安全警报:Claude Code 被曝存在安全后门,官方已…

AI广播站9小时前更新 小悠
9 0 0

近日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布了一则重要的安全风险提示,指向目前编程界广泛使用的 AI 工具——Claude Code。据悉,该工具被发现内置了未经公开的“安全后门”,存在泄露用户敏感信息的风险。

根据监测结果显示,受影响的软件版本为 2.1.91 至 2.1.196。这些版本在未经用户授权的前提下,能够自动向远程服务器回传包括用户地理位置、身份标识等在内的敏感数据。对此,NVDB 建议广大开发者和企业用户立即核查当前使用的版本号,若处于上述受影响区间,请务必尽快卸载或更新至最新安全版本。同时,相关单位应强化开发环境的外联权限管控,加强流量监测,以防数据违规外传。

安全警报:Claude Code 被曝存在安全后门,官方已启动紧急修复

此次风波始于今年 6 月底,当时有开发者在逆向分析 Claude Code 2.1.196 版本时,意外发现自 4 月 2 日发布的 2.1.91 版本起,该工具内部便被植入了一套隐蔽检测机制。这套机制会实时检查系统时区及代理服务器信息,旨在识别中国用户。值得注意的是,该机制在软件的历次更新日志中从未被披露。

针对公众的质疑,Anthropic 团队成员 Thariq Shihipar 在社交平台回应称,这属于“实验性”措施,初衷是为了防止账户转售并防范模型蒸馏攻击。官方表示,已于 7 月 2 日发布新版本并移除了该检测功能。

这一安全隐患引发了业界的连锁反应。据悉,国内科技巨头阿里巴巴已在内部下发禁令,自 7 月 10 日起全面禁止员工在办公环境中使用 Claude Code,并将该工具列入高风险软件名单。对于依然需要使用该工具的开发者而言,密切关注官方版本更新并及时补救,已成为保障开发环境安全的首要任务。

Claude Code v2.1.202版更新,修复诸多遗留问题,并深度优化工作流控制与远程协作体验,操作流畅度提升。新增/config中“动态工作流大小”设置,支持按需自定义智能体构建规模,赋予开发者更灵活的任务管控能力。

AI编程的高API调用成本是开发者痛点,新工具pxpipe作为本地代理,能将庞大上下文信息转为图像,绕过昂贵的文本Token计费,显著降低Claude Code使用开销。其原理是在请求发送前精确识别并转化冗长文本,实现“以图省字”的降本增效。

Claude Code一段隐藏代码从4月2日悄无声息运行至7月1日,无更新日志、无官方文档,绝大多数用户毫不知情。该代码被Reddit网友拆解二进制文件发现,安全研究员完成多版本逆向分析,海外媒体7月1日发布深度报道。其核心功能是专门识别国内用户或通过中国AI企业代理接口访问的使用者,整套机制疑似用于针对性监控与管控。

昆仑万维发布天工3.2版,推出Skywork Tags功能,针对频繁切换窗口搬运数据导致效率下降的痛点。其核心逻辑是不改变团队既有协作流程,直接将AI智能体接入Slack、飞书、钉钉、Discord、Telegram等现有办公群组,让智能体无缝融入工作场景。

开源社区审计发现,Claude Code 程序内置隐蔽检测机制,会跟踪系统时区,重点识别“Asia/Shanghai”与“Asia/Urumqi”设置,疑似对特定地区用户实施功能限制或内容管控,引发对AI工具隐性合规封堵的讨论。

安全警报:Claude Code 被曝存在安全后门,官方已…

关注 “悠AI” 更多干货技巧行业动态

© 版权声明

相关文章

没有相关内容!

暂无评论

您必须登录才能参与评论!
立即登录
none
暂无评论...