台がある。同社のUsage Policyは、未承認のモデルスクレイピングやモデル蒸留、複数アカウントを使った検出回避、禁止された地域へのClaudeアクセスの提供を禁じている。Supported Regions Policyでは、商用APIとClaude.aiの提供地域が列挙されており、中国はその一覧に含まれていない。同ページは、一覧外の国に直接または間接の過半所有が帰属する企業へ、製品やサービスを提供しない権利も留保している。
このため、Anthropicが中国本土からのアクセスや、中国企業による迂回利用を検出しようとすること自体は、同社の利用規約と矛盾しない。Financial Timesは、Anthropicが中国企業によるClaude利用の抜け道を塞ごうとしており、タイムゾーンなどClaude Codeから得られる手掛かりを使って中国本土からの利用を見分けたことがあると報じている。Anthropicは同紙に対し、中国を含む未対応地域からのアクセスやアクセス支援を明示的に禁じ、継続的に進化する検出システムで違反アカウントを特定・停止していると説明した。
利用規約の執行と、開発者が手元で実行するツールの透明性は同じ問題ではない。企業の端末上で動くコードエージェントが、どの環境情報を、どのタイミングで、どの目的でサービス側に渡すのか。この説明が足りなければ、規約を守るための検出であっても、利用企業には監査不能な挙動として映る。
蒸留疑惑はAlibabaとQwenを名指しした
背景には、AnthropicがAlibabaとQwenを名指しした蒸留疑惑がある。Business Insiderが取得したとする6月10日付の書簡では、Anthropicの政策責任者Sarah Heckが、Tim Scott上院議員とElizabeth Warren上院議員に対し、Alibabaに関係するオペレーターが4月22日から6月5日までに、約2万5000の不正アカウントを使ってClaudeと2880万回やり取りしたと訴えたとされる。
同書簡の説明では、目的はClaudeの能力を不正に取り出し、Alibaba Cloud傘下のQwen系モデルを訓練することだった。Business Insiderは、Alibabaの広報担当者からコメントを得られなかったとも伝えている。ここはAnthropic側の主張であり、Alibabaが公に認めた事実ではない。記事として扱えるのは、Anthropicがそう主張し、米議員に対応を求めたという範囲までである。
蒸留という論点はコードエージェントの競争では避けにくい。Qwen3-Coder-Nextの技術報告は、Qwen3-Nextを土台にした80B総パラメータ、推論時3Bアクティブのオープンウェイトモデルとして、実行可能なコーディング課題、環境との相互作用、強化学習を使った訓練を説明している。報告書は、GitHubのプルリクエストから実行環境を作り、検証可能なソフトウェア工学タスクを合成する工程にも踏み込む。Qwen3-Coderの公開リポジトリも、Qwen Code、CLINE、Claude Codeなど複数の開発環境を対象に、256Kトークンの長文コンテキストを備えると説明している。
Alibaba側にはClaude Codeを禁止しても開発者支援を止めずに済む技術的な受け皿がある。Qwen Codeは、ターミナルで動くオープンソースのAIコーディングエージェントを名乗る。Qwen3-Coder系のモデルは、コーディングエージェント向けの訓練と長文リポジトリ理解を前面に出す。社内でQoderを推奨するという報道が正しければ、リスク回避と自社系スタックへの移行が同時に起きる構図になる。
検出の正当性より説明の粒度が重要に
Anthropicから見ると、未対応地域からの迂回利用や、モデル蒸留目的の大量アクセスを検出する必要がある。Claude Codeは、開発者の端末やクラウド開発環境と結びつくため、通常のWebチャットよりも利用者の環境情報を推定しやすい。企業や研究機関が規約を破って大規模に使えば、モデル提供側がアカウント、決済、ネットワーク、地域シグナルを組み合わせて止める動機は強い。
利用企業から見ると、同じ仕組みは別のリスクになる。開発者の端末で動くツールが、明示されていない方法で地域やネットワークに関する情報を扱うなら、企業はソースコード管理やデータ越境管理の観点で採用を止める判断を下しうる。そこに、Anthropicから名指しされた蒸留疑惑が重なると、問題はセキュリティ監査を越え、米中AI競争の中でどの開発基盤を採用するかという経営判断になる。
公開情報から確実に言えるのは、Claude Codeが企業開発環境の中核に入り込む製品であり、Anthropicが未対応地域アクセスとモデル蒸留を明確に禁じていること、そしてAlibaba/Qwen側が独自のコーディングエージェント基盤を持っていることだ。Alibabaの社内禁止が公式に確認されれば、AIコーディングツールは「性能が高いか」だけで選ぶ段階を過ぎる。今後は、モデルの能力、コスト、規約、地域制限、端末上の挙動説明、監査可能性をまとめて比較する企業が増える。
次に見るべきなのは、Alibabaが社内禁止の理由を正式に説明するか、AnthropicがClaude Codeの検出・テレメトリに関する説明をどこまで具体化するかである。コードエージェントが開発者の作業そのものを代行するほど、企業はモデル性能より前に、そのエージェントをどの国のどの規約の下で動かすのかを決めなければならない。