大众日报 4小时前
工信部提示“危害严重”,阿里全员禁用,这款AI工具藏着什么风险?
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

近日,工业和信息化部网络安全威胁和漏洞信息共享平台发布风险提示:美国 Anthropic 公司开发的 AI 编程工具 Claude Code 存在安全后门隐患," 危害严重 "。7 月 10 日,阿里巴巴要求员工停止使用 Claude 系列产品并卸载相关工具的禁令也已正式生效,其中就包括 Claude Code。

监管平台发出风险提示,科技企业采取禁用措施,这款 AI 工具,究竟出了什么问题?

对很多读者来说,Claude Code 还是一个陌生的名字。简单来说,它不只是隔着聊天框回答问题的 AI,更像一名可以进入电脑工作环境的 "AI 程序员 "。在获得相应权限后,它能够读取整个代码项目、搜索文件、修改程序、运行命令,帮助开发者查找故障,甚至按照一句话的要求连续完成多项开发任务。

这正是 Claude Code 的强大之处,也是其安全风险尤其值得警惕的原因。普通聊天机器人主要接触用户主动输入的内容,AI 编程工具却可能深入代码库、终端和系统环境。一旦数据采集和外联行为缺乏透明度,风险就可能从个人隐私延伸至企业研发安全。

根据工信部网络安全威胁和漏洞信息共享平台通报,受影响的 Claude Code 为 2.1.91 至 2.1.196 版本。相关版本内置监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息。平台建议有关单位和用户立即排查,卸载受影响版本或升级至已经清除相关代码的最新安全版本,同时加强核心业务网段内开发工具的外联权限管控和流量监测,防止敏感数据违规外传。

此前,有开发者在分析 Claude Code 时也发现,这款工具能够检查用户时区、代理网络等环境信息,并通过不易被普通用户察觉的方式加入识别标记。Anthropic 方面将相关机制解释为一项反滥用实验,目的是识别未经授权的转售、代理访问和模型蒸馏。

但反滥用不能成为秘密收集信息的理由。企业有权保护知识产权,也有权限制违规访问,但风控规则应当公开,数据采集应当经过用户知情同意。以隐蔽方式识别用户并回传相关信息,已经越过正常风控的边界。

阿里全员禁用 Claude 系列产品,正说明这类风险已经进入企业研发安全的范畴。面对能够读取文件、执行命令的 AI 编程工具,企业不能只比较谁写代码更快、模型能力更强,还必须弄清它能访问什么、数据流向哪里、相关行为能否被监测和审计。

这起事件也为快速进入各行各业的 AI 智能体敲响警钟:能力越强,权限越大;权限越大,越需要透明和约束。AI 工具可以越来越聪明,却不能越来越不透明。只有让权限可管、行为可查、风险可控,技术带来的效率才能真正建立在可信赖的基础之上。

(大众新闻记者 王嘉一)

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关标签

ai 阿里 工信部 编程 网络安全
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论