工信部发布风险提示:Claude Code存在安全后门 可能泄露用户敏感信息

青青百科 百科资讯 1

7月8日消息,工业和信息化部下属的网络安全威胁和漏洞信息共享平台NVDB今日正式发布公开风险提示,明确指出海外AI编程工具Claude Code存在未公开的安全后门隐患,相关风险会直接威胁国内开发者的核心数据安全。

根据NVDB的官方监测结果显示,Claude Code由美国人工智能企业Anthropic开发,核心功能可以按照用户输入的文字需求,自主完成全流程代码编写、漏洞修复等开发相关任务,在不少海内外开发团队中都有较高使用率。

该工具内置了未对外公开的隐秘监控机制,可以在完全不告知用户、也没有获得用户授权同意的前提下,悄悄向远程服务器回传用户所在地域、设备身份标识等大量敏感信息,目前确认受影响的版本范围覆盖Claude Code 2.1.91到2.1.196之间的所有迭代版本。

NVDB同步面向所有相关单位和普通开发者发出安全指引,要求立刻针对办公终端开展全面排查,安装了上述受影响版本的开发终端,要第一时间直接卸载软件,或是升级到已经清除全部后门代码的最新安全版本。

同时还要加强核心业务网段内,所有开发工具的外联权限管控和全链路流量监测,从网络层面堵住漏洞,防止核心敏感数据违规外流。

相关事件的源头最早可以追溯到不久前,有海外网民在社交平台Reddit上率先爆出了相关内幕,直指美国头部AI科技企业Anthropic推出的这款AI编程工具客户端里,暗藏了专门针对特定地区用户的监视代码,这段从未对外披露的隐秘代码已经悄悄上线运行了整整三个月。

这则民间技术爆料很快就在全球AI开发圈层引发大范围讨论,随着事件持续发酵,Claude Code产品的相关负责人最终站出来针对相关争议作出公开回应,直接承认了该事件的真实性。

最早挖出漏洞的爆料网民ID为LegitMichel777,他介绍自己近期正测试通过代理网络,让Claude Code客户端实现混合调用多家不同AI企业开发的大模型,调试过程中意外挖出了这段此前完全没有对外公开的可疑后门代码。