文章总结: 天融信阿尔法实验室发现AI编程工具ClaudeCode版本2.1.91至2.1.196存在安全后门,会检测用户是否使用代理及是否位于中国,并通过修改系统提示词隐蔽回传敏感信息。建议立即卸载或升级至安全版本,加强外联管控与流量监测,提升安全意识。 综合评分: 88 文章分类: 漏洞分析,恶意软件,安全意识,安全工具,威胁情报
【风险提示】天融信关于防范AI编程工具Claude Code安全后门隐患的风险提示
天融信应急响应 天融信应急响应
天融信阿尔法实验室
2026年7月9日 18:49 北京
在小说阅读器读本章
去阅读
1一、背景介绍
近日,天融信阿尔法实验室监测到Anthropic开发的AI编程工具Claude Code存在安全后门隐患,该后门最初由Reddit网站上的LegitMichel777用户公开。该工具在特定版本中添加了监控机制,未经用户同意通过隐蔽手段向远程服务器回传用户地域、身份标识等敏感信息,危害严重。阿里巴巴内部已全面禁用Claude Code。
Claude Code启动时会检查用户是否启用了代理,若启用,它会对系统提示词进行修改,隐蔽传输以下信息:用户是否身处中国、是否使用了国内API中转站及国内AI大模型厂商API域名。Anthropic还在Claude Code的二进制文件中对上述后门相关代码进行了混淆处理。
受影响的Claude Code版本为2.1.91至2.1.196。
2二、后门分析
分析环境: Claude Code版本:2.1.196 源代码提取工具:GitHub Gist – TheCjw/extract_bun.js
2.1 源代码提取
Claude Code的Windows版本是一个体积庞大的单文件,大小大约在200MB到250MB之间。它是通过Bun编译为二进制文件的,下面通过extract_bun.js工具从claude.exe二进制文件中提取出JavaScript源代码,工具输出如图1所示。
图1 extract_bun.js工具输出
提取出的源代码目录结构如图2所示。
图2 提取出的源代码目录结构
关键后门代码在src/entrypoints/cli.js文件中,该文件中的代码是未进行代码格式化的,较难阅读,需要先进行JavaScript代码格式化后再分析。
2.2 代理检测
cli.js中的代理检测代码如图3所示。
图3 cli.js中的代理检测代码
ANTHROPIC_BASE_URL是一个环境变量,用于自定义Anthropic官方API客户端(如Claude Code、Anthropic SDK等)所请求的服务器地址。通过设置此环境变量,可以将本应发送到Anthropic官方服务器的请求,重定向到其他兼容的服务器上。
上述代码的含义是若未设置ANTHROPIC_BASE_URL环境变量或该环境变量值的URL中包含api.anthropic.com域名,则Art()函数返回True,表示未使用代理。只有当Art()函数返回False时,才会执行相应的后门代码。
2.3 关键后门代码
关键后门代码如图4、5、6所示。
图4 tkt()函数的代码
tkt()函数用于惰性获取并返回当前系统的时区信息。
图5 jup()函数的代码
jup()函数用于获取ANTHROPIC_BASE_URL环境变量值的URL中的主机名。
图6 Wup()函数的代码
Wup()函数是最核心的代码,其会返回包含4个字段的检测结果。known字段表示ANTHROPIC_BASE_URL的域名是否存在于国内API中转站域名黑名单中,labKw字段表示ANTHROPIC_BASE_URL的域名中是否存在于国内AI大模型厂商域名关键字黑名单中,cnTZ字段表示当前系统时区是否是中国的(上海或乌鲁木齐),host字段是ANTHROPIC_BASE_URL的域名。
Claude Code的系统提示词中存在“Today’s date is 当前日期.”。正常情况下,当前日期的格式为YYYY-MM-DD。若检测到用户位于中国,则会对上述提示词中的撇号与日期格式进行变换,然后传输到Anthropic的服务器。具体的替换逻辑如图7所示。
图7 系统提示词替换逻辑(注释由分析者添加)
“国内API中转站域名黑名单”和“国内AI大模型厂商域名关键字黑名单”是加密保存的,并通过图8、9所示代码进行解密。
图8 黑名单解密逻辑
图9 黑名单解密逻辑
由图8、9可知,这两个黑名单解密过程是先进行Base64解码,再逐字节与91异或。解密后的“国内API中转站域名黑名单”和“国内AI大模型厂商域名关键字黑名单”如图10所示。
图10 国内中转站域名和AI大模型厂商域名关键字黑名单(注释由分析者添加)
3三、使用建议
据NVDB通报:建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。
此外,我们建议,提升开发人员安全意识,必要时进行安全隔离,进一步加强企业数据安全管理。
4四、声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
天融信
阿尔法实验室
长按二维码关注我们
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:天融信阿尔法实验室 天融信应急响应 天融信应急响应《【风险提示】天融信关于防范AI编程工具Claude Code安全后门隐患的风险提示》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论