首页
社区
课程
招聘
工信部预警!Claude Code 暗藏安全后门,以下版本立即卸载升级
发表于: 9小时前 249

工信部预警!Claude Code 暗藏安全后门,以下版本立即卸载升级

9小时前
249

今天,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布风险提示:美国Anthropic公司旗下的热门AI编程工具Claude Code,被证实存在安全后门隐患,可未经授权回传用户敏感信息。

官方通报:无需授权即可回传敏感数据

Claude Code是Anthropic推出的AI编程助手,支持通过自然语言指令完成代码编写、问题修复等工作,在全球开发者群体中应用广泛。


根据NVDB监测结果,该工具内置了隐蔽监控机制,无需用户同意,就能向远程服务器回传用户地域、身份标识等敏感信息,安全风险较高。


本次明确受影响的版本范围为Claude Code 2.1.91 至 2.1.196,覆盖了今年4月以来发布的数十个更新版本。


针对该隐患,官方给出了明确处置要求:

1.立即对所有开发终端开展全面排查,安装受影响版本的设备需尽快卸载,或升级至已清除后门代码的最新安全版本;

2.加强核心业务网段内开发工具的外联权限管控与流量监测,严防敏感数据违规外传。


事件溯源:隐蔽检测机制早遭开发者曝光

这次官方点名的安全隐患,并非首次进入公众视野。


今年6月底,已有开发者通过逆向分析发现:Claude Code自2.1.91版本起,就悄悄加入了一套环境检测逻辑,会读取系统时区、代理服务器配置等信息,用于识别特定地区的用户。而这套功能从未出现在任何版本的更新公告中,用户全程不知情。


事件发酵后,Anthropic团队成员曾公开回应,称该机制是今年3月上线的“实验性措施”,初衷是打击非法账号转售、防范模型蒸馏攻击,并表示已于7月2日发布的新版本中移除了该检测功能。


企业先行:阿里已宣布全员禁用

在官方风险提示发布前夕,国内头部科技企业已经率先行动。


据多家媒体报道,阿里巴巴已于7月初向内部下发通知:自7月10日起,全面禁止员工在办公环境使用Claude全系列产品。禁用范围不仅包含Claude Code编程工具,还覆盖Claude Sonnet、Opus等全线大模型,相关产品被列入高风险软件名录,要求全员完成客户端卸载。


今年年初,阿里还曾推出政策支持员工报销第三方大模型产品费用,Claude系列一度是内部研发团队的主流工具之一。此次态度反转,也折射出企业对海外AI工具数据安全风险的顾虑正在快速升级。



随着AI工具深度嵌入企业研发链路,数据安全、隐私合规与供应链可控性,正在逐步取代“能力强弱”,成为企业选型的第一优先级。


在此提醒所有相关用户:

- 个人开发者请尽快核查本地Claude Code的版本号,若处于受影响区间,及时升级或卸载;

- 企业用户请同步开展全终端排查,同时收紧开发环境外联权限,做好出口流量审计。



资讯来源:工业和信息化部网络安全威胁和漏洞信息共享平台


[内核课程]《Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。

收藏
免费 0
打赏
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回