7月8日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)正式发布关于防范AI编程工具Claude Code安全后门隐患的风险提示。
核心内容:NVDB监测发现Claude Code(美国Anthropic公司开发的AI编程工具)存在安全后门隐患,危害严重——内置监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息。受影响版本为2.1.91至2.1.196。
工信部要求相关单位和用户立即开展全面排查、卸载或升级、加强流量监测,防止敏感数据违规外传。
这一风险提示有几个深层含义值得注意:
- 其一,国内AI编程工具的「国产替代」窗口进一步打开——Anthropic在企业市场积累的「Claude Code很好用」的开发者心智,正在被国家级风险提示强制剥离,原本Claude Code的国内用户(特别是涉及敏感数据的企业研发团队)将被迫快速迁移到国产替代方案(通义灵码、CodeGeeX、Cursor中国版等)。
- 其二,「AI编程工具数据安全」首次进入国家监管视野——Claude Code的「地域回传」风险意味着开发者的代码、API密钥、企业内网架构等核心数字资产存在外泄风险,这是AI编程工具普及以来首次被官方正式定性为「安全后门」。
- 其三,与7.10「阿里Claude全面封禁令生效」形成政策协同——阿里此前已禁止员工使用Claude Code(担心被检测到中国用户身份),工信部的风险提示是这一企业级封禁令的「国家版本」,意味着Claude系工具在华的可用性正进入「全面退场」倒计时。