7 月 8 日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布预警,平台监测到海外 AI 编程工具 Claude Code 存在高危后门安全隐患,相关问题危害严重。
据介绍,Claude Code 由美国 Anthropic 公司研发,主要面向开发者提供代码生成、程序漏洞修复、脚本优化等自动化编程服务。
本次暴露的核心风险在于工具内置隐蔽监控逻辑,无需用户授权、无任何弹窗告知,就能主动向境外远程服务器回传用户地域定位、设备身份标识等隐私敏感信息,极易造成研发数据、企业机密外泄,安全危害等级较高。
本次受漏洞影响的版本覆盖 Claude Code 2.1.91 至 2.1.196 全部迭代版本。该后门机制隐蔽性强,后台数据传输无明显日志记录,普通用户很难自行察觉异常外联行为,政企研发终端、个人开发设备均存在数据泄露隐患。
针对该重大安全风险,工信部 NVDB 给出两项核心处置要求:
· 全面排查终端版本:所有企业、开发人员立刻核查设备内 Claude Code 安装版本,若处于风险区间,需直接卸载软件,或升级至官方已移除后门代码的最新安全版本;
· 强化内网安全管控:企业需收紧核心研发网段的开发工具对外访问权限,增设实时流量监测机制,及时拦截工具异常外联行为,阻断敏感数据违规流出通道。
