7月8日,工信部网络安全威胁和漏洞信息共享平台发布通报,指出美国Anthropic公司旗下的AI编程工具Claude Code2.1.91至2.1.196版本存在安全后门隐患,危害等级严重,可能泄露用户地域、设备身份标识等敏感信息。这是监管机构首次将“海外AI工具疑似后门”写入官方通报,标志着AI应用的安全合规正式进入监管视野。

几乎同步的是,据悉阿里巴巴已将Claude Code列入内部高风险软件名单,自7月10日起全面禁止员工在办公与开发环境中使用,并推荐自研AI编程工具Qoder作为替代。监管与头部企业的协同动作,向市场传递出一个清晰信号:AI编程工具赛道正从“效率优先”切换到“安全优先”。

受此影响,资本市场迅速反应。7月8日,智谱AI港股收涨13%,阿里巴巴港股收涨12%,国产替代预期成为推动股价的直接催化剂。市场开始定价一个逻辑:Claude Code腾出的市场缺口,将由国内AI编程工具填补。

但这一逻辑能否转化为真实订单,仍需分层审视。从确定性来看,拥有大规模内部开发者底盘的公司具备先发优势。阿里Qoder的短期催化最强,内部数万名开发者需在短期内完成迁移,构成最直接的存量替代基本盘。若后续阿里披露内部代码采纳率、人均提效等数据,将成为外部政企客户采购的重要背书。腾讯CodeBuddy百度Comate逻辑类似,前者已有90%腾讯工程师使用,AI辅助生成代码占新增代码的50%,编码时间缩短40%;后者内部新增代码已有45%由Comate生成,外部覆盖超110万家企业用户。

相比之下,缺乏内部开发者底盘的公司,如智谱ZCode等独立工具,必须从外部市场获取客户,面临政企采购流程长、三季度大概率仍处于概念验证阶段的现实,订单落地的确定性较弱。

然而,内部迁移本身并不等同于收入兑现。对阿里、腾讯、百度这类大市值公司而言,单一AI编程工具的收入增长难以直接拉动集团利润。真正能影响估值的,是它能否撬动外部企业付费、云资源消耗、模型API调用和企业软件订阅的增长。因此,完整的逻辑传导链条是:内部验证通过、外部政企订单落地、云与AI收入增长、最终实现估值重估。目前,这一链条仍处于第一环。

安全只是入场券,产品力才是溢价能否延续的试金石。从性能差距看,Claude Opus 4.7在SWE-bench Verified榜单上得分87.6%,而国产模型中,阿里Qwen3-Coder为69.6%,腾讯混元Hy3为74.4%,差距在收窄但依然存在。一个关键临界点在于:当国产工具在开发者日常高频场景的代码采纳率接近Claude Code的85%-90%水平时,切换的经济性将压倒性能差距。否则,企业可能因合规要求完成替代,但实际使用率偏低,最终沦为低效的合规工程。

迁移成本同样关键。阿里Qoder走“Key兼容”路线,支持开发者自带密钥在工具间自由切换;智谱ZCode则通过API协议兼容Anthropic API,配合一键安装助手和插件市场导入,将迁移摩擦降至最低。三季度最值得跟踪的指标,便是迁移后的开发者留存率与代码采纳率,它们直接回答产品力是否真正接住了安全带来的替代需求。

综合来看,工信部的安全风险预警将加速AI编程工具的自主可控进程。短期确定性排序上,阿里Qoder、腾讯CodeBuddy、百度Comate凭借内部底盘领先于独立工具。但这条逻辑线也容易吸引短线博弈资金,将“安全溢价”演绎为情绪驱动的主题炒作。能否从炒作走向重估,取决于后续三个验证节点:内部使用数据是否披露、产品力指标是否达标、政企订单是否落地。三层全部走通,这波行情将是中国AI编码工具从“海外映射”转向“内需重估”的起点;若止步于情绪层面,溢价将在财报季面临均值回归的压力。