【环球网科技综合报道】7月9日消息,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)近日发布安全风险提示,监测发现美国企业 Anthropic 开发的 AI 编程工具 Claude Code 存在安全后门隐患,相关风险可造成用户地域、身份标识等敏感信息违规外泄,危害网络数据安全。
据公告提示信息,ClaudeCode是美国Anthropic公司开发的AI编程工具,可根据文字需求自主完成代码编写、修复等工作。由于其内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息,受影响的Claude Code为2.1.91至2.1.196版本。建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。

溯源信息显示,早在今年 6 月底,开发者通过逆向工程分析 Claude Code 2.1.196 版本,率先发现这套隐蔽识别机制。对此,开发企业 Anthropic 相关工作人员对外回应称该机制为今年 3 月上线的实验性功能,初衷为遏制账号倒卖、抵御模型蒸馏攻击,并表示已于 7 月 2 日推送新版本,彻底移除相关检测后门代码。
隐患曝光后,国内企业已迅速落实安全管控举措。阿里巴巴于 7 月初发布内部通知,明确自 7 月 10 日起,全体员工办公场景全面禁用 Claude Code,将其纳入高风险软件清单,筑牢企业内部数据安全防线。
工信部网络安全威胁和漏洞信息共享平台面向各企事业单位、开发从业者提出明确安全处置要求。一是全面开展终端排查,凡安装 2.1.91 至 2.1.196 风险版本的设备,立即卸载程序或升级至清除后门代码的安全新版;二是强化内网安全管控,收紧核心业务网段内开发工具对外访问权限,常态化开展网络流量监测,建立敏感数据外传预警机制,严防业务、用户数据违规出境。(纯钧)
