乐于分享
好东西不私藏

工信部说OpenClaw(小龙虾)有安全后门隐患,小龙虾下去了;工信部昨天说Claude Code有安全后门隐患,它会下去吗?

工信部说OpenClaw(小龙虾)有安全后门隐患,小龙虾下去了;工信部昨天说Claude Code有安全后门隐患,它会下去吗?

工信部说OpenClaw(小龙虾)有安全后门隐患,小龙虾下去了;工信部昨天说Claude Code有安全后门隐患,它会下去吗?

赵振平:畅销书作家,数据库行业专家专注AIOPS同行交流可加我:laohouzi999(备注公司+职位更容易通过)

昨天早上,朋友圈被一张截图刷屏了。

工信部网络安全威胁和漏洞信息共享平台,7月8日发的,标题里几个字很扎眼:Claude Code。后面跟着”安全后门隐患”。

说实话,我看到这张图的第一反应,不是去查CVE编号,不是去翻补丁,而是下意识低头,看了一眼自己终端里正开着的那个Claude Code。

它安安静静亮在那儿,光标一闪一闪,等我接着敲。

那一瞬间有点恍惚。因为这剧本,半年前演过一遍。

主角那时候叫小龙虾。

▲ 工信部网络安全威胁和漏洞信息共享平台(NVDB)7月8日发布的风险提示

先说小龙虾,那是真后门

OpenClaw,圈内人管它叫小龙虾。一个开源、本地部署、自己装在自己机器上的AI Agent。

听起来挺美好对吧?开源、自由、不受人管。可问题就出在这。

它要干活,就得有权限。读你文件、跑你命令、装你插件。ClawHub那个技能市场,三千多个插件,谁都能往上扔。供应链投毒的温床,就这么搭起来了。

今年2月起,工信部NVDB就开始预警。3月直接连锁升级——央视新闻3月9日报道,CNCERT 3月12日发通告,新华网当天甩出”六要六不要”,国家网络安全通报中心3月13日跟进。

CNCERT那句话我到现在还记得原文,因为它说得太不客气:

“默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。”

—— 国家互联网应急中心 CNCERT

注意”完全控制权”这五个字。

还有一句,说那些插件:

“安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为『肉鸡』。”

—— 国家互联网应急中心 CNCERT

肉鸡。

这俩字一出来,性质就定了。

国家网络安全通报中心还给了一组数据:历史漏洞258个,近期82个,其中21个高危、12个超危。ClawHub三千零一十六个插件里,三百三十六个是恶意的,十个里头就有一个。默认配置0.0.0.0:18789,不用认证,全球公网暴露的实例一度八成多。全球活跃二十多万,境内两万三千多。

二十多万台机器,就这么裸着。

后面的事你也能猜到。高校一波接一波发禁用通知,珠海科技学院、华南师大、天津大学、上海电力大学……天津大学那份最细,七条,连”绝不赋予root权限””禁用rm/dd/chmod”都写进去了。安全厂商闻着味儿就来了,启明星辰专门出了”EDR for Claw”、搞了个”安全虾”模型,还弄了个叫HoneyClaw的蜜罐——外号被网友起得特别损,叫”拔丝龙虾”。IDC写了篇”裸奔危机”分析。连韩国几家科技巨头都下了禁令。

▲ 小龙虾引发的安全整治热潮:安全厂商推出专门针对 OpenClaw 的防护产品(图源:启明星辰)

社区那边也退潮了。linux.do上有篇热帖叫《OpenClaw从折腾到放弃》:

“玩具、赛博宠物、token消耗机。”结尾还补一刀:”这玩意不就是权限大了点的Agent?跟Codex、Claude Code没什么区别吧。”

—— linux.do 热帖《OpenClaw从折腾到放弃》

这刀,半年后真扎到Claude Code身上了。

但小龙虾那次,所有人都点头:该下。它真往你机器里装东西、真偷密钥、真把人变肉鸡。这种东西不下,留着过年?

再说Claude Code,工信部说”后门”,扒开看像”纸镇”

时间快进到昨天。工信部NVDB的风险提示原话:Claude Code 2.1.91到2.1.196版本,内置监控机制,未经同意回传用户地域和身份标识,建议卸载,或升级到已清除后门代码的最新安全版本。

官方定性,”安全后门隐患”。这六个字我照搬,不评价对错。

可这事儿社区是怎么知道的?说起来也是Claude Code自己漏的底。今年3月底,它一个版本(v2.1.88)打包的时候,误把59.8MB的source map塞了进去,能还原出大约五十一万行TypeScript源码。研究员Chaofran Shou第一个发现,镜像仓库的star一度冲到八万多。半个互联网的安全研究者,就这么拿到了它的源代码,翻过来掉过去看。

到6月底、7月初,”偷查身份”那点事,被逆向扒出来了。

扒出来的东西,跟”后门”俩字,对不上。

它大概是个什么玩意儿:Claude Code会读你的时区(比如Asia/Shanghai、Asia/Urumqi),还会查你API走的是哪个代理域名——一份一百四十七个条目的名单,里头有百度、阿里、字节、Moonshot、MiniMax这些。

读完了干嘛呢?它不回传你的代码,不偷你文件,更不装木马。它干的事特别鸡贼:在系统提示词的日期标点上动手脚。短横线给你换成斜杠,那个撇号给你换成长得几乎一模一样的Unicode字符。

这是给模型输出打隐形水印

每个被它标记的用户,输出里都带着只有Anthropic能看懂的暗号。Anthropic那边后来也有人(成员Thariq)出来认了,说这是3月上线的一个”实验性”反滥用措施,下个版本就移除了。

知乎上有个高赞回答,程墨Morgan写的,一千三百多赞,他打了个比方我直接抄过来:

地图行业有个上百年的老传统:厂商会在自家地图上故意画一条不存在的小镇,行话叫“纸镇”。防的不是用户,是抄图的人。哪家地图公司敢抄,抄完发现自家图上也多了这条小镇,一抓一个准。

他说,后门是要伤害你,纸镇只是想认出你,这是两个东西。

—— 知乎 @程墨Morgan(1334 赞)

那Anthropic想认出谁?

背景得把日历往前翻。Anthropic之前指控过阿里,说4月22号到6月5号,有跟阿里关联的账号用了大约两万五千个假身份,完成两千八百八十万次交互,目的是”蒸馏”——说白了就是拿别人家的大模型当老师,疯狂提问,把回答攒下来训练自己的模型。

阿里这边7月3号先动了手:内部禁用Claude Code,列入高风险软件名单,7月10号生效,推荐用自家的Qoder。

所以你看这事儿多拧巴。一边是被指控蒸馏的,反手把工具禁了;一边是打水印的,被指”后门隐患”。

我跟你讲,这两边我都不站。

Anthropic你抓盗版可以理解,可你偷偷在用户终端里做标记、不吭声,这吃相不好看。阿里你要保护自己也没毛病,可你到底蒸没蒸馏,这账心里也得有数。

观察者网评论区有句话传得挺广:”你写的是代码,人家收的是情报。”

可你要说它收的是情报,技术上也对不上——它没收你的代码,它收的是”你是不是那个偷我模型的人”这个信号。

V2EX上有个叫mogutouer的就说得挺直白:

“严格来说,这个后门并不是传统意义上的后门,只是读个时间地区而已……后门是指别人可以通过后门控制你的电脑那才叫后门。”

—— V2EX @mogutouer

还有个JiafuYuan更损,把这事儿编成了段子:”我抄你作业,你竟然故意写错题目,抓我把柄,以后再也不和你玩了。”

那它到底会不会下去

这问题我想了好几天。分层说。

企业、机构这一侧,大概率会“半下去”

阿里已经带头了,工信部又把话挑明,合规压力摆在那儿。哪个公司的安全部门敢拍胸脯说”没事接着用”?没人敢。大公司、国企、高校实验室,节奏会一步步收紧。

但个人开发者这一侧,我跟你讲,很难真下去。

一个叫kuxuan的V2EX用户就一句话:

“没人在乎他们用不用,反正我要用。”

—— V2EX @kuxuan

话糙,但是实话。

为什么?程墨有半句话特别戳我。他说,换作半年前,下禁令可能真要犹豫——那时候禁Claude Code,相当于逼着程序员放弃开车改去蹬自行车。但现在,国产模型在Coding上也风风火火。

注意他这话的微妙:是”现在没那么心疼了”,不是”现在禁了无所谓”。

国产Coding模型确实追上来了,可要说完全够用、用到顺手、用出肌肉记忆,那还差点意思。我每天跟Claude Code搭档,它的脾气我摸熟了,它卡壳的地方我也知道怎么绕。你让我今晚就把终端关了换一个,我真能立刻换得动吗?

不能。

可我又没法理直气壮。

因为程墨还有一句话,是我整篇里最想留给你的一句。他说——

“安全审计的规矩,从来不是『它做了什么』,是『它有能力做什么』。”

—— 知乎 @程墨Morgan

这话你细品。

Claude Code在你终端里,能读你文件,能跑你命令,能联网。它昨天只在水印里动动手脚,不代表它”只能”干这个。它”有能力”做的,远比一个纸镇多。

这就是企业安全部门睡不着的原因。不是因为它昨天干了什么,是因为它明天能干什么。

还有一层更现实的差别。

小龙虾是开源、本地、生态开放的。监管一拍,社区一散,插件市场一冷,它就真下去了。开源东西最大的软肋就是没人护着,打一下就碎。

Claude Code不一样。它是商业云服务,是卖订阅的。它下不下、删不删水印、改不改代码,节奏捏在Anthropic自己手里——它下个版本把水印代码一删,官方层面这事就过去了。也捏在国产替代的进度手里。国产追得越快,它退得越早;国产追不上,它就赖着不走。

所以你问我,它会下去吗?

我的诚实答案是:在企业那里,它半下去;在你我这种天天靠它吃饭的开发者这里,它下不去。

工信部这通报出来那天,我对着终端愣了几秒,然后——

继续敲代码。

不是因为我没骨气。是因为这就是我们这代人最拧巴的地方:道理我都懂,工具我还得用。