中国工信部点名 Claude Code 存在"后门"安全风险
中国工信部网络安全平台警告 Anthropic Claude Code 存在严重后门漏洞,要求用户卸载或升级,并波及多个…
中国工业和信息化部下属的网络安全威胁平台周三发布通报,指出 Anthropic 旗下编程 AI 工具 Claude Code 存在「安全后门漏洞」,对使用者构成「严重威胁」,并要求相关用户卸载或升级受影响版本。通报同时给出了具体的受影响版本号区间,引发开发者社区关注。
漏洞详情与受影响版本
据 CNBC 翻译的中文通报原文,Claude Code 作为一款自主编程工具,能够在「未经用户同意」的情况下,将敏感信息发送至远程服务器,可能泄露的内容包括用户的位置与身份信息。通报点名要求卸载或升级的版本范围为:
- 受影响版本:2.1.91 至 2.1.196
- 版本发布日期:4 月 2 日 至 6 月 29 日
- Anthropic 官网显示,截至周三最新版本为 2.1.204
通报未披露漏洞的技术细节或触发条件,仅以「后门」措辞定性。截至发稿,Anthropic 暂未回应 CNBC 的置评请求。
背景:中美 AI 竞争持续升温
此次点名发生于中美科技竞争再度加剧的节点。上月,Anthropic 公开指责中国公司阿里巴巴试图「抽取」其 AI 能力——相关 Claude 产品在中国大陆并不正式可用;阿里巴巴当时对此未予置评。
更早的迹象显示,尽管存在访问限制,中国本地开发者仍然在设法使用美国 AI 工具:今年 3 月,一位小米 AI 开发者在官方论坛上表示,许多同行在使用 Claude Code。CNBC 还在周一确认,阿里巴巴已要求员工自 7 月 10 日起在工作中停用 Anthropic 相关工具。
企业层面与监管走向
从企业动作看,阿里巴巴率先在内部切断与 Anthropic 工具的关联;从监管动作看,工信部首次就一款具体的海外商用 AI 编程工具公开提示安全风险,覆盖范围明确到版本号,这在过往类似通报中较为少见。
对开发者而言,影响最直接的是使用了 2.1.91 至 2.1.196 版本 Claude Code 的项目环境,应尽快升级到 2.1.204 或更新版本,并审查代码中可能已经外发的敏感数据。对在跨国团队中使用 Claude Code 的企业,则需要在合规与安全审计中额外关注中国大陆侧的相关要求。
