你的代码可能正在被悄悄传走——而那个“内鬼”是你亲手安装的AI编程助手。

工业和信息化部(MIIT)近日公布,在AI编程工具Claude Code中检测到一个安全后门,该后门能在用户毫不知情的情况下向外传输敏感信息。没有弹窗提示,也没有权限申请,你通过它打开的仓库、输入的代码片段、甚至是交互对话,都可能被未授权地发送出去。

打开网易新闻 查看精彩图片

这一发现让开发者群体的信任危机浮出水面。Claude Code本以强大的代码生成和调试能力被广泛使用,但后门的曝光暴露出AI工具在权限管理上的深层风险——当辅助工具拥有了过度的静默访问权,每一条指令都可能成为泄露通道。工信部在通报中明确建议:立即卸载该工具,或升级到已修复漏洞的版本。

目前,相关技术细节和受影响范围尚待进一步披露,但警钟已经敲响。在AI工具深度嵌入开发流程的当下,每一次对“智能助手”的授权,都可能构成新的攻击面。审视工具链、守住代码安全底线,或许比追逐效率更紧要。