从开发者社群中的隐秘争议,到国家级安全平台的公开警示,AI编程工具Claude Code的安全风波在短短数日内急速升级。
近日,工业和信息化部下属的网络安全威胁与漏洞信息共享平台(NVDB)对外发布安全公告,指出Anthropic公司开发的AI编程辅助工具Claude Code存在安全隐患。公告显示,该工具的特定版本内置了某种回传机制,能在未取得用户明确授权的前提下,将地域信息、设备标识等数据向外发送。针对这一情况,工信部建议用户尽快对受影响版本进行处理。
此次被点名的版本范围涵盖Claude Code
2.1.91至2.1.196,发布时间横跨今年4月初至6月底。截至公告发布时,官方虽已推出更高版本,但既往多个中间版本仍被视为存在风险。工信部给出的应对方案分为两个层面:一方面,企业需对开发终端进行逐台排查,确认是否安装风险版本,并及时卸载或升级;另一方面,应加强对核心业务网段内工具外联行为的权限管控与流量审计,防止敏感数据通过非授权通道外传。
作为一款深度耦合进开发工作流的编程助手,Claude
Code具备读取仓库源码、修改文件内容以及执行终端指令等能力,能够接入IDE、桌面端及浏览器等多类工作环境。正因如此,它相较于通用对话式AI,更容易触及企业核心代码库、访问凭据和内网资源,其数据交互行为一旦越界,带来的安全挑战也更为突出。
事实上,在官方通报之前,这款工具已因某项隐蔽检测逻辑在开发者社群中引发热议。有用户在Reddit上披露,该工具会读取系统时区并检测代理或API地址中是否含有中国主流云服务商、AI企业或代理平台的特征词,一旦匹配,便会在请求中植入用户难以察觉的标识。对此,Anthropic团队的一名成员随后在X平台作出说明,称该机制始于今年3月,初衷是遏制未经授权的转售行为及模型蒸馏尝试,并强调相关代码已进入撤回流程,计划在后续更新中彻底移除。
值得留意的是,Anthropic在官方渠道已明确限定其服务的可用区域,中国大陆未被列入支持名单,同时保留对所有权归属于非支持区域的实体拒绝提供服务的权利。此前有消息指出,国内互联网公司阿里巴巴已在内部下达禁用指令,要求员工在限定日期前卸载包括Claude Code在内的多款Anthropic产品,并将其纳入高风险软件清单,这项规定将于7月10日起正式施行。据内部人士透露,这一决定主要基于对后门风险的综合评估。
纵观整个事件,AI开发工具在安全合规维度所暴露出的问题再度敲响警钟。对于技术使用者而言,一方面需审慎评估第三方组件的通信行为,另一方面也应密切关注官方安全动态,及时落实加固措施。
从隐蔽的检测逻辑到监管层面的正式定性,这场围绕Claude
Code的风波仍在演进,而它所揭示的AI工具合规命题,或许才刚刚浮出水面。
来源:工信部、Anthropic
【免责声明】部分数据来源于网络公开报道及行业资讯,如有侵权,请及时与本网站联系,我们将第一时间予以删改。文中所涉观点、数据及分析仅代表小编个人观点,仅供参考,不构成任何投资建议、商业决策依据或法律承诺。投资有风险,决策需谨慎;任何单位或个人据此进行商业决策、经营行为所产生的风险,均自行承担。