工信部警告Claude Code存安全後門,阿里已禁用
Miles Bennett
中國工信部漏洞平台指Anthropic旗下AI編程工具Claude Code內置監控後門,可回傳用戶位置與身份信息;阿里巴巴已禁止員工使用,開發工具供應鏈安全正式成為監管焦點。
工信部到底發現了甚麼?
7月8日,工信部網絡安全威脅和漏洞信息共享平台(NVDB)發出警示:Claude Code內置監控機制,可在用戶不知情下向遠程伺服器回傳地理位置及身份標識。
受影響版本為2.1.91至2.1.196,涵蓋範圍相當廣。
這意味著→ 這並非一般的數據收集爭議,而是官方定性為「後門」級別的安全隱患——性質上比私隱條款含糊嚴重得多。
NVDB建議用戶點做?
即時排查所有安裝上述版本的開發終端,卸載或升級至已清除後門代碼的最新版本。
加強核心業務網段內開發工具的外聯權限管控與流量監測,防止敏感數據外傳。
簡單來說= 先將有問題的版本全部清走,再將開發工具能向外發送數據的通道管起來。
阿里巴巴點解已經率先行動?
據路透社此前報道,阿里巴巴已禁止員工於工作中使用Claude Code,原因是該工具具備可協助識別中國用戶身份的功能。
Anthropic未有即時回應路透社的置評請求。
這意味著→ 阿里的禁令早於工信部警示,反映企業端對此風險的感知已先於監管動作。
這件事對開發者同行業意味著甚麼?
今次警示將開發工具供應鏈安全推到台前——過往關注多集中於晶片、操作系統,如今AI編程工具亦進入審查視野。
Anthropic能否在中國市場重建信任,取決於其對上述安全指控的正式回應。
這反映出 在中美科技角力背景下,海外AI工具在中國的合規門檻正快速提高,已非「能否使用」而是「敢否使用」的問題。
Content is for reference only, not financial advice.