
La Base de Datos Nacional de Vulnerabilidades de China (CNVDB) ha emitido una advertencia urgente afirmando que versiones específicas de la herramienta de codificación con IA Claude Code de Anthropic contienen «vulnerabilidades de seguridad de puerta trasera» que pueden transmitir datos sensibles de usuarios a servidores remotos sin consentimiento.
El organismo estatal señaló que la alerta aplica a las versiones 2.1.91 (lanzada el 2 de abril) a 2.1.196 (lanzada el 29 de junio) de Claude Code, e instó a empresas y desarrolladores individuales a desinstalar inmediatamente esas versiones o actualizar a la versión segura más reciente.
La CNVDB alegó que un mecanismo de monitoreo integrado en esas versiones puede recopilar datos de ubicación de los usuarios e identificadores relacionados con la identidad, y reenviarlos a servidores remotos. Recomendó que las organizaciones «fortalezcan el control de los permisos de acceso externo y la supervisión del tráfico de las herramientas de desarrollo dentro de los segmentos de red empresariales centrales.»
Contexto y tensiones
La advertencia es la última escalada en el deterioro de las relaciones entre Anthropic y las entidades tecnológicas chinas. A finales de junio, Anthropic acusó públicamente al gigante tecnológico chino Alibaba de extraer ilícitamente los resultados de Claude para mejorar sus propios modelos de IA, describiéndolo en una carta a dos senadores estadounidenses como el mayor ataque contra su IA que la compañía había visto jamás. Poco después, Alibaba prohibió a sus empleados el uso de Claude Code por completo.
Las acusaciones de puerta trasera también siguen a las revelaciones de que Anthropic había incrustado código encubierto, un sistema de esteganografía, en Claude Code para detectar la destilación de modelos por parte de competidores. El ingeniero de Claude Code Thariq Shihipar confirmó la existencia del sistema y dijo que desde entonces se habían implementado «mitigaciones más sólidas», eliminando el código secreto en la versión 2.1.198 (lanzada el 1 de julio). Cuando se le preguntó si el mecanismo de monitoreo mencionado por China era el mismo sistema divulgado en sus términos de servicio, Anthropic no respondió directamente a la pregunta.
Implicaciones más amplias
La advertencia de la CNVDB tiene un peso significativo en el sector tecnológico chino. Las advertencias estatales sobre software extranjero pueden desencadenar una rápida adopción empresarial de alternativas nacionales. Para las empresas extranjeras de IA que operan o venden en China, el incidente subraya cómo las preocupaciones sobre la localización de datos y la retórica de seguridad nacional moldean cada vez más el entorno regulatorio para las herramientas de desarrollo de IA.
Anthropic no había comentado públicamente sobre los detalles de las acusaciones de puerta trasera de la CNVDB en el momento de la publicación.
Fuentes: The Register (8 de julio); China Daily (8 de julio)
Traducido por Alessandra

