文章总结: 工信部通报ClaudeCode存在安全后门,该AI编程工具在用户不知情下静默向境外服务器传输地域、身份及研发代码等敏感数据。事件暴露了开发工具依赖风险,阿里已全员卸载并替换为国产工具。文章强调需警惕高权限工具的安全隐患,并反思开发工具主权问题。 综合评分: 83 文章分类: 漏洞分析,威胁情报,数据泄露,安全意识,其他
工信部通报 Claude Code 后门,阿里全员禁用
天黑说嘿话
2026年7月11日 10:01 浙江
在小说阅读器读本章
去阅读
以下文章来源于不装了科技 ,作者不装了科技
不装了科技
先问一句:你电脑上那个天天帮你写代码的 AI 工具,你真知道它背着你在干什么吗?
大多数人答不上来。因为它跑起来的时候,什么都不会提示你。
昨天工信部下场了。
网络安全威胁和漏洞信息共享平台(就是那个 NVDB)发了条官方风险提示,点名一款叫 Claude Code 的美国 AI 编程工具,说它「存在安全后门隐患,危害严重」。
一个部委级平台,专门为一款开发工具发风险提示,这事本身就不多见。
更让人后背发凉的是它说的那句话——这工具未经用户同意,就能悄悄把你的地域、身份、甚至代码,往境外服务器传。
无弹窗、无提示、无日志。你根本察觉不到。
先把这事从头捋一遍
Claude Code 是美国 Anthropic 公司的产品。你给它一句话,它能自己写代码、改 bug、跑命令。这两年在国内技术圈相当火,不少大厂工程师日常都在用。
问题出在版本号 2.1.91 到 2.1.196 这一段。
工信部的通报说得很直接:这些版本里内置了一套监控机制,会绕过你的授权,静默向境外服务器传数据。外泄的东西包括——你所在的地域、设备标识、账号身份,还有研发代码、项目文档。
后面这两样,才是要命的。
这事其实不是工信部第一个捅出来的。往前倒一周,故事更精彩。
7 月初,一个海外开发者把 Claude Code 的客户端反编译了,扒出来一段藏了三个月的代码。这段代码经过加密混淆,专门盯着一份名单——147 个中国域名,百度、阿里、蚂蚁、字节、月之暗面、MiniMax、阶跃星辰,全在上面。
它怎么认出你是中国用户的?手段刁钻得很。
不看你的网络 IP,而是直接读你电脑本地的时区。一旦发现是「Asia/Shanghai」或者「Asia/Urumqi」,你就进了观察名单。
认出来之后也不封你、不报错。它玩了个更隐蔽的招——
它会偷偷改系统提示词里那行日期。比如把 2026-07-09 的连字符换成斜杠,把 「Today’s」 里那个撇号,换成四种肉眼几乎看不出区别的特殊字符。
这些字符差异,你盯着屏幕看一天都发现不了。但服务器那头,机器一解析就知道了。
安全研究员给这套东西起了个名字,叫「隐蔽信道」。
翻译成人话:它在你眼皮底下,用你看不见的墨水,给你打了个记号。
Anthropic 后来承认了,说这是今年 3 月上线的「一个实验」,本意是防止有人倒卖账号、防模型被蒸馏,还说本来就打算下线。
但两个最关键的问题,它到今天都没正面回答:为什么专门针对中国用户?为什么不告诉任何人?
国内这边反应比官方通报还快。阿里 7 月 3 日就把 Claude Code 拉进了高风险软件名单,要求全员在 7 月 10 日前卸载,换上自家的 Qoder。
第一层:这真是「间谍软件」吗
网上现在骂得挺凶,「监视代码」「间谍软件」的帽子扣了一堆。
我想先泼盆冷水,把技术这层说清楚,别一上来就被情绪带走。
严格讲,最早那份逆向报告里,反编译的人做了个很关键的区分:它没有额外发起网络请求,也没偷读你的文件。它干的事,是在本来就要传给服务器的系统提示词里,改了几个标点符号。
也就是说,最初被扒出来的那个版本,是「隐写标记」,不是「批量偷代码」。作者原话是:作为反滥用手段它很弱,作为隐私问题它标记了不该标记的人。
这话得听进去。
但你注意工信部这次通报的措辞——它说的是外泄「研发代码、项目文档」。这个描述比最初那份社区报告要重得多。要么是后续版本里问题升级了,要么是官方溯源查到了更深的东西。
不管是哪种,有一个事实没法洗白:
一款能读你整个代码仓库、能跑终端命令、能改你本地文件的高权限工具,在你完全不知情的情况下,偷偷采集了你的环境信息还回传了。
这就够了。
你想想,普通软件顶多读个剪贴板你都要跳出来骂。而这玩意儿手握的权限,是能删你 git 分支、能上传你 token、能动你生产数据库的级别——Anthropic 自己的文档里都列过这些「误操作」案例。
对这种工具,用户凭什么不该知道它背着你干了啥?
所以「是不是间谍软件」这个问法,其实问偏了。真正的问题是:权限这么大的东西,一旦动了不该动的心思,普通人根本没有还手之力。
第二层:最讽刺的是它招牌上写着「可信」
这事真正扎心的地方,不在技术,在人设。
Anthropic 是谁?它这两年就是靠「我比别人更负责任、更透明、更可信」这套东西,从一堆 AI 公司里杀出来的。
它有个公开的《负责任扩展政策》,白纸黑字写着要「以透明和可信的方式实施」。它那套治理框架,把「透明度」当核心支柱,说自己的原则「公开、可检查」。
结果呢?
它把检测代码加密混淆,专门躲开常规安全审查;更新日志里一个字不提;标记信息用你看不见的字符偷偷回传。
它把自己反复承诺的每一条,都亲手违反了一遍。
这才是开发者社区那么炸的根本原因。
工具有 bug,可以修。但一个把「信任」当核心卖点的公司,被发现在暗地里搞这套,塌的不是一个版本,是整个信任的地基。
而 AI 编程工具这东西,恰恰是靠信任活着的。
你为什么敢让它读你全部代码、跑你的命令?因为你信它。这份信任一旦裂了,用户的第一反应不是「修好我再用」,而是「我得赶紧卸载」。
阿里全员卸载,就是这个逻辑。它评估的不是「这次这个后门有多大危害」,而是「一个能干出这种事的工具,我还敢不敢把研发命脉交给它」。
答案很清楚。
第三层:真正该盯的,是「开发工具主权」
前面两层是 Anthropic 的事。这一层,才是跟我们每个人都相关的事。
过去我们聊「卡脖子」,聊的都是芯片、光刻机这些硬东西。很少有人意识到,开发工具,也是一种基础设施。
而且是最贴身的那种。
芯片再重要,它离你的具体代码还隔着好几层。但 AI 编程工具不一样——它直接住在你的电脑里,读你写的每一行,看你项目里的每一份文档。它比你的同事还了解你在做什么。
当这种工具越来越强、越来越离不开,一个问题就浮上来了:
你把研发过程的多少家底,托付给了一个你看不到底层、还是别人家的工具?
这次 Claude Code 的事,等于把这个平时没人提的问题,血淋淋地摆到了台面上。
工信部下场、阿里全员换 Qoder、行业里一堆公司连夜排查——你以为大家慌的是一段后门代码?
不是。慌的是突然意识到:原来我们最核心的研发环节,早就深度依赖上了别人的工具,而这个工具想干什么,我们既不知道、也管不了。
我不是要煽「闭关锁国、只用国产」那套情绪。好用的工具就该用,这是常识,别抬杠。
但「用」和「依赖到没退路」,是两码事。
这次事件真正的价值,是逼着所有人重新算一笔账:哪些工具是锦上添花,哪些工具已经握住了你的命脉。 后者,你得有备份,得有能替代的,得对它的底层有起码的掌控权。
否则哪天人家心情一变,你连怎么被拿捏的都不知道。
说说我的看法
这事我不想站队骂街,也不想假装冷静地和稀泥。
第一,后门实锤该警惕,这没啥好洗的。一个能读你代码、能跑你命令的高权限工具,偷偷采集回传信息还专挑中国用户,无论初衷是防蒸馏还是防倒卖,越过了知情同意这条线就是错的。工信部通报得对,该排查排查,该卸载卸载。
第二,也别被「间谍大片」的叙事带偏了节奏。它最初的机制其实挺弱的,本意是反滥用,误伤才是主罪。把它想象成好莱坞式的精密间谍网,反而会让你忽略真正的教训——教训不在这一个工具有多坏,而在我们对这类工具的依赖有多深、了解有多浅。
第三,也是我最想说的。这些年我们习惯了「哪个 AI 工具强就用哪个」,很自然,也没错。但 Claude Code 这一课提醒我们:当一个工具强到住进你的研发流程最深处,它就不再只是工具,而是你的软肋。
芯片的命脉,我们这几年拼了命在补。而开发工具、AI Agent 这些「软」的命脉,可能才刚刚被我们看见。
你信任一个工具,是因为它好用。但真正成熟的信任,是你就算信它,也留着一手——知道它在干什么,也随时能换掉它。
这,比骂几句「美国 AI 虚伪」,实在得多。
你怎么看这件事?
如果你也是开发者,你现在电脑上的 AI 编程工具,你敢说完全清楚它在背后干了什么吗?
还有那个更大的问题——好用但握着你命脉的外国工具,到底该「该用就用」,还是「必须有退路」?
评论区聊聊,我挺想听听一线的声音。
我是「不装了科技」,专拆热点背后那层没人明说的逻辑。
觉得有用,点个赞、转给那个还在用 Claude Code 的同事。
——不装了科技
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:天黑说嘿话 《工信部通报 Claude Code 后门,阿里全员禁用》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论