
中国国家漏洞数据库(CNVDB)发布紧急警告,称Anthropic的Claude Code AI编程工具的特定版本存在”安全后门漏洞”,可在未经同意的情况下将敏感用户数据传输至远程服务器。
该国家机构表示,该警告适用于Claude Code 2.1.91(4月2日发布)至2.1.196(6月29日发布)版本,并敦促企业和个人开发者立即卸载这些版本或升级至最新的安全版本。
CNVDB声称,这些版本中内置的监控机制可能收集用户的位置数据和身份相关信息,并将其转发至远程服务器。该机构建议各组织”加强对核心业务网络段内开发工具的外部访问权限控制和流量监控。”
背景与紧张局势
这一警告是Anthropic与中国科技实体关系恶化的最新升级。6月下旬,Anthropic公开指控中国科技巨头阿里巴巴非法提取Claude的输出以改进其自身的AI模型,并在致两位美国参议员的信中将其描述为公司有史以来遭遇的最大规模AI攻击。此后不久,阿里巴巴全面禁止其员工使用Claude Code。
后门指控之前,还有爆料称Anthropic在Claude Code中嵌入了隐藏代码,一种隐写系统,用于检测竞争对手的模型蒸馏行为。Claude Code工程师Thariq Shihipar证实该系统存在,并表示此后已实施”更强的缓解措施”,该秘密代码已在2.1.198版本(7月1日发布)中被移除。当被问及中国所指的监控机制是否与其服务条款中披露的系统相同时,Anthropic未直接回答。
更广泛的影响
CNVDB的警告在中国科技领域具有重大影响力。关于外国软件的国家警告可能引发企业迅速采用国内替代产品。对于在中国运营或向中国销售产品的外国AI公司而言,这一事件凸显出数据本地化关切和国家安全言论如何日益塑造AI开发工具的监管环境。
截至发稿时,Anthropic尚未就CNVDB后门指控的具体内容公开发表评论。
来源:The Register(7月8日);China Daily(7月8日)
婷 翻译

