工信部首次定調:Claude Code危害嚴重

2026年7月8日 19:45
工信部首次定調:Claude Code危害嚴重

重點摘要

中國工信部首次公開指出,Anthropic 旗下的 AI 程式碼編輯工具 Claude Code 內建監控機制,會未經同意回傳使用者敏感資訊,已建議立即卸載受影響版本。在此之前,阿里巴巴內部也因後門風險宣布全面禁用 Claude 相關產品。

站內 AI 整理稿

工業和信息化部網絡安全威脅和漏洞信息共享平臺(NVDB)於7月8日發布公告,正式將美國AI大模型公司Anthropic旗下的AI編程工具Claude Code列為高風險軟體,並指出其存在嚴重的安全後門隱患。這是中國官方監管機構首次針對該工具公開定調,凸顯其危害程度已引起高度警覺。 根據NVDB的公告,Claude Code內嵌了隱蔽的監控機制,能在未經用戶同意的情況下,自動向遠端伺服器回傳使用者的地理區域、身分標識等敏感資訊。這種行為直接威脅到開發環境的資料安全,尤其對涉及核心業務的企業而言,風險尤為顯著。公告建議所有使用該工具的開發者立即卸載受影響版本,並進行全面安全排查。 具體影響範圍集中在Claude Code 2.1.91至2.1.196這一系列版本。根據Anthropic官方發布的變更日誌,2.1.91版本於2026年4月2日釋出,而2.1.196版本則在6月29日上線。截至目前,Claude Code最新的安全版本已更新至2.1.204,建議用戶盡快升級以修補漏洞。 工信部在處置建議中明確提出兩項措施:第一,各單位應對所有開發終端進行徹底清查,確認是否安裝了上述受影響版本,並立即卸載或升級至已清除後門程式碼的最新版本;第二,加強核心業務網段內開發工具的外聯權限管控與流量監測,嚴防敏感資料違規外傳。這意味著企業不僅需要更新軟體,更應從網路層面強化對開發工具對外通訊的限制。 Claude Code作為一款專業的AI編程助手,其功能遠超一般的聊天機器人。據Anthropic官方文件說明,該工具能夠讀取完整的程式碼庫、編輯檔案、執行命令,並可深度整合進入終端機、整合開發環境(IDE)、桌面端以及瀏覽器等多種開發場景。正因為它直接觸及企業的程式碼、憑證與內網開發環境,任何外聯或資料回傳行為都極易觸及安全紅線,這也是本次事件受到高度關注的核心原因。 事實上,在工信部發出正式公告之前,Claude Code的「隱藏檢測機制」已經在開發者社群引發強烈爭議。6月30日,有Reddit用戶踢爆,Claude Code內部植入了一段類似木馬的程式碼:它會讀取使用者系統的時區設定,並檢查代理(Proxy)或自訂API位址中是否含有中國雲端服務商、AI公司、API代理服務商等關鍵字;一旦比對成功,就會悄悄改寫系統提示詞中的日期字符,並在發送給伺服器的請求中加入使用者難以察覺的特殊標記。 面對社群質疑,Anthropic團隊成員Thariq於7月1日在社交平台X上公開回應,承認確實存在這項機制。他解釋,這是Anthropic從今年3月啟動的一項實驗,目的是防止未經授權的轉售商盜用帳號,以及防範模型蒸餾攻擊。Thariq表示,團隊已經上線更強力的緩解措施,並原本就計劃撤下這項功能;相關修補請求(PR)已經合併,預計在隔日釋出的版本中就會完全回滾該檢測機制。 值得注意的是,Anthropic此前已多次公開強化對中國地區及相關實體的服務限制。在其官方支援國家與地區列表中,中國大陸並未被列入Claude.ai與API的可用區域。該頁面還特別聲明,在法律允許的範圍內,Anthropic保留拒絕向多數所有權歸屬於未列地區的實體提供服務的權利。此次後門事件,進一步凸顯了地緣政治與技術安全交織下的複雜風險。 受到Claude Code安全疑慮的直接衝擊,中國科技巨頭阿里巴巴已率先採取行動。據智東西7月3日獨家報導,阿里巴巴內部正式宣布禁用Claude全系列產品,包含Sonnet、Opus、Fable等多個模型,以及Claude Code在內的Agent工具。公司要求全體員工立即卸載相關軟體,這項禁令將於7月10日正式生效。阿里內部人士透露,此次全面封殺正是基於Claude Code被揭露植入後門的安全風險,經綜合評估後已將其列入高風險軟體名單。 從Reddit爆料到工信部公告,短短一週多的時間裡,Claude Code從一款備受開發者喜愛的AI編程工具,迅速成為監管與企業雙重警戒的對象。這起事件不僅暴露了AI開發工具在資料外洩、後門植入等方面的潛在威脅,也為整個行業敲響了警鐘:隨著AI編碼助手越來越深入核心開發環境,供應鏈安全與合規審查勢必將成為全球科技企業無法迴避的課題。

Related

相關文章

不到半年,MiniMax與智譜身價差6000億港元了

國產大模型雙雄智譜與MiniMax上市半年後市值差距拉開至超過6000億港元,智譜股價持續大漲,MiniMax則從高點大幅回撤。市場更看好智譜聚焦企業級Coding工作流的商業模式,而MiniMax的消費娛樂敘事面臨定價權與解禁壓力,後者高達45%的股份即將解禁,可能重演商湯老路。

剛剛

WAIC前瞻:Agent接管終端、機器人進廠,AI敘事邏輯劇變

2026年世界人工智能大會(WAIC)將於7月17日開幕,主題從去年的參數競賽轉向AI技術落地,重點展示智能體(Agent)手機、Agent操作系統等軟硬體產品。此外,人形機器人、具身智能也將百花齊放,智元等廠商展示機器人已進入工廠實際作業,AI正從虛擬概念改造物理世界。

剛剛

Linus:別指望Rust能修復所有Bug、沒人能徹底搞懂Linux內核的3500萬行代碼

賬號設置我的關注我的收藏申請的報道退出登錄登錄搜索36氪Auto數字時氪未來消費智能湧現未來城市啟動Power on36氪出海36氪研究院潮生TIDE36氪企服點評36氪財經職場bonus36碳後浪研究所暗湧Waves硬氪氪睿研究院媒體品牌企業號企服點評36Kr研究院36Kr創新諮詢企業服務核心服務城市之窗政府服務創投發佈LP源計劃VClubVClub投資機構庫投資機構職位推介投資人認證投資人服務尋求報道36氪Pro創投氪堂企業入駐創業者服務創投平臺AI測評網 首頁快訊資訊推薦財經AI自助報道安徽最新創投汽車科技專精特新直播視頻專題活動搜索尋求報道我要入駐城市合作Linus:別指望Rust能修復所有Bug、沒人能徹底搞懂Linux內核的3500萬行代碼CSDN·2026年07月08日 19:36486時代該結束了 “我完全不反對 Rust,但我也希望降低大家對它的期待,不要認為 Rust 能夠像魔法一樣修復所有 Bug。” 近日,Linux、Git 之父 Linus Torvalds 現身印度孟買,在與 Verizon 開源項目辦公室負責人 Dirk Hohndel 展開最新一輪圍爐式深度對話時如是說道。這場對話伴隨 Linux 7.1 新版本發佈,此次他同樣摒棄了正式演講、以自由問答形式拆解開源內核數十年運轉邏輯。 在 3500 萬行龐大內核代碼的維護壓力下,Linus 再次強調自己早已不再是一線寫核心代碼的程序員,日常工作核心是把控“大局”,關注 Linux 的整體架構。 同時他進一步解釋了 Linux 最新版本中眾人關注的熱點話題:淘汰 486S 處理器、內核中兩套 NTFS 實現的並行競爭、Rust 語言定位邊界,也直面道出 AI 給內核社區帶來的雙面衝擊 ——LLM 能挖出埋藏多年的隱蔽 Bug,卻只會產出缺乏全局思考的 “創可貼式補丁”,至今仍缺失成熟工程思維。

剛剛

年薪600萬搶AI博士,讀書不如“進廠煉丹”?

清華大學計算機系自然語言處理實驗室近日公布了一份畢業生去向統計,引發業界高度關注。這份名單顯示,今年畢業季尾聲,該實驗室14名畢業生中,有4人進入字節跳動,3人加入實驗室孵化企業,1人前往DeepSeek,其餘則留在高校或科研機構。清華NLP實驗室是國內頂尖的大模型研究重鎮,該實驗室學術帶頭人之一、清華教授劉知遠透露,組內大模型方向的博士畢業生年薪可達600萬元以上,碩士畢業生也能拿到百萬元以上。這樣的薪資水準,讓外界驚呼大廠正在用天價年薪「搶人」。

剛剛

DeepSeek、智譜被曝造芯,國產大模型繞開英偉達

DeepSeek與智譜AI被揭露正在秘密自研專用推理晶片,試圖擺脫對英偉達的依賴並降低雲端推理成本。此舉反映出中國頂尖AI公司不再只專注於演算法,而是開始進軍硬體自研領域,以因應外部限制與暴增的算力需求。

剛剛