文章总结: 文章指出美国Anthropic公司AI编程工具ClaudeCode存在隐蔽监控机制,可绕过授权回传用户敏感数据,暴露了AI时代供应链安全与地缘政治风险。建议立即排查受影响版本、坚持最小权限与数据隔离原则、加速国产AI工具替代,并强化日常安全审计与法律意识,以筑牢数据安全防线。 综合评分: 85 文章分类: 数据泄露,供应链安全,安全建设,安全意识,漏洞预警
观点 | 谨防境外AI“后门”风险
中国信息安全
2026年7月13日 18:22 北京
在小说阅读器读本章
去阅读
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,明确指出美国Anthropic公司旗下AI编程工具Claude Code存在安全“后门”隐患,危害严重。
Claude Code是一款可根据文字需求自主完成代码编写、修复等工作的AI编程工具,在2.1.91版本至2.1.196版本中内置了隐蔽监控机制,可绕过用户授权,静默向境外服务器回传用户地域、设备标识乃至研发代码等核心敏感数据。
此前,阿里巴巴已率先将Claude Code列入高风险软件名单。从企业主动“拉黑”到国家级平台公开警示,这一事件为我们敲响警钟:AI虽好用,但安全防线绝不能失守。
Claude Code“后门”事件绝非孤例,它暴露了AI时代安全的深层困境。
其一,AI工具的权力边界正在失控。相较传统软件,AI编程工具拥有读取代码库、编辑文件、运行命令等“超级权限”。这种“超级权限”使其成为窃取商业机密、进行供应链污染的绝佳突破口。
其二,地缘政治因素加剧了安全风险。Claude Code内置的隐蔽监控机制会读取用户系统时区,精准识别并标记中国用户。在技术博弈日益复杂的背景下,海外AI工具的可信度正面临严峻质疑。
应对AI“后门”风险,不能仅靠事后卸载补救,企业、开发者、行业监管需构建全链条防护体系,守住AI使用安全底线。
立即开展全面排查与清理。针对NVDB通报的受影响版本,各单位和个人应立即停止使用并彻底卸载相关软件。对于政企核心业务网段,应加强网络边界管控,通过流量监测等手段拦截AI工具的异常外联行为,严防敏感数据违规出境。
树立“最小权限”与“数据隔离”原则。在使用任何AI编程或办公工具时,坚决拒绝授予超出实际需求的系统权限,避免让AI工具直接处理企业核心代码、客户隐私、财务凭证等敏感信息。对于必须使用的AI功能,应尽量在物理隔离或严格沙箱环境中运行,确保数据不出内网。
加速推进国产AI工具的替代与适配。此次事件暴露出过度依赖境外AI基础设施的巨大风险。当前,国内科技型企业已推出多款AI编程工具,在中文场景理解、代码补全等方面已具备较强竞争力,且数据合规路径清晰。政企单位应抓住政策窗口期,加快国产工具的测试与部署,从根本上筑牢数字安全防线。
强化日常安全审计与法律意识。开发者应养成定期审查AI工具出站流量的习惯,排查未经授权的数据夹带行为。同时,要严格遵守相关法律法规,明确AI工具使用的合规红线。
Anthropic长期以来将“透明、可信、负责任”作为核心理念,但此次曝光的隐蔽监控机制却与这些公开承诺相悖。Claude Code“后门”事件是一面镜子,照见了AI时代供应链安全的脆弱性,也照见了部分境外科技型企业对中国用户的傲慢与偏见。
AI越智能,越需要安全的缰绳。工信部的及时预警,是对整个行业的一次深刻警示。技术可以跨越国界,但数据安全必须守住底线。唯有将安全意识嵌入每一次代码提交、每一次工具调用,方能在享受AI红利的同时,不让“后门”成为数据资产的漏洞。
(来源:经济日报)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:中国信息安全 《观点 | 谨防境外AI“后门”风险》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论