驱动之家 14小时前
工信部发布风险提示:Claude Code存在安全后门 可能泄露用户敏感信息
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

快科技 7 月 8 日消息,工业和信息化部下属的网络安全威胁和漏洞信息共享平台 NVDB 今日正式发布公开风险提示,明确指出海外 AI 编程工具 Claude Code 存在未公开的安全后门隐患,相关风险会直接威胁国内开发者的核心数据安全。

根据 NVDB 的官方监测结果显示,Claude Code 由美国人工智能企业 Anthropic 开发,核心功能可以按照用户输入的文字需求,自主完成全流程代码编写、漏洞修复等开发相关任务,在不少海内外开发团队中都有较高使用率。

该工具内置了未对外公开的隐秘监控机制,可以在完全不告知用户、也没有获得用户授权同意的前提下,悄悄向远程服务器回传用户所在地域、设备身份标识等大量敏感信息,目前确认受影响的版本范围覆盖 Claude Code 2.1.91 到 2.1.196 之间的所有迭代版本。

NVDB 同步面向所有相关单位和普通开发者发出安全指引,要求立刻针对办公终端开展全面排查,安装了上述受影响版本的开发终端,要第一时间直接卸载软件,或是升级到已经清除全部后门代码的最新安全版本。

同时还要加强核心业务网段内,所有开发工具的外联权限管控和全链路流量监测,从网络层面堵住漏洞,防止核心敏感数据违规外流。

相关事件的源头最早可以追溯到不久前,有海外网民在社交平台 Reddit 上率先爆出了相关内幕,直指美国头部 AI 科技企业 Anthropic 推出的这款 AI 编程工具客户端里,暗藏了专门针对特定地区用户的监视代码,这段从未对外披露的隐秘代码已经悄悄上线运行了整整三个月。

这则民间技术爆料很快就在全球 AI 开发圈层引发大范围讨论,随着事件持续发酵,Claude Code 产品的相关负责人最终站出来针对相关争议作出公开回应,直接承认了该事件的真实性。

最早挖出漏洞的爆料网民 ID 为 LegitMichel777,他介绍自己近期正测试通过代理网络,让 Claude Code 客户端实现混合调用多家不同 AI 企业开发的大模型,调试过程中意外挖出了这段此前完全没有对外公开的可疑后门代码。

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关标签

ai 美国 编程 工业和信息化部 核心业务
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论