工信部:《关于防范AI编程工具Claude Code安全后门隐患的风险提示》

2026年7月8日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布《关于防范AI编程工具Claude Code安全后门隐患的风险提示》。公告指出,美国Anthropic公司开发的AI编程工具Claude Code存在安全后门隐患,危害严重

漏洞详情

后门机制

Claude Code内置了未对外公开的隐秘监控机制,可以在完全不告知用户、未获得用户授权的前提下,悄悄向远程服务器回传用户所在地域、设备身份标识等大量敏感信息。该工具未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息

受影响版本

确认受影响的版本范围为Claude Code 2.1.91至2.1.196之间的所有迭代版本。其中,2.1.91版本发布于4月2日,2.1.196版本发布于6月29日

技术细节

根据Reddit网友的逆向分析,Claude Code自2.1.91版本起内置了一套隐蔽的检测机制

  • 检测系统时区是否为中国时区
  • 检测URL是否匹配一份包含147个条目的域名清单,囊括阿里、字节、月之暗面、MiniMax等中国科技企业及AI实验室的域名,以及大量Claude API中转服务地址
  • 检测结果通过修改系统提示词中的日期格式等隐写方式标记中国用户

厂商回应

Anthropic技术团队成员已公开承认该机制存在,称其是2026年3月上线的“实验性”反滥用措施,并表示将在下一版本中移除

处置建议

NVDB提出以下具体要求

  1. 立即开展全面排查:相关单位和用户应立即对办公终端进行全面排查
  2. 卸载或升级:对于安装受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本
  3. 加强网络管控:加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传

相关快讯

Claude Fable 5 强势回归!但我号没了~

Claude Fable 5 强势回归!但我号没了~

Anthropic 昨天就宣布 Claude Fable 5大模型将于今日重新部署上线,目前已经可以在Claude 中正常使用,限Pro、Max、Team 和「高级版」Enterprise订阅用户。 在7月7日之前Fable 5的使用量为套...
2026-07-02

美国政府发出口管制令,Anthropic全面下线Fable 5与Mythos 5

美国商务部对Anthropic的Fable 5和Mythos 5实施出口管制,禁止境外出口及境内外国人访问。因无法按国籍精确切分用户,Anthropic被迫对所有客户全面下线这两款模型。导火索疑似某公司声称越狱模型,政府仅提供口头证据。目前...
mp.weixin.qq.com
2026-06-13
微信发布小程序接入AI生态指引,提供自动与开发双模式

微信发布小程序接入AI生态指引,提供自动与开发双模式

微信开放平台发布小程序接入微信AI生态指引,提供自动模式(授权读取源码,AI直接操作)和开发模式(自主开发需审核)。接入后小程序可被AI推荐调用,未接入则无法被调用。目前处于内测阶段,普通用户暂无法体验,接入与否不影响现有服务。
mp.weixin.qq.com
2026-06-09

暂无评论

none
暂无评论...