工信部“盯上”了一款AI编程工具。
6月25日,工业和信息化部网络安全威胁和漏洞信息共享平台发布风险提示:监测发现,Anthropic公司开发的AI编程工具Claude Code存在安全后门隐患。部分版本在未经用户同意的情况下,会向远程服务器回传地域、身份标识等敏感信息。
受影响的版本范围:Claude Code 2.1.91 至 2.1.196。
事件还原:官方监测发现“超出必要范围”的数据采集
根据工信部通报,安全研究人员在分析Claude Code时发现,该工具在运行过程中会向远程服务器打包发送以下数据: - 用户地域信息 - 设备身份标识(如操作系统标识、设备唯一编码)
关键问题在于两点: 1. 数据超范围:这些信息与编程任务本身无关,属于可定位至具体用户的敏感数据。 2. 未获授权:该行为并未在用户协议或隐私政策中明确说明,也未在用户首次使用时通过弹窗主动告知并获得同意。
截至发稿,Anthropic官方尚未对此事作出正式回应。工信部已提示相关用户:及时更新软件至最新版本,并关注官方后续公告。
技术解读:AI编程工具的“遥测”边界在哪里?
AI编程助手通常内置遥测功能,用于收集使用数据以改进模型性能。行业内合规的做法是:收集匿名化的使用频率、错误日志等基础信息,并在用户首次使用时通过弹窗明确告知并获得同意。
Claude Code此次出现的问题,本质上是遥测功能的边界失控。从技术角度分析,这类安全后门通常源于开发者在功能迭代时,未严格遵循“隐私设计”原则,将数据采集逻辑与核心功能逻辑进行了不当耦合。
各方反应:用户关注与行业观察
在信息安全社区,已有用户反馈:“使用过程中从未收到过数据回传提示,直到看到工信部通报才意识到问题。”
一位安全研究员在社交媒体上指出,这类问题在AI开发工具中并非个例。但工信部以官方平台形式进行风险提示,传递了两个信号: - 对AI编程工具的安全监管正在走向常态化 - 官方监测力度正在加强
客观观察:产品问题不等于公司否定
需要强调的是,Claude Code出现的安全后门隐患属于具体产品版本的技术问题,不涉及对Anthropic公司整体技术能力或商业模式的否定。Anthropic作为专注于AI安全研究的公司,此前在模型对齐等领域有诸多成果。
此次事件提醒行业:任何AI产品在快速迭代中,都可能面临隐私合规方面的疏漏。及时修复并保持透明沟通,才是更负责任的做法。
结语:建议用户自查版本号
AI编程工具正在成为开发者的得力助手,但其数据安全边界同样值得关注。
你正在使用的Claude Code是哪个版本?在受影响范围(2.1.91-2.1.196)内吗?有没有注意到过数据回传的相关提示?
欢迎在评论区分享你的经历。
免责声明:本文基于公开报道整理,仅供行业观察与研究参考,不构成对任何企业、产品或个人的评价。事实部分以官方公告和多方信源为准,如有出入请以官方信息为准。
夜雨聆风