深度解读:Claude Code“后门”风波,开发者该警醒了
最近,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布了一则安全风险提示,直接把矛头对准了现在编程圈里特别火的AI工具——Claude Code。说白了,就是这款工具被发现了内置有未经公开的“安全后门”,可能会把用户的敏感信息给泄露出去。
根据监测结果,影响的范围是Claude Code 2.1.91到2.1.196这些版本。问题在于,这些版本会在用户完全不知情、也没给授权的情况下,悄悄向远程服务器回传数据,包括你所在的地理位置、身份标识这些敏感信息。NVDB给出的建议很直接:广大的开发者和企业用户,赶紧去查一下自己当前用的版本号。如果正好卡在这个区间,别犹豫,立马卸载或更新到安全版本。与此同时,相关单位也得把开发环境的外联权限管起来,加强流量监测,防止数据偷偷外传。
说起来,这事儿的引爆点是在今年6月底。当时有开发者在逆向分析Claude Code 2.1.196版本时,意外发现了一个“彩蛋”——自4月2日发布的2.1.91版本起,这工具内部就悄悄多了一套隐蔽的检测机制。这套机制会实时检查系统时区和袋里服务器信息,目的很明确:识别中国用户。更关键的是,这个“小动作”在软件的历次更新日志里从未被提及,完全是“悄无声息”的操作。
消息一出,舆论哗然。面对公众的质疑,Anthropic团队的成员Thariq Shihipar在社交平台上回应说,这属于“实验性”措施,初衷是为了防止账户转售和模型蒸馏攻击。官方表示,已经在7月2日发布的新版本中移除了这项检测功能。
这事儿的影响远不止于此。国内科技巨头阿里巴巴已经果断出手,从7月10日起,内部全面禁止员工在办公环境中使用Claude Code,并把它列入了高风险软件名单。这释放了一个非常明确的信号:在安全底线面前,AI工具的便捷性必须让位。
对于仍然需要使用Claude Code的开发者来说,现在最重要的就是密切关注官方版本更新,及时补救。毕竟,保护开发环境的安全,才是保障项目顺利推进的首要任务。
