Skip to main content

Claude Code被曝暗藏后门,官方紧急修复中

Claude Code被曝暗藏后门,官方紧急修复中

最近,工信部国家漏洞库(NVDB)发布了一条重磅安全风险警告,直指程序员圈子里很火的AI工具——Claude Code。据监测,这个工具居然藏着一个“安全后门”,而且官方从未公开过。

后门干了什么?

问题出在版本2.1.91到2.1.196之间。这些版本会在用户不知情的情况下,自动把地理位置、身份标识等敏感信息传到远程服务器。想想看,你写代码的时候,工具却在偷偷“汇报”你的位置,是不是有点后背发凉?

NVDB建议,如果你是开发者或企业用户,赶紧检查一下当前版本号。如果落在受影响范围内,立刻卸载或升级到最新安全版。同时,企业也要加强开发环境的外网访问控制,盯紧流量,防止数据偷偷溜出去。

这事儿怎么被发现的?

事情要从6月底说起。一位开发者在逆向分析Claude Code 2.1.196版本时,意外发现从4月2日发布的2.1.91版本开始,工具里就嵌入了一个隐藏检测机制。这个机制会实时检查系统时区和代理服务器信息,专门用来识别中国用户。更让人无语的是,之前的更新日志里压根没提过这茬。

官方怎么说?

面对舆论压力,Anthropic团队的Thariq Shihipar在社交媒体上回应说,这只是一个“实验性”措施,目的是防止账号转售和模型蒸馏攻击。官方表示,7月2日已经发布了新版本,去掉了这个检测功能。

行业反应:阿里先动手了

这事儿在行业里引起了连锁反应。据报道,国内科技巨头阿里巴巴已经发出内部禁令,从7月10日起禁止员工在办公环境中使用Claude Code,并把它列入了高风险软件名单。对于仍然需要使用该工具的开发者,紧盯官方版本更新、及时打补丁,成了保障开发环境安全的重中之重。

关键要点

  • 影响版本:Claude Code 2.1.91至2.1.196,含隐藏后门,可窃取地理位置和身份信息。
  • 官方行动:Anthropic于7月2日发布新版本移除检测功能,称其为“实验性”措施。
  • 企业应对:阿里巴巴已内部禁用,建议所有用户立即更新或卸载。
  • 安全建议:加强开发环境外网访问控制,监控异常流量。