返回

工信部通报 Claude Code 存在安全后门隐患,建议立即卸载受影响版本

2026-07-09 工信部 Claude Code 26 0

工信部发布风险提示,Claude Code 被曝存在安全后门

2026年7月8日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布最新风险提示称,美国 AI 公司 Anthropic 推出的 AI 编程工具 Claude Code 存在安全后门隐患。根据监测结果,受影响版本内置了监控机制,在未经用户授权的情况下,可能向远程服务器回传用户地域、身份标识等敏感信息,存在数据泄露风险。针对这一情况,工信部建议相关单位和个人立即开展全面排查,并卸载或升级受影响版本。

工信部发布风险提示,Claude Code 被曝存在安全后门

此次公告发布后,引起了开发者、安全行业以及企业用户的广泛关注。随着 AI 编程工具越来越多地参与企业研发流程,一旦开发工具本身存在安全风险,影响范围可能远超普通软件漏洞。

哪些版本受到影响

根据 NVDB 公布的信息,此次受影响的版本为 Claude Code 2.1.91 至 2.1.196。官方指出,这些版本存在未经用户同意回传敏感信息的行为,包括但不限于用户所在地域、身份标识等数据。工信部建议已经安装上述版本的用户尽快进行检查,立即卸载受影响版本,或升级至已经移除相关问题的最新安全版本。公开信息显示,截至7月8日,Claude Code 已更新至更高版本。

对于企业用户而言,如果开发终端部署了上述版本,还应重点检查是否存在异常外联流量,并及时核查日志记录,确认是否发生敏感数据传输。

为什么 AI 编程工具的安全问题值得重视

近年来,AI 编程助手已经能够访问本地代码仓库、终端命令、配置文件以及 API 密钥等大量敏感资源,因此其权限远高于普通聊天机器人。一旦开发工具存在安全后门、异常数据收集或未经授权的信息上传行为,就可能导致源代码泄露、企业商业秘密外流、账号凭据暴露等安全事件。

对于企业研发环境来说,开发工具往往部署在核心办公网络中,因此除了软件自身安全外,还应加强网络隔离、访问控制、最小权限配置以及外联流量监测,避免开发终端成为数据泄露入口。工信部此次也建议加强核心业务网段开发工具的外联权限管理和流量监测,降低敏感信息外传风险。

开发者和企业应如何应对

如果正在使用 Claude Code,建议首先确认当前安装版本是否属于受影响范围。如属于风险版本,应立即停止使用,并升级至官方已修复的安全版本或直接卸载。同时建议检查开发设备近期网络连接情况,关注是否存在异常访问远程服务器的行为。

对于企业管理者,可以进一步完善开发环境安全策略,包括建立开发工具准入机制、定期开展软件安全审计、限制开发终端访问权限、加强 API Key 与密钥管理,并结合终端安全产品和网络流量监测系统,对异常数据传输进行持续检测。

随着 AI 开发工具快速普及,便利性与安全性需要同步考虑。开发者在提升编码效率的同时,也应关注工具的数据收集策略、权限范围以及供应链安全,避免因工具自身风险而影响个人隐私和企业数据安全。此次工信部发布的风险提示,也再次提醒广大开发者,在选择 AI 编程工具时,应将安全性作为重要评估指标之一。

顶部