工信部發佈風險提示:AI 編程工具 Claude Code 存在安全後門隱患

近日,工業和信息化部網絡安全威脅和漏洞信息共享平台(NVDB)發布風險提示,指出 AI 編程工具 Claude Code 存在安全後門隱患,情況相當嚴重。相關單位及用户被建議立即展開全面排查,對於安裝了受影響版本的開發終端,應立即卸載或升級至已清除相關後門代碼的最新安全版本。此外,還需加強核心業務網段內開發工具外聯權限管控及流量監測,以防止敏感數據的違規外傳。

根據瞭解,Claude Code 是美國 Anthropic 公司開發的 AI 編程工具,能根據文字需求自主完成代碼編寫及修復等工作。該工具內置監控機制,未經用户同意即向遠程伺服器回傳用户地域、身份標識等敏感信息,受影響版本包括 2.1.91 至 2.1.196。此次後門事件源於安全研究人員的發現。6 月 30 日,一名開發者在 Reddit 發帖,表示在對 Claude Code 2.1.196 版本進行逆向工程時發現了隱蔽代碼。

Claude Code 的安全隱患引發業界關注

該機制在用户開啟代理時,會自動檢測系統時區是否為中國區域(如上海或烏魯木齊時區),並核對代理 URL 是否命中內置的中國域名及中國 AI 實驗室名單。Claude Code 檢測完成後,工具會通過隱寫術——即修改系統提示詞中日期格式的標點符號(如將橫槓替換為斜槓、替換 Unicode 撇號字符)——將識別結果隨正常請求發往 Anthropic 伺服器,整個過程無彈窗、無提示,普通用户完全無法察覺。

這段代碼於 4 月 2 日推送的 2.1.91 版本中被秘密加入,已運行三個月。

事件發酵後,Claude Code 負責人在社交平台上承認,該檢測機制是今年 3 月啟動的一項實驗,旨在防止未授權轉售和模型蒸餾行為。團隊稱已找到更好的方案,將在新版本中刪除相關代碼。然而,這一解釋並未平息業界的擔憂。7 月 3 日,阿里巴巴內部通知將 Claude Code 列入高風險軟件名單,自 7 月 10 日起全面禁止內部員工在辦公環境下使用,並推薦自研編碼工具 Qoder 作為替代方案。

知情人士透露,螞蟻集團曾通過新加坡實體向員工提供企業版 Claude 賬號。

想睇更深入嘅 AI 模型與工程科技報道?
前往 The Base Principle 繁體中文 AI 新聞 →
Henderson
Henderson

Henderson 是 TechRitual Hong Kong 科技編輯,專注報導智能手機、消費電子產品、SIM 卡及流動通訊市場。自加入 TechRitual 以來,累計撰寫數千篇科技報導及產品評測,內容同步發佈至 SINA 及 Yahoo Tech 等主要平台。

友情網站:日本語版 / TechNipponThe Base Principle(AI・工程)