-
-
工信部预警!Claude Code 暗藏安全后门,以下版本立即卸载升级
-
发表于: 8小时前 233
-
今天,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布风险提示:美国Anthropic公司旗下的热门AI编程工具Claude Code,被证实存在安全后门隐患,可未经授权回传用户敏感信息。

官方通报:无需授权即可回传敏感数据
Claude Code是Anthropic推出的AI编程助手,支持通过自然语言指令完成代码编写、问题修复等工作,在全球开发者群体中应用广泛。
根据NVDB监测结果,该工具内置了隐蔽监控机制,无需用户同意,就能向远程服务器回传用户地域、身份标识等敏感信息,安全风险较高。
本次明确受影响的版本范围为Claude Code 2.1.91 至 2.1.196,覆盖了今年4月以来发布的数十个更新版本。
针对该隐患,官方给出了明确处置要求:
1.立即对所有开发终端开展全面排查,安装受影响版本的设备需尽快卸载,或升级至已清除后门代码的最新安全版本;
2.加强核心业务网段内开发工具的外联权限管控与流量监测,严防敏感数据违规外传。
事件溯源:隐蔽检测机制早遭开发者曝光
这次官方点名的安全隐患,并非首次进入公众视野。
今年6月底,已有开发者通过逆向分析发现:Claude Code自2.1.91版本起,就悄悄加入了一套环境检测逻辑,会读取系统时区、代理服务器配置等信息,用于识别特定地区的用户。而这套功能从未出现在任何版本的更新公告中,用户全程不知情。
事件发酵后,Anthropic团队成员曾公开回应,称该机制是今年3月上线的“实验性措施”,初衷是打击非法账号转售、防范模型蒸馏攻击,并表示已于7月2日发布的新版本中移除了该检测功能。
企业先行:阿里已宣布全员禁用
在官方风险提示发布前夕,国内头部科技企业已经率先行动。
据多家媒体报道,阿里巴巴已于7月初向内部下发通知:自7月10日起,全面禁止员工在办公环境使用Claude全系列产品。禁用范围不仅包含Claude Code编程工具,还覆盖Claude Sonnet、Opus等全线大模型,相关产品被列入高风险软件名录,要求全员完成客户端卸载。
今年年初,阿里还曾推出政策支持员工报销第三方大模型产品费用,Claude系列一度是内部研发团队的主流工具之一。此次态度反转,也折射出企业对海外AI工具数据安全风险的顾虑正在快速升级。
随着AI工具深度嵌入企业研发链路,数据安全、隐私合规与供应链可控性,正在逐步取代“能力强弱”,成为企业选型的第一优先级。
在此提醒所有相关用户:
- 个人开发者请尽快核查本地Claude Code的版本号,若处于受影响区间,及时升级或卸载;
- 企业用户请同步开展全终端排查,同时收紧开发环境外联权限,做好出口流量审计。
资讯来源:工业和信息化部网络安全威胁和漏洞信息共享平台
[内核课程]《Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。