你的ClaudeCode可能在偷偷“汇报”——官方通报后门,附处置checklist

admin 2026-07-11 05:04:18 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文档报告了美国Anthropic公司AI编程工具ClaudeCode存在安全后门隐患,工信部NVDB已发布风险提示。受影响版本为v2.1.91至v2.1.196,其内置监控机制通过Unicode隐写和时区指纹静默回传敏感信息。NVDB建议立即卸载或升级至最新版本,并加强核心业务网段的外联权限管控与流量监测。文章提供了详细的技术拆解和自查处置清单,强调研发网段面临间接泄露和供应链信任风险。 综合评分: 85 文章分类: 威胁情报,应急响应,安全工具,供应链安全,数据泄露


cover_image

你的 Claude Code 可能在偷偷“汇报”——官方通报后门,附处置 checklist

原创

重生之咸鱼说安全 重生之咸鱼说安全

重生之咸鱼说安全

2026年7月10日 08:54 浙江

在小说阅读器读本章

去阅读

大家好,我是咸鱼哇。

就在昨天,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示:美国 Anthropic 公司开发的 AI 编程工具 Claude Code,存在安全后门隐患,危害严重

受影响版本:v2.1.91 ~ v2.1.196

核心问题:内置监控机制,未经用户同意向远程服务器回传地域、身份标识等敏感信息。

NVDB 建议两条:

  1. 受影响终端立即卸载或升级至已清除后门代码的最新版本;
  2. 核心业务网段加强开发工具外联权限管控 + 流量监测

通报措辞很短,但背后的机制远比大多数人想象的更为隐蔽——作为网安岗,我们来拆开看看。

🔍 时间线先理一下

  • 2026.03 Anthropic Claude Code 团队上线一套”实验性”检测机制,对外口径是防账户转售 + 防模型蒸馏

  • 2026.04.02 v2.1.91 推送,隐蔽检测代码正式内置,更新日志只字未提

  • 2026.06 底 有开发者在 Reddit 发逆向报告,曝光监控逻辑,全程无弹窗无提示

  • 2026.07 初 阿里内部通知:Claude Code 列入高风险软件,7 月 10 日起全员禁用,推自研 Qoder 替代

  • 2026.07.08 工信部 NVDB 正式发风险提示

💡 从 4 月埋代码到 7 月监管点名,潜伏了三个月。这期间多少研发网段的流量已经被打了标签,没人说得清。

#

🕵️ 技术拆解:它是怎么”偷”的

这套机制最精的地方在于——它根本不走独立上报通道,防火墙几乎看不到异常。分三步:

① 静默扫环境

Claude Code 启动后检查两件事:

  • 系统时区是不是 Asia/ShanghaiAsia/Urumqi
  • 代理(ANTHROPIC_BASE_URL)是不是命中一份内置黑名单

这份黑名单用 Base64 + XOR(密钥 91) 加密存储,里面是 147 个中国域名 + 11 个中国 AI 实验室关键词(DeepSeek、月之暗面、智谱、MiniMax、百川、阶跃星辰、零一万物…)。普通 grep搜不到。

② 用 Unicode 撇号变体打”隐写水印”

检测结果不直接发独立请求,而是塞进 System Prompt 的日期字符串里

  • 日期分隔符:2026-06-30→ 2026/06/30(横杠换斜杠)

  • “Today’s date is” 里的撇号,悄悄换成三种肉眼无法区分的 Unicode 变体:

  • U+2019→ 命中中国域名

  • U+02BC→ 关联中国 AI 实验室

  • U+02B9→ 两者都命中

你在终端看到的就是一句普通日期。Anthropic 服务端看到的,是你的环境指纹。

③ 随正常请求回传

水印跟着每一次代码查询、文件读取请求一起发出去。不弹窗、不报错、不产生额外连接,流量侧 DPI 很难识别——因为它就是正常的 API 调用。

⚠️ 严格说,Anthropic 把它叫”实验性检测”,但 NVDB 定的是安全后门、危害严重。对境内研发环境而言,这定性没毛病:未告知、未授权、可绕过、持续回传、针对特定地域。


#

📌 为什么研发网段尤其危险

很多团队对 AI coding 工具的心态是”反正代码不上传/开了隐私模式就行”——这次事件把这套幻想打碎了:

  • 间接泄露路径:即使不上传完整源码,提示词、报错栈、路径片段、依赖列表、shell 命令输出、上下文摘要,都足够拼出项目画像
  • 构建/测试环境同机:Claude Code 通常装在开发终端,但这台机器往往能直连代码仓、制品库、内网 API
  • 供应链信任击穿:更新日志不披露、隐私协议不覆盖、遥测范围不透明,组织没法做合规评估

更别说这次黑名单直接点了美团、网易、百度、阿里、字节等国内厂商域名——目标不是普通用户,是研发组织


🛠 自查 & 处置清单

1. 版本核查

```

claude –version        # 是否在 2.1.91 ~ 2.1.196 npm list -g claude-code

```

命中的终端,按 NVDB 建议:卸载或升级到已清除后门代码的最新版

2. 网络层

  • 核心业务网段禁止开发工具直连境外 API,走统一出口代理 + 审计

  • egress ACL 加一条:阻断

    api.anthropic.comconsole.anthropic.com非常规时段大流量

  • NDR / 流量探针重点看:单次 session 请求体里是否出现异常的 Unicode 撇号分布(这个特征后续可以写检测规则)

3. 终端层

  • EDR 加白名单管控,禁止未经批准安装全局 npm pip 包
  • ANTHROPIC_BASE_URL环境变量全网点扫,看谁挂了第三方中转

4. 治理层

  • 研发工具纳入软件供应链台账,境外 AI 工具走审批

  • 关键项目优先切国产替代(阿里推 Qoder,国内还有几家在跟)

  • 这次之后,Cursor、Windsurf、Cline 这类 agentic coding 工具建议全部过一轮逆向 + 流量审计——下一颗雷大概率还在路上


写在最后

NVDB 这次点名 Claude Code,是国内监管首次对境外 AI 编程工具发明确安全警告,信号比通报本身更重。

过去一年 AI coding 工具的叙事是”效率革命”,但站在网安视角看,这类工具具备三个天然高危属性:

  • 运行在最高权限的开发终端
  • 能读到几乎整个代码仓 + 本地配置
  • 通信目标是境外可控服务器

Claude Code 这波只是被逆向出来的一个,手段是 Unicode 隐写 + 时区指纹,够精巧但也够典型。真正的隐患不是”它偷了什么”,是”我们不知道它还偷了什么”

研发同学下次 npm i -g之前,建议先保持疑问:这工具的母公司,愿不愿意为我的代码仓负责?


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:重生之咸鱼说安全 重生之咸鱼说安全 重生之咸鱼说安全《你的 Claude Code 可能在偷偷“汇报”——官方通报后门,附处置 checklist》

评论:0   参与:  0