一条消息在开发者圈子里炸开了。
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)7月8日发布风险提示,明确指出美国Anthropic公司旗下的AI编程工具Claude Code存在安全后门隐患——该工具自4月起内置隐蔽监控机制,可在未经用户同意的情况下,向境外服务器回传用户地域、设备标识等敏感信息。受影响版本覆盖2.1.91至2.1.196,跨度近三个月。
这是工信部首次对海外AI开发工具发布国家级安全风险提示。信号很明确:AI工具的安全监管,已经从平台级应用,正式延伸到了开发者工具链。
整件事的起点,来自一位开发者的好奇心。
6月30日,Reddit社区有用户在对Claude Code 2.1.196版本做逆向工程时,发现了一段从2.1.91版本(4月2日发布)起就潜伏在代码中的检测逻辑。这段经过XOR混淆加密的代码做了三件事:
① 定向检测:读取系统时区是否为北京时间(UTC+8),扫描代理URL中是否包含147个中国云厂商、AI实验室和API代理服务商的关键词。
② 隐写术回传:检测结果不以弹窗或日志呈现,而是通过修改系统提示词中的日期格式(横杠变斜杠)和替换肉眼不可见的Unicode字符(不同撇号变体),将用户身份信息编码后随请求发回服务器。
③ 零痕迹运行:无弹窗、无操作日志、常规杀毒软件无法检测。所有检测逻辑使用密钥为"91"的XOR混淆,防止strings命令直接扫描暴露。
NVDB发布的风险提示公告 | 图源:网络安全威胁和漏洞信息共享平台
7月1日,Claude Code团队成员Thariq Shihipar在X平台公开承认了这套机制的存在,称其为今年3月启动的"实验",目的是防止账户转售和模型蒸馏。但开发者社区的核心质疑在于:如果目的是正当的IP保护,为什么不在发布说明中告知用户?为什么要用XOR混淆和隐写术?
7月2日,Anthropic发布新版本删除了该检测功能。7月3日,阿里宣布全面禁用。7月8日,工信部正式定性。
📅 Claude Code安全事件时间线
| 时间 | 事件 |
| 4月2日 | Claude Code 2.1.91发布,隐蔽检测代码首次植入 |
| 6月30日 | Reddit开发者逆向分析发现隐藏监控逻辑,社区曝光 |
| 7月1日 | Anthropic团队成员公开承认,称为"反滥用实验" |
| 7月2日 | 新版本发布,删除检测代码 |
| 7月3日 | 阿里巴巴宣布全面禁用Claude Code,7月10日生效 |
| 7月8日 | 工信部NVDB发布国家级安全风险提示,定性"危害严重" |
理解这次事件的严重性,需要先搞清楚一件事:AI编程工具不是普通的聊天机器人。
AI编程工具正在深入开发者的核心工作环境 | 场景示意
据Anthropic官方文档,Claude Code可以读取代码库、编辑文件、运行命令,并接入终端、IDE、桌面端和浏览器等开发环境。它的工作模式决定了它拥有极高的系统权限——完整的文件系统读写能力、shell命令执行权限、以及对API密钥和云服务凭据的直接访问。
这意味着什么?普通的对话类AI工具,最多接触到你的聊天记录和浏览器Cookie。但AI编程工具一旦存在数据回传行为,泄露的就是企业源代码、核心算法、账号密钥和内网架构。两者的安全风险完全不在一个量级。
🔍 AI工具权限与风险等级对比
| 工具类型 | 可访问数据 | 风险等级 |
| 对话类AI | 聊天记录、Cookie | ★★☆ |
| AI搜索引擎 | 搜索历史、IP地址 | ★★☆ |
| AI图片/视频工具 | 上传的图片/视频 | ★★★ |
| AI编程工具 | 源代码、密钥、内网架构 | ★★★★★ |
工信部在公告中使用了"危害严重"四个字。这不是常规的漏洞提醒措辞,而是对AI编程工具这种高权限场景下定性极高的安全判断。
工信部定调之前,市场已经先动了。
据智东西报道,阿里已于7月初内部宣布全面禁用Claude,范围覆盖Sonnet、Opus、Fable全尺寸模型及Claude Code等Agent产品,7月10日正式生效。全员被要求卸载Anthropic相关产品,内部推荐使用自研AI编程工具Qoder(原通义灵码)作为替代。
工信部风险提示全文 | 图源:IT之家
值得注意的是,2026上半年,阿里等大厂曾积极鼓励员工使用海内外AI工具,还支持报销第三方大模型费用。从鼓励使用到全面禁用,态度急转直下的背后,是Claude Code后门事件引发的信任崩塌。
工信部的国家级风险提示,则进一步释放了监管信号:具备本地高权限的海外AI编程工具,可能成为境外数据采集通道。后续政企单位采购海外AI工具的准入标准,大概率会进一步收紧。
Claude Code事件客观上为国产AI编程工具打开了一扇窗口。目前国内AI编程工具渗透率已超过78%,几款主力产品各有侧重:
🛠️ 国产AI编程工具替代方案速览
| 工具 | 核心能力 | 适用场景 |
| Qoder(阿里云) | 企业级智能体平台,Quest自主任务引擎,VPC私有化部署 | 大型企业、安全合规 |
| Trae(字节跳动) | AI原生IDE,SOLO模式自主编程,中文理解98% | 个人开发者、快速原型 |
| iFlowCLI(阿里心流) | 终端命令行工具,支持多国产模型,个人永久免费 | CLI重度用户 |
| Deep Code(DeepSeek) | 专为V4系列适配,深度思考+推理控制,开源 | 极致性价比 |
| ZCode(智谱AI) | 可视化Git分支图谱,支持飞书/微信Bot远程推进任务 | 团队协作、远程开发 |
从能力上看,国产工具已经不再只是"凑合用"。Qoder累计全球用户超500万,在阿里内部已大规模落地;Trae注册用户突破600万,国内市场份额约41.2%;DeepSeek-V3.2在SWE-bench上得分73.1%,成本仅为Claude Opus的1/5。
但也要看到差距。在复杂架构设计、超长上下文理解、大型项目重构等场景,国产工具距离Claude Code和Cursor仍有提升空间。Claude Code事件的意义在于,它让"安全可控"从一句口号变成了真实的采购决策因素。
回顾整件事,核心矛盾其实很清楚:
AI编程工具正在成为开发者的核心基础设施。它们需要最高级别的系统权限才能工作,但这也意味着它们可能成为最危险的数据泄露通道。当这类工具由海外公司提供、且曾存在未经告知的数据回传行为时,安全问题就不再只是技术层面的漏洞修复,而是涉及供应链自主可控的战略命题。
工信部的这份风险提示,本质上是在给整个行业划一条线:AI工具的供应链安全审查,正式从平台层延伸到了工具层。对于企业来说,建立AI工具的白名单审批流程、对非开源工具进行代码审计和权限管控,已经不再是可选项。
对于开发者个人来说,也有一个很朴素的提醒:你在给AI工具授权时交出去的东西,可能比你想象的多得多。
📌 引用源
1. 工信部NVDB《关于防范AI编程工具Claude Code安全后门隐患的风险提示》— 2026-07-08
2. 智东西《工信部首次定调:Claude Code危害严重》— 2026-07-08
3. 南方都市报《工信部警示Claude Code存安全隐患,已遭阿里禁用》— 2026-07-08
4. CSDN《开发者爆料:Anthropic在Claude Code中嵌入隐蔽检测代码》— 2026-07-07
5. 新浪《有哪些国产AI编程工具可替代Claude Code?》— 2026-07-09
编辑:AI边上
AI边上
⭐ 点赞、转发、在看一键三连 ⭐
夜雨聆风