![]()
智東西
編譯 陳佳
編輯 云鵬
智東西7月8日消息,今日,工業和信息化部網絡安全威脅和漏洞信息共享平臺(NVDB)發布公告,其近日監測發現,美國AI大模型公司Anthropic旗下AI編程工具Claude Code存在安全后門隱患,該工具內置監控機制,可在未經用戶同意的情況下向遠程服務器回傳用戶地域、身份標識等敏感信息。工信部建議立即卸載相關受影響版本。
![]()
▲工信部NVDB發布的公告(圖源:網絡安全威脅和漏洞信息共享平臺NVDB)
從版本線看,此次受影響范圍覆蓋Claude Code 2.1.91至2.1.196。Anthropic官方變更日志顯示,2.1.91發布于2026年4月2日,2.1.196發布于6月29日。截至7月8日,Claude Code最新版本已更新至2.1.204。
工信部給出的處置建議包括兩層:一是對開發終端進行全面排查,確認是否安裝2.1.91至2.1.196版本,并立即卸載或升級至已清除相關后門代碼的最新安全版本;二是加強核心業務網段內開發工具的外聯權限管控與流量監測,防止敏感數據違規外傳。
據Anthropic官方文檔,Claude Code可讀取代碼庫、編輯文件、運行命令,并接入終端、IDE、桌面端和瀏覽器等開發環境。相比普通聊天機器人,這類工具更靠近企業代碼、憑據和內網開發環境,外聯和數據回傳行為更容易觸及安全紅線。
在工信部提示前,Claude Code已因“隱藏檢測機制”引發開發者爭議。
6月30日,據海外社交平臺Reddit社區用戶爆料,Claude Code內置了一段隱藏木馬:它會讀取用戶系統時區,檢查代理或自定義API地址中是否包含中國云廠商、AI公司、API代理服務商等關鍵詞;一旦命中,就會悄悄改寫系統提示詞中的日期字符,在發往服務器的請求中加入用戶難以察覺的標記。
7月1日,Claude Code團隊成員Thariq在社交平臺X平臺公開承認了相關舉措。他回應稱,這是Anthropic今年3月啟動的一項實驗,目的是防止未經授權的轉售商濫用賬號,并防范模型蒸餾,團隊已經上線更強的緩解措施,原本就計劃撤下這一功能;目前相關PR已經合并,預計將在次日發布版本中完全回滾。
![]()
▲Claude Code團隊成員回應Claude Code內置隱藏木馬(圖源:X)
此前,Anthropic已公開強化對中國地區和中國相關實體訪問Claude的限制。其支持國家與地區頁面列出Claude.ai和API可用地區,中國大陸不在列表內。該頁面還稱,在法律允許范圍內,Anthropic保留不向多數所有權歸屬于未列地區的實體提供服務的權利。
![]()
▲Anthropic公布的Claude商業API支持國家與地區列表(圖源:Anthropic)
智東西7月3日獨家獲悉,因存在植入后門風險,阿里巴巴內部宣布禁用Claude。阿里全員被要求卸載Anthropic相關產品,包括Sonnet、Opus、Fable等多個系列模型,以及Claude Code在內的Agent產品。禁令于7月10日正式生效。據阿里內部人士透露,背后原因系近期Claude Code被曝存在植入后門的安全風險,阿里經綜合評估后已將其列入高風險軟件名單。
來源:工信部、Anthropic
![]()
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.