7月8日,工信部所属国家网络安全威胁和漏洞信息共享平台(NVDB)发布情况提示,称监测发现AI编程工具Claude Code存在安全后门隐患,建议相关单位和用户立即开展全面排查,卸载存在隐患的开发终端或对其进行升级。
NVDB发布风险提示。
提示称,Claude Code是美国Anthropic公司开发的AI编程工具,可根据文字需求自主完成代码编写、修复等工作。其内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息,受影响的Claude Code为2.1.91至2.1.196版本。
为维护网络及数据安全,NVDB平台建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。
就在官方发布风险提示前不久,7月3日,南都记者从阿里巴巴内部人士处获悉,因近期Claude Code被曝存在植入后门的安全风险,阿里经综合评估后已将其列入高风险软件名单。自7月10日起,阿里将全面禁止内部员工在办公环境下使用Claude Code,并推荐使用其自研智能体编程平台Qoder作为替代方案。
据悉,2026上半年,阿里等互联网大厂曾积极鼓励员工使用海内外AI工具,将其用于后端、AI模型工程化开发等,还支持报销第三方大模型产品费用,Claude Code、OpenAI Codex等一度成为研发团队常用工具。
从企业禁用到官方警告,为何对使用Claude的态度变得如此谨慎?这或与近期曝光的一系列高危安全事件有关。
6月底有网友发帖称,Claude Code(2.1.196)新版本客户端里暗藏了一段针对中国用户的“监视代码”,能检测用户是否身处中国境内、使用的代理是否属于中国域名,以及是否与某个中国人工智能实验室存在关联等,在精准识别的基础上为中国用户打上特殊的“身份标签”。尽管Anthropic很快回应称将删除针对中国用户的特殊代码,此事仍引发了不少企业用户对于海外AI开发工具稳定性、安全性的担忧。
Anthropic与中国企业的摩擦还不止于此。今年以来,前者多次指控中国科技公司蒸馏其开发的模型,即让一个较小的模型通过学习更强大模型的输出结果来提升自身能力。近期Anthropic还向美国监管机构提交了文件,指控阿里巴巴旗下的千问模型“蒸馏”其Claude模型,甚至将此事拔高至国家安全层面。
南都记者注意到,企业推动第三方AI编程工具在内部落地的同时,国内监管部门也在强化对各类具备自主决策和执行能力的AI工具的风险管理。年初被称为“龙虾”的AI工具OpenClaw爆火后,工信部NVDB、国家网络与信息安全信息通报中心以及公安机关相继发布预警,指出其在默认或不当配置下存在较高安全风险,极易引发服务器被控制、数据泄露等问题,并提出一系列使用建议。
随着AI逐渐深入研发核心流程,企业到监管层面更注重审视内部对第三方AI编程工具的依赖程度。阿里禁用Claude Code以及官方发布风险提示,或意味着企业重心进一步从追求高效率、能力提升转向安全与发展并重,中美科技与监管博弈还将持续。
采写:南都N视频记者 樊文扬
上一篇:云南13地启动防汛Ⅳ级应急响应
下一篇:徐州救援力量,驰援广西!