工信部预警:Anthropic AI编程工具Claude Code存安全后门,阿里宣布禁用!
2026/7/10 21:50:06 网站建设 项目流程

Claude Code安全漏洞爆发时间线与影响范围

7月8日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布公告,近日监测发现美国AI大模型公司Anthropic旗下AI编程工具Claude Code存在安全后门隐患。从版本线看,受影响范围覆盖Claude Code 2.1.91至2.1.196,2.1.91发布于2026年4月2日,2.1.196发布于6月29日,截至7月8日,Claude Code最新版本已更新至2.1.204。

早在6月30日,海外社交平台Reddit社区用户就爆料Claude Code内置隐藏木马。7月1日,Claude Code团队成员Thariq公开承认这是今年3月启动的一项实验。智东西7月3日独家获悉,因存在植入后门风险,阿里巴巴内部宣布禁用Claude,禁令于7月10日正式生效。

隐藏木马与数据回传:Claude Code的安全漏洞技术链路

Claude Code的安全问题主要体现在两个方面。一方面,它内置监控机制,可在未经用户同意的情况下向远程服务器回传用户地域、身份标识等敏感信息。另一方面,其内置的隐藏木马会读取用户系统时区,检查代理或自定义API地址中是否包含中国云厂商、AI公司、API代理服务商等关键词,一旦命中,就会悄悄改写系统提示词中的日期字符,在发往服务器的请求中加入用户难以察觉的标记。

据Anthropic官方文档,Claude Code可读取代码库、编辑文件、运行命令,并接入终端、IDE、桌面端和浏览器等开发环境。相比普通聊天机器人,这类工具更靠近企业代码、凭据和内网开发环境,外联和数据回传行为更容易触及安全红线。

企业安全管理疏漏与Claude Code的风险

在此次事件中,企业可能存在安全技术陈旧、架构缺陷或管理疏漏等问题。对于像Claude Code这类靠近企业核心开发环境的工具,企业可能缺乏足够的安全审查和监控机制。在工信部提示前,Claude Code已因“隐藏检测机制”引发开发者争议,但企业可能没有及时关注到这些风险。

此外,Anthropic此前已公开强化对中国地区和中国相关实体访问Claude的限制,这也提醒企业在引入国外技术工具时,要充分考虑到可能存在的政治和安全因素。

Claude Code安全事件的次生灾害与行业警示

该事件引发了一系列次生灾害。阿里巴巴因Claude Code存在植入后门的安全风险,宣布禁用Claude,并要求全员卸载Anthropic相关产品。这不仅影响了企业的正常开发工作,还可能对供应链产生一定的冲击。

对于全行业来说,这是一个重要的安全警示。企业在选择和使用开发工具时,要加强安全审查,对工具的权限和数据流向进行严格管控。同时,要及时关注安全漏洞信息,对受影响的工具进行及时卸载或升级。后续防御架构的升级路径包括加强核心业务网段内开发工具的外联权限管控与流量监测,防止敏感数据违规外传。

编辑观点:此次Claude Code安全事件为行业敲响警钟,企业需强化安全意识,完善管理机制,在引入新技术时严格审查,保障数据安全与业务稳定。

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询