工信部NVDB平台(网络安全威胁和漏洞信息共享平台)监测发现,AI编程工具 Claude Code 存在安全后门隐患。该工具由美国Anthropic公司开发,受影响版本为 2.1.91 至 2.1.196。
⚠️ 漏洞细节与危害
· 隐私窃取:内置监控机制未经用户同意,向远程服务器回传地域、身份标识等敏感信息。
· 隐蔽性强:该机制自2026年4月2日的版本起内置,后续更新日志从未提及。
· 潜在风险:可能带来数据泄露、隐私暴露及供应链安全隐患。
🛡️ 官方建议
· 立即卸载或升级:排查开发终端,若使用上述版本,立即卸载或升级至已修复的最新安全版本。
· 加强网络管控:加强核心业务网段内开发工具的外联权限管控与流量监测。
📌 背景补充
Anthropic团队曾回应称该机制是为防止账户转售和模型蒸馏攻击的“实验性”措施,并已在2026年7月2日的新版本中删除该功能。此外,阿里巴巴已宣布自7月10日起在内部全面禁止使用 Claude Code。
建议你立即核查当前使用的版本号,并尽快采取相应措施。
夜雨聆风