中国工业和信息化部于 2025 年 7 月 8 日发布风险提示,指出 Claude Code 2.1.91 至 2.1.196 版本存在安全后门,可以在未经用户同意的情况下,将用户的地域和身份标识等敏感信息传输到远程服务器。 此事意义重大,因为 Claude Code 是一款广泛使用的 AI 编程工具,此次后门事件危及大量开发者的隐私和安全。作为政府权威机构的工信部发出警告,凸显了威胁的严重性,并可能促使各机构重新评估在开发流程中使用 AI 工具的安全性。 受影响版本为 2.1.91 至 2.1.196,后门内置监控机制,会外传敏感数据。建议用户立即排查,卸载受影响版本或升级到已清除恶意代码的最新安全版本,同时加强开发工具的外联权限管控和流量监测。
背景
Claude Code 是 Anthropic 公司基于其 Claude 大语言模型系列开发的一款 AI 辅助软件开发工具,可帮助开发者完成编码、调试和代码审查等任务。该工具在行业中广泛使用,因此发现其存在秘密发送用户数据的后门尤为令人担忧。