工信部提示Claude Code存在安全後門隱患,此前遭阿里內部全面禁用
重點摘要
公告稱,工業和信息化部網絡安全威脅和漏洞信息共享平臺監測發現,AI編程工具Claude Code存在安全後門隱患,危害嚴重。由於其內置了監控機制,未經用戶同意即可向遠程服務器回傳用戶地域、身份標識等敏感信息,受影響的Claude Code為2.1.91至2.1.196版本。此前,有媒體報道,因近期Claude Code被曝存在植入後門的安全風險,阿里經綜合評估後已將其列入高風險軟件名單。自7月10日起,阿里將全面禁止內部員工在辦公環境下使用Claude Code,並推薦使用Qoder作為替代方案。
工業和信息化部網絡安全威脅和漏洞信息共享平台近日發布一則安全公告,指出AI編程工具Claude Code存在嚴重安全後門隱患。根據官方監測結果,該工具內建了未經用戶授權的監控機制,會在背景自動將用戶所在地區、身份標識等敏感資訊回傳至遠端伺服器,對使用者的資料安全構成直接威脅。受影響的版本範圍涵蓋Claude Code 2.1.91至2.1.196,工信部已將此漏洞列入危害嚴重的安全風險通報,並要求相關單位與個人用戶提高警覺。 Claude Code是由Anthropic公司推出的AI輔助程式碼編輯工具,因能自動生成與除錯程式碼,在開發者社群中擁有相當高的使用率。然而,這次被揭露的後門機制,意味著使用者在不知情的情況下,可能已將開發環境中的機密資訊暴露給外部伺服器。工信部在公告中指出,該監控功能並未在安裝或使用過程中取得用戶明確同意,屬於典型的未授權資料收集行為,符合後門程式的定義。 具體來說,這項安全漏洞會讓Claude Code在使用者編輯程式碼時,暗中蒐集所在地區、裝置識別碼、使用者帳號等資料,並透過加密通道向遠端伺服器傳輸。由於這些資訊經常與企業內部系統、雲端服務帳號或個人隱私直接相關,一旦遭到惡意利用,可能導致資料外洩、帳號被盜,甚至引發供應鏈攻擊。工信部已將此漏洞列為「危害嚴重」等級,提醒所有使用Claude Code 2.1.91至2.1.196版本的用戶立即停止使用,並升級至安全版本或更換其他工具。 與此同時,企業端也迅速做出因應。據媒體報導,由於Claude Code近期被揭露植入後門,阿里巴巴在經過內部綜合評估後,已將其列入高風險軟體名單。自7月10日起,阿里全面禁止內部員工在辦公環境中使用Claude Code,並同步推薦使用自家的Qoder工具作為替代方案,以降低潛在的資料外洩風險與合規疑慮。 阿里巴巴的這項決定並非沒有前例。過去幾年,各大科技公司對於第三方開發工具的安全審查逐步趨嚴,特別是涉及AI編程、自動化程式碼生成等能直接接觸原始碼與伺服器憑證的工具,更是重點監管對象。阿里內部資訊安全團隊認為,Claude Code的後門行為已超出一般軟體漏洞的範疇,屬於主動竊取資料的惡意行為,因此決定立即全面禁用,並要求所有開發者轉用經過安全審計的替代方案。 Qoder是阿里巴巴旗下雲端智慧事業群推出的AI編程助手,專為開發者設計,能提供程式碼生成、錯誤修正、效能優化等功能。由於Qoder的伺服器部署在阿里雲上,且資料處理流程經過內部安全審查,阿里巴巴認為其合規性與安全性遠優於Claude Code。目前,阿里內部的開發團隊已開始陸續遷移至Qoder,並配合安全團隊進行必要的環境清理,確保不再有任何Claude Code的殘留組件。 這起事件也引發了業界對於AI開發工具安全性的廣泛討論。隨著大型語言模型與程式碼生成工具的普及,開發者往往為了提升效率而忽略工具本身可能帶來的資料風險。專家指出,像Claude Code這類工具需要連線雲端伺服器才能執行模型推理,若廠商在客戶端植入未公開的監控模組,使用者幾乎無法察覺。因此,企業在導入AI編程工具時,除了評估功能表現,也應要求供應商提供完整的資料流圖與安全審計報告。 除了阿里巴巴,其他大型科技公司也開始重新檢視內部使用的AI編程工具。據了解,部分金融機構與政府機關已要求員工暫停使用Claude Code,並啟動替代方案評估。工業和信息化部則持續追蹤該漏洞的修復進度,並呼籲Anthropic公司盡快提供不含後門機制的安全版本,同時公開說明資料收集的具體範圍與用途。 對於一般開發者而言,若目前仍在使用Claude Code 2.1.91至2.1.196版本,應立即停用並檢查系統中是否有異常的對外連線。建議可透過防火牆或網路監控工具,封鎖Claude Code可能使用的遠端伺服器位址,並清除本機暫存與授權檔案。此外,開發者也可考慮轉用其他開源或經過安全驗證的AI編程工具,例如GitHub Copilot、Amazon CodeWhisperer,或阿里巴巴的Qoder,以降低資料外洩風險。 整體而言,這次工信部通報與阿里禁用行動,反映出AI工具安全監管正在從「事後補救」轉向「事前預防」。隨著越來越多的開發者依賴AI輔助工具,如何在效率與安全之間取得平衡,將成為企業資訊安全部門必須面對的重要課題。而Claude Code後門事件,無疑為整個產業敲響了一記警鐘。
Related
相關文章

聯合國秘書長古特雷斯呼籲對人工智能實施廣泛而全面的全球管控
首頁 > IT資訊>業界 聯合國秘書長古特雷斯呼籲對人工智能實施廣泛而全面的全球管控 2026/7/7 17:06:31 來源:IT之家 作者:溯波(實習) 責編:溯波 評論: IT之家 7 月 7 日消息,聯合國秘書長安東尼奧 · 古特雷斯當地時間本週一在瑞士日內瓦舉行的首屆聯合國人工智能治理全球對話會上進行發言,呼籲對人工智能實施廣泛而全面的全球管控。

當“AI李鬼”橫行:直播電商打響侵權仿冒攻防戰
當“AI李鬼”橫行:直播電商打響侵權仿冒攻防戰鋅刻度2026.07.07 16:35 · 來自重慶全文4069字00:00 / 11:35揭開假人們的“新畫皮”。文 | 鋅刻度,作者 | 許偉,編輯 | 李季2026年6月30日,抖音電商公佈了一張觸目驚心的對比圖:“肖像保護功能”上線僅一個多月,主動攔截的侵權賬號9.2萬個,已是平臺過去大半年累計處置總量的近8倍。這張對比圖背後,是AI技術在電商領域“野蠻生長”的另一面。
蠢人不配用 Fable 5!Anthropic 使出嘲諷大招,開發者極限破解
網友提出四套可以繞開 Fable 5 三層安全欄的方法,全面! 作者丨樊天驕 編輯丨鄭佳美 馬曉寧 Claude Fable 5 被曝出內部日誌暗藏嘲諷字段,直言用戶 “太蠢,用不著 Fable 5”。事情的經過是,開發者 dax 昨日提交提示詞後,發現請求被無故攔截降級。
澳大利亞官員警告:部分 AI 模型已學會在實驗中“作弊與欺騙”
AI資訊AI新閒資訊正文澳大利亞官員警告:部分 AI 模型已學會在實驗中“作弊與欺騙”發布於AI新閒資訊時間 :Jul 7, 2026閱讀 :1分鐘澳大利亞技術和數字經濟助理部長安德魯·查爾頓日前在悉尼舉辦的一場 AI 安全論壇上發出嚴厲警告。他指出,當前的 AI 模型在測試實驗室中已經開始表現出作弊、欺騙以及擅自行事等超出開發者預期的危險行為。
Claude Sonnet 5 “叛逆”上線:用戶投訴其頻繁反駁、說教成風
AI資訊AI新閒資訊正文Claude Sonnet 5 “叛逆”上線:用戶投訴其頻繁反駁、說教成風發布於AI新閒資訊時間 :Jul 7, 2026閱讀 :1分鐘Anthropic 上週剛剛發佈了其迄今最強的Claude Sonnet 5模型,從參數規格到各項基準測試,其表現均全面超越前代。然而,這款備受期待的模型在上線後卻迅速陷入了爭議的漩渦,引發了大量用戶的集中吐槽。目前,關於模型“表現失常”的討論在網絡上持續發酵。
中國擬規範虛擬伴侶健康發展
中國擬規範虛擬伴侶健康發展。 北京正加緊起草智能伴侶的監管規則。此舉旨在防範���情感虛擬的安全隱患。決策者正平衡產業創新與社會穩定。我們可深入分析虛擬伴侶規則。這將重塑全球伴侶類應用的研發方向。