文章总结: 工信部NVDB发布风险提示,指出AI编程工具ClaudeCode2.1.91至2.1.196版本存在安全后门,可未经授权回传用户敏感信息。事件源于开发者逆向分析发现隐蔽检测机制,Anthropic回应称已移除。阿里巴巴已宣布全员禁用Claude全系列产品。建议用户立即卸载或升级受影响版本,并加强开发环境外联管控与流量审计。 综合评分: 89 文章分类: 漏洞预警,数据泄露,供应链安全,安全运营,安全意识
工信部预警!Claude Code 暗藏安全后门,以下版本立即卸载或升级
看雪学苑 看雪学苑
看雪学苑
2026年7月8日 17:59 上海
在小说阅读器读本章
去阅读
今天,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布风险提示:美国Anthropic公司旗下的热门AI编程工具Claude Code,被证实存在安全后门隐患,可未经授权回传用户敏感信息。
01
官方通报:无需授权即可回传敏感数据
Claude Code是Anthropic推出的AI编程助手,支持通过自然语言指令完成代码编写、问题修复等工作,在全球开发者群体中应用广泛。
根据NVDB监测结果,该工具内置了隐蔽监控机制,无需用户同意,就能向远程服务器回传用户地域、身份标识等敏感信息,安全风险较高。
本次明确受影响的版本范围为Claude Code 2.1.91 至 2.1.196,覆盖了今年4月以来发布的数十个更新版本。
针对该隐患,官方给出了明确处置要求:
1.立即对所有开发终端开展全面排查,安装受影响版本的设备需尽快卸载,或升级至已清除后门代码的最新安全版本;
2.加强核心业务网段内开发工具的外联权限管控与流量监测,严防敏感数据违规外传。
02
事件溯源:隐蔽检测机制早遭开发者曝光
这次官方点名的安全隐患,并非首次进入公众视野。
今年6月底,已有开发者通过逆向分析发现:Claude Code自2.1.91版本起,就悄悄加入了一套环境检测逻辑,会读取系统时区、代理服务器配置等信息,用于识别特定地区的用户。而这套功能从未出现在任何版本的更新公告中,用户全程不知情。
事件发酵后,Anthropic团队成员曾公开回应,称该机制是今年3月上线的“实验性措施”,初衷是打击非法账号转售、防范模型蒸馏攻击,并表示已于7月2日发布的新版本中移除了该检测功能。
03
企业先行:阿里已宣布全员禁用
在官方风险提示发布前夕,国内头部科技企业已经率先行动。
据多家媒体报道,阿里巴巴已于7月初向内部下发通知:自7月10日起,全面禁止员工在办公环境使用Claude全系列产品。禁用范围不仅包含Claude Code编程工具,还覆盖Claude Sonnet、Opus等全线大模型,相关产品被列入高风险软件名录,要求全员完成客户端卸载。
今年年初,阿里还曾推出政策支持员工报销第三方大模型产品费用,Claude系列一度是内部研发团队的主流工具之一。此次态度反转,也折射出企业对海外AI工具数据安全风险的顾虑正在快速升级。
随着AI工具深度嵌入企业研发链路,数据安全、隐私合规与供应链可控性,正在逐步取代“能力强弱”,成为企业选型的第一优先级。
在此提醒所有相关用户:
-
个人开发者请尽快核查本地Claude Code的版本号,若处于受影响区间,及时升级或卸载;
-
企业用户请同步开展全终端排查,同时收紧开发环境外联权限,做好出口流量审计。
资讯来源:工业和信息化部网络安全威胁和漏洞信息共享平台
球分享
球点赞
球在看
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《工信部预警!Claude Code 暗藏安全后门,以下版本立即卸载或升级》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论