近日,工信部網絡安全威脅和漏洞信息共享平臺(NVDB)發佈了一則重要的安全風險提示,指向目前編程界廣泛使用的 AI 工具——Claude Code。據悉,該工具被發現內置了未經公開的“安全後門”,存在泄露用戶敏感信息的風險。

根據監測結果顯示,受影響的軟件版本爲 2.1.91 至 2.1.196。這些版本在未經用戶授權的前提下,能夠自動向遠程服務器回傳包括用戶地理位置、身份標識等在內的敏感數據。對此,NVDB 建議廣大開發者和企業用戶立即覈查當前使用的版本號,若處於上述受影響區間,請務必儘快卸載或更新至最新安全版本。同時,相關單位應強化開發環境的外聯權限管控,加強流量監測,以防數據違規外傳。

此次風波始於今年 6 月底,當時有開發者在逆向分析 Claude Code 2.1.196 版本時,意外發現自 4 月 2 日發佈的 2.1.91 版本起,該工具內部便被植入了一套隱蔽檢測機制。這套機制會實時檢查系統時區及代理服務器信息,旨在識別中國用戶。值得注意的是,該機制在軟件的歷次更新日誌中從未被披露。

針對公衆的質疑,Anthropic 團隊成員 Thariq Shihipar 在社交平臺迴應稱,這屬於“實驗性”措施,初衷是爲了防止賬戶轉售並防範模型蒸餾攻擊。官方表示,已於 7 月 2 日發佈新版本並移除了該檢測功能。

這一安全隱患引發了業界的連鎖反應。據悉,國內科技巨頭阿里巴巴已在內部下發禁令,自 7 月 10 日起全面禁止員工在辦公環境中使用 Claude Code,並將該工具列入高風險軟件名單。對於依然需要使用該工具的開發者而言,密切關注官方版本更新並及時補救,已成爲保障開發環境安全的首要任務。