安全警报:Claude Code 被曝存在安全后门,官方已启动紧急修复

近日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布了一则重要的安全风险提示,指向目前编程界广泛使用的 AI 工具——Claude Code。据悉,该工具被发现内置了未经公开的“安全后门”,存在泄露用户敏感信息的风险。 根据监测结果显示,受影响的软件版本为 2.1.91 至 2.1.196。这些版本在未经用户授权的前提下,能够自动向远程服务器回传包括用
近日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布了一则重要的安全风险提示,指向目前编程界广泛使用的 AI 工具——Claude Code。据悉,该工具被发现内置了未经公开的“安全后门”,存在泄露用户敏感信息的风险。
根据监测结果显示,受影响的软件版本为 2.1.91 至 2.1.196。这些版本在未经用户授权的前提下,能够自动向远程服务器回传包括用户地理位置、身份标识等在内的敏感数据。对此,NVDB 建议广大开发者和企业用户立即核查当前使用的版本号,若处于上述受影响区间,请务必尽快卸载或更新至 最新 安全版本。同时,相关单位应强化开发环境的外联权限管控,加强流量监测,以防数据违规外传。
此次风波始于今年 6 月底,当时有开发者在逆向分析 Claude Code 2.1.196 版本时,意外发现自 4 月 2 日发布的 2.1.91 版本起,该工具内部便被植入了一套隐蔽检测机制。这套机制会实时检查系统时区及代理服务器信息,旨在识别中国用户。值得注意的是,该机制在软件的历次更新日志中从未被披露。
针对公众的质疑,Anthropic 团队成员 Thariq Shihipar 在社交平台回应称,这属于“实验性”措施,初衷是为了防止账户转售并防范模型蒸馏攻击。官方表示,已于 7 月 2 日发布新版本并移除了该检测功能。
这一安全隐患引发了业界的连锁反应。据悉,国内科技巨头阿里巴巴已在内部下发禁令,自 7 月 10 日起全面禁止员工在办公环境中使用 Claude Code,并将该工具列入高风险软件名单。对于依然需要使用该工具的开发者而言,密切关注官方版本更新并及时补救,已成为保障开发环境安全的首要任务。
要点速读
近日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布了一则重要的安全风险提示,指向目前编程界广泛使用的 AI 工具
- 近日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布了一则重要的安全风险提示,指向目前编程界广泛使用的 AI 工具
- 更多细节仍在持续更新中
- 更多细节仍在持续更新中