Cosa ha fatto davvero Alibaba e perché colpisce più duro di una normale lite tra fornitori
Il 3 luglio 2026 Alibaba ha comunicato al personale, con un avviso interno, che Claude Code di Anthropic sarebbe stato vietato al lavoro dal 10 luglio. L'azienda ha classificato lo strumento come software ad alto rischio con rischi di backdoor e ha indirizzato i dipendenti alla propria piattaforma di programmazione, Qoder. Reuters lo ha riportato per primo e lo hanno confermato il South China Morning Post, TechCrunch e The Information, quindi il nucleo della vicenda non è in discussione.
Ciò che rende tutto questo più di una rottura tra aziende è l'innesco. I ricercatori di sicurezza, partendo da un thread pubblico di reverse engineering, hanno scoperto che dall'inizio di aprile Claude Code distribuiva codice che ispezionava in silenzio l'ambiente locale dell'utente - stringhe di fuso orario e indirizzi proxy o API - in modi che potevano segnalare se la persona risiedeva in Cina o era legata a un laboratorio cinese di IA. L'ingegnere di Anthropic Thariq Shihipar lo ha descritto su X come un esperimento lanciato a marzo per prevenire l'abuso di account da parte di rivenditori non autorizzati e per proteggere dalla distillazione dei modelli, e ha detto che il codice è stato rimosso il 1 luglio. Quale che fosse l'intento, è l'effetto ad aver fatto reagire una grande azienda.
La vera notizia è che gli strumenti di IA possono ora sapere chi sei
Togli i dettagli e resta una generalizzazione duratura. Il software lato client che installi per scrivere codice, redigere contratti o far girare un agente può leggere abbastanza della tua macchina - lingua, fuso orario, percorso di rete - da indovinare con sicurezza chi sei e dove ti trovi. Una volta che un fornitore può identificare un utente per giurisdizione, l'accesso smette di essere un semplice accordo commerciale e diventa qualcosa che può essere concesso, limitato o revocato lungo linee politiche.
Tutto questo non ha richiesto un'ordinanza del giudice né una licenza di esportazione. Ha richiesto una sola decisione di prodotto dentro una sola azienda, distribuita in un aggiornamento di routine, scoperta mesi dopo da un estraneo. Il divario tra quando il marcatore è entrato in funzione e quando qualcuno se ne è accorto è la parte su cui ogni operatore dovrebbe soffermarsi. Non ricevi alcun preavviso che il tuo strumento ha iniziato a smistare le tue persone per nazionalità.
Il momento acuisce il punto. Alibaba sta contemporaneamente facendo causa al Dipartimento della Difesa statunitense per essere rimossa dal suo elenco di aziende militari cinesi, una designazione annunciata a giugno. Quando un'azienda già lotta per dimostrare di non essere una minaccia per la sicurezza nazionale, scoprire che lo strumento di un fornitore estero identifica tramite impronta i suoi ingegneri non è un fastidio - è una prova a favore del caso stesso da cui cerca di sfuggire.
Perché è anche il tuo rischio, da qualunque lato della mappa tu ti trovi
È allettante leggere questa come una storia sulla Cina. Non lo è. La lezione è simmetrica. Se un fornitore statunitense può identificare tramite impronta e tagliare fuori gli utenti cinesi, allora lo stesso meccanismo può identificare e tagliare fuori utenti europei, britannici o di qualsiasi altro tipo il giorno in cui una politica, una sanzione o una disputa commerciale lo renderà conveniente. Non sei esente perché oggi vai d'accordo con il governo del paese del fornitore. Sei esposto a ciò in cui quel rapporto si trasformerà domani.
Per chi guida un'azienda l'esposizione è concreta. La tua catena di consegna, il tuo desk di supporto, la tua automazione interna possono poggiare tutti su uno strato di IA estero che non controlli e non puoi verificare riga per riga. Un solo aggiornamento può cambiare ciò che quello strato fa. Un solo cambio di politica può cambiare se ti serva del tutto. La continuità, non l'ideologia, è la ragione per cui contarci: la domanda è semplicemente se la tua azienda continua a funzionare quando gli incentivi del fornitore e i tuoi divergono.
L'argomento della continuità a favore di un ripiego sovrano o autoospitabile
La risposta non è rinnegare i modelli esteri capaci - molti sono eccellenti e non c'è virtù in strumenti peggiori. La risposta è l'opzionalità. Tieni un ripiego che puoi ospitare tu stesso o che vive sotto una giurisdizione di cui ti fidi, collegato agli stessi flussi di lavoro, così che perdere il fornitore principale sia una giornata degradata e non un'azienda ferma. I modelli a pesi aperti eseguiti sulla tua infrastruttura, o un fornitore europeo sovrano vincolato a una legge che puoi nominare, non sono più una casella di conformità da spuntare; sono una polizza assicurativa contro esattamente la mossa che Alibaba ha appena fatto al contrario.
La sovranità qui è una disciplina operativa, non uno slogan. Significa sapere dove gira la tua IA critica, chi può revocarla e con quale rapidità potresti passare a un'alternativa. Le aziende che sanno rispondere a queste tre domande trattano un divieto come quello di Alibaba come un fastidio. Le aziende che non sanno rispondere lo scoprono nel modo peggiore, secondo il calendario di un altro.
Da leggere ora: Un bug di root Linux ora colpisce server e Android | Un modello di frontiera ritirato è di nuovo online



