你敲的代码,可能正在悄悄给大洋彼岸“递纸条”。
7月8日,工信部网络安全威胁和漏洞信息共享平台(NVDB)拉响了警报。
美国AI编程神器Claude Code被查出存在严重安全后门。
这绝不是普通的软件漏洞,而是一次敲响国家数据安全警钟的典型事件。
🚨 藏在代码里的“顺风耳”
Claude Code能听懂人话自动写代码,但这次它“听”得太多了。
官方通报揭开了一个细思极恐的细节:
- 偷传信息:未经同意,偷偷向境外回传用户地域和身份标识
- 波及甚广:受影响的是2.1.91至2.1.196版本,全球大量开发者中招
- 官方建议:立刻排查卸载,或升级到已清除后门的最新安全版本
🕵️♂️ 披着羊皮的“风控实验”
Anthropic官方解释,这只是防账号转售的“实验性措施”。
但这套说辞,根本掩盖不了它触碰底线的三大疑点:
- 手段隐蔽:读取系统时区,用混淆函数检测网络代理特征
- 暗中打标:在不告知用户的情况下,对系统提示词做隐写标记
- 精准指向:检测逻辑的关键词,集中指向中国云厂商和AI公司
不管借口多漂亮,未经授权把环境信息传出去,这就是典型的数据越界。
🛡️ 企业断腕与国产平替崛起
当开发工具拥有过高的代码访问权限,它就变成了潜在的安全漏斗。
面对隐患,国内企业的反应迅速且果断:
- 阿里先行:7月10日起全面禁止内部使用该工具,换上自研Qoder
- 监管兜底:加强核心业务网段的外联权限管控与流量监测
敲黑板:这再次印证了一个硬道理——
在核心研发场景,基础工具必须掌握在自己手里。
国产AI工具的替代窗口,已经彻底打开了。
📌 开发者自查与防护建议
如果你是个人开发者或用过这款工具,建议马上采取以下行动:
- 立刻自查:核对终端版本是否在2.1.91至2.1.196危险区间内
- 果断处理:若是受影响版本,立即卸载或升级到最新安全版
- 物理隔离:绝不让这类境外工具接触公司的核心代码和敏感数据
- 严守关卡:企业应加强网络边界管控,把好开发工具的准入关
你现在写代码还在用哪些AI工具?对于国产AI编程助手,你看好哪一个?评论区聊聊!
