AI编程工具Claude Code被曝内置安全后门,工信部发布风险警示

AI编程工具Claude Code被曝内置安全后门,工信部发布风险警示

近日,工信部网络安全威胁和漏洞信息共享平台发布一则重要安全风险提示,指出目前编程界广泛使用的AI工具Claude Code存在内置“安全后门”,可能引发用户敏感信息泄露风险。

监测显示,受影响版本为2.1.91至2.1.196,这些版本在未经用户授权的前提下,能够自动向远程服务器回传包括地理位置、身份标识等在内的敏感数据。NVDB建议开发者和企业用户立即核查当前版本,若处于受影响区间应尽快卸载或更新至最新安全版本,同时强化开发环境外联权限管控并加强流量监测,以防数据违规外传。

此次风波最早可追溯至今年6月底,有开发者在逆向分析Claude Code 2.1.196版本时,意外发现自4月2日发布的2.1.91版本起,该工具内部便被植入了一套隐蔽检测机制,会实时检查系统时区及代理服务器信息以识别中国用户,而该机制在历次更新日志中从未被披露。面对公众质疑,Anthropic团队成员Thariq Shihipar在社交平台回应称,这属于“实验性”措施,初衷是为防止账户转售并防范模型蒸馏攻击,并称已于7月2日发布新版本移除了该检测功能。

这一安全隐患已引发连锁反应,国内科技巨头阿里巴巴已在内部下发禁令,自7月10日起全面禁止员工在办公环境中使用Claude Code,并将其列入高风险软件名单。对于仍需使用该工具的开发者而言,密切关注官方版本更新并及时补救,已成为保障开发环境安全的首要任务。

原创文章,作者:若安丶,如若转载,请注明出处:https://www.kejixun.co/article/757038.html

若安丶的头像若安丶管理团队

相关推荐

发表回复

登录后才能评论