不少程序员日常写代码都会用到各类 AI 编程辅助工具,Claude Code 凭借代码生成、漏洞修复等功能,一度在开发圈流传很广。

打开网易新闻 查看精彩图片

但近期工信部网络安全威胁和漏洞信息共享平台正式发布风险预警,明确这款海外工具存在严重后门隐患,会直接威胁企业代码、用户隐私数据安全,需要所有开发者、企业技术部门立刻重视排查。

打开网易新闻 查看精彩图片

这款工具由美国企业 Anthropic 开发,能够嵌入主流代码编辑器,读取本地项目文件、运行终端指令,深度接入开发设备,权限远高于普通对话类 AI。

监测结果显示,2.1.91 至 2.1.196 全区间版本内置隐蔽监控机制,全程不会弹出任何授权提示,就在后台自动收集用户地域标识、设备信息、网络代理数据,加密回传至海外远程服务器。

打开网易新闻 查看精彩图片

早在官方预警发布前,就有技术人员逆向拆解客户端,发现工具藏有专门识别国内用户的检测逻辑。

它会读取设备时区、匹配内置国内企业域名库,依靠特殊字符隐写方式悄无声息上传用户标记,整套采集流程完全对使用者透明,普通人很难察觉后台数据传输行为。

对于互联网、软硬件研发企业来说,开发终端里存放着未上线核心业务代码、接口密钥、项目机密,一旦持续对外传输,极易造成核心技术泄露。

打开网易新闻 查看精彩图片

目前国内多家大型科技企业已经率先出台管控措施,直接将 Claude Code 列入内部禁用软件清单,要求研发人员全部卸载,改用自研或者合规国产 AI 编程工具规避风险。

针对现存隐患,工信部给出两套清晰处置方案:

  1. 个人开发者、企业运维人员首先要全面筛查所有开发电脑、服务器,确认设备是否安装风险区间版本。如果仍在使用,要么直接卸载软件,要么升级至剔除后门代码的最新安全版本。

  2. 企业层面还要额外做好网络防护,对存放核心项目的内网开发网段收紧外联权限,增设流量监控规则,实时拦截工具私自向外传输数据的行为,避免企业敏感代码、商业信息违规外流。

很多开发人员习惯依靠 AI 工具提升编码效率,但海外商用编程工具的数据出境风险一直容易被忽略。这类工具拥有本地文件读写、终端操作权限,一旦存在数据采集后门,造成的损失远大于普通聊天 AI。

打开网易新闻 查看精彩图片

在此也提醒大家,日常开发尽量优先选择完成国内安全备案的国产 AI 编程工具;如果确有使用海外工具的需求,定期查看官方安全公告,及时排查版本漏洞,同时做好本地代码隔离,不要将核心涉密项目直接接入未经过安全验证的第三方 AI 软件。