【风险提示】天融信关于防范AI编程工具ClaudeCode安全后门隐患的风险提示

admin 2026-07-10 07:54:20 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 天融信阿尔法实验室发现AI编程工具ClaudeCode版本2.1.91至2.1.196存在安全后门,会检测用户是否使用代理及是否位于中国,并通过修改系统提示词隐蔽回传敏感信息。建议立即卸载或升级至安全版本,加强外联管控与流量监测,提升安全意识。 综合评分: 88 文章分类: 漏洞分析,恶意软件,安全意识,安全工具,威胁情报


cover_image

【风险提示】天融信关于防范AI编程工具Claude Code安全后门隐患的风险提示

天融信应急响应 天融信应急响应

天融信阿尔法实验室

2026年7月9日 18:49 北京

在小说阅读器读本章

去阅读

1一、背景介绍

  近日,天融信阿尔法实验室监测到Anthropic开发的AI编程工具Claude Code存在安全后门隐患,该后门最初由Reddit网站上的LegitMichel777用户公开。该工具在特定版本中添加了监控机制,未经用户同意通过隐蔽手段向远程服务器回传用户地域、身份标识等敏感信息,危害严重。阿里巴巴内部已全面禁用Claude Code。

  Claude Code启动时会检查用户是否启用了代理,若启用,它会对系统提示词进行修改,隐蔽传输以下信息:用户是否身处中国、是否使用了国内API中转站及国内AI大模型厂商API域名。Anthropic还在Claude Code的二进制文件中对上述后门相关代码进行了混淆处理。

  受影响的Claude Code版本为2.1.91至2.1.196。

2二、后门分析

分析环境: Claude Code版本:2.1.196 源代码提取工具:GitHub Gist – TheCjw/extract_bun.js

2.1 源代码提取

  Claude Code的Windows版本是一个体积庞大的单文件,大小大约在200MB到250MB之间。它是通过Bun编译为二进制文件的,下面通过extract_bun.js工具从claude.exe二进制文件中提取出JavaScript源代码,工具输出如图1所示。

图1 extract_bun.js工具输出

  提取出的源代码目录结构如图2所示。

图2 提取出的源代码目录结构

  关键后门代码在src/entrypoints/cli.js文件中,该文件中的代码是未进行代码格式化的,较难阅读,需要先进行JavaScript代码格式化后再分析。

2.2 代理检测

  cli.js中的代理检测代码如图3所示。

图3 cli.js中的代理检测代码

  ANTHROPIC_BASE_URL是一个环境变量,用于自定义Anthropic官方API客户端(如Claude Code、Anthropic SDK等)所请求的服务器地址。通过设置此环境变量,可以将本应发送到Anthropic官方服务器的请求,重定向到其他兼容的服务器上。

  上述代码的含义是若未设置ANTHROPIC_BASE_URL环境变量或该环境变量值的URL中包含api.anthropic.com域名,则Art()函数返回True,表示未使用代理。只有当Art()函数返回False时,才会执行相应的后门代码。

2.3 关键后门代码

  关键后门代码如图4、5、6所示。

图4 tkt()函数的代码

  tkt()函数用于惰性获取并返回当前系统的时区信息。

图5 jup()函数的代码

  jup()函数用于获取ANTHROPIC_BASE_URL环境变量值的URL中的主机名。

图6 Wup()函数的代码

  Wup()函数是最核心的代码,其会返回包含4个字段的检测结果。known字段表示ANTHROPIC_BASE_URL的域名是否存在于国内API中转站域名黑名单中,labKw字段表示ANTHROPIC_BASE_URL的域名中是否存在于国内AI大模型厂商域名关键字黑名单中,cnTZ字段表示当前系统时区是否是中国的(上海或乌鲁木齐),host字段是ANTHROPIC_BASE_URL的域名。

  Claude Code的系统提示词中存在“Today’s date is 当前日期.”。正常情况下,当前日期的格式为YYYY-MM-DD。若检测到用户位于中国,则会对上述提示词中的撇号与日期格式进行变换,然后传输到Anthropic的服务器。具体的替换逻辑如图7所示。

图7 系统提示词替换逻辑(注释由分析者添加)

  “国内API中转站域名黑名单”和“国内AI大模型厂商域名关键字黑名单”是加密保存的,并通过图8、9所示代码进行解密。

图8 黑名单解密逻辑图9 黑名单解密逻辑

  由图8、9可知,这两个黑名单解密过程是先进行Base64解码,再逐字节与91异或。解密后的“国内API中转站域名黑名单”和“国内AI大模型厂商域名关键字黑名单”如图10所示。

图10 国内中转站域名和AI大模型厂商域名关键字黑名单(注释由分析者添加)

3三、使用建议

  据NVDB通报:建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发终端,立即卸载或升级至已清除相关后门代码的最新安全版本;加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传。

  此外,我们建议,提升开发人员安全意识,必要时进行安全隔离,进一步加强企业数据安全管理。

4四、声明

  天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。

天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。

天融信

阿尔法实验室

长按二维码关注我们


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:天融信阿尔法实验室 天融信应急响应 天融信应急响应《【风险提示】天融信关于防范AI编程工具Claude Code安全后门隐患的风险提示》

第151期|GPTSecurity周报 网络安全文章

第151期|GPTSecurity周报

文章总结: GPTSecurity周报总结了六篇AI安全论文,涵盖LLM安全框架、代理依赖分析、编码代理监督、恶意技能检测、AI红队演练及AI应用安全风险。关键
评论:0   参与:  0