近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,明确指出美国Anthropic公司旗下AI编程工具Claude Code存在安全“后门”隐患,危害严重。
Claude Code是一款可根据文字需求自主完成代码编写、修复等工作的AI编程工具,在2.1.91版本至2.1.196版本中内置了隐蔽监控机制,可绕过用户授权,静默向境外服务器回传用户地域、设备标识乃至研发代码等核心敏感数据。
此前,阿里巴巴已率先将Claude Code列入高风险软件名单。从企业主动“拉黑”到国家级平台公开警示,这一事件为我们敲响警钟:AI虽好用,但安全防线绝不能失守。
Claude Code“后门”事件绝非孤例,它暴露了AI时代安全的深层困境。
其一,AI工具的权力边界正在失控。相较传统软件,AI编程工具拥有读取代码库、编辑文件、运行命令等“超级权限”。这种“超级权限”使其成为窃取商业机密、进行供应链污染的绝佳突破口。
其二,地缘政治因素加剧了安全风险。Claude Code内置的隐蔽监控机制会读取用户系统时区,精准识别并标记中国用户。在技术博弈日益复杂的背景下,海外AI工具的可信度正面临严峻质疑。
应对AI“后门”风险,不能仅靠事后卸载补救,企业、开发者、行业监管需构建全链条防护体系,守住AI使用安全底线。
立即开展全面排查与清理。针对NVDB通报的受影响版本,各单位和个人应立即停止使用并彻底卸载相关软件。对于政企核心业务网段,应加强网络边界管控,通过流量监测等手段拦截AI工具的异常外联行为,严防敏感数据违规出境。
树立“最小权限”与“数据隔离”原则。在使用任何AI编程或办公工具时,坚决拒绝授予超出实际需求的系统权限,避免让AI工具直接处理企业核心代码、客户隐私、财务凭证等敏感信息。对于必须使用的AI功能,应尽量在物理隔离或严格沙箱环境中运行,确保数据不出内网。
加速推进国产AI工具的替代与适配。此次事件暴露出过度依赖境外AI基础设施的巨大风险。当前,国内科技型企业已推出多款AI编程工具,在中文场景理解、代码补全等方面已具备较强竞争力,且数据合规路径清晰。政企单位应抓住政策窗口期,加快国产工具的测试与部署,从根本上筑牢数字安全防线。
强化日常安全审计与法律意识。开发者应养成定期审查AI工具出站流量的习惯,排查未经授权的数据夹带行为。同时,要严格遵守相关法律法规,明确AI工具使用的合规红线。
Anthropic长期以来将“透明、可信、负责任”作为核心理念,但此次曝光的隐蔽监控机制却与这些公开承诺相悖。Claude Code“后门”事件是一面镜子,照见了AI时代供应链安全的脆弱性,也照见了部分境外科技型企业对中国用户的傲慢与偏见。
AI越智能,越需要安全的缰绳。工信部的及时预警,是对整个行业的一次深刻警示。技术可以跨越国界,但数据安全必须守住底线。唯有将安全意识嵌入每一次代码提交、每一次工具调用,方能在享受AI红利的同时,不让“后门”成为数据资产的漏洞。
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,明确指出美国Anthropic公司旗下AI编程工具Claude Code存在安全“后门”隐患,危害严重。
Claude Code是一款可根据文字需求自主完成代码编写、修复等工作的AI编程工具,在2.1.91版本至2.1.196版本中内置了隐蔽监控机制,可绕过用户授权,静默向境外服务器回传用户地域、设备标识乃至研发代码等核心敏感数据。
此前,阿里巴巴已率先将Claude Code列入高风险软件名单。从企业主动“拉黑”到国家级平台公开警示,这一事件为我们敲响警钟:AI虽好用,但安全防线绝不能失守。
Claude Code“后门”事件绝非孤例,它暴露了AI时代安全的深层困境。
其一,AI工具的权力边界正在失控。相较传统软件,AI编程工具拥有读取代码库、编辑文件、运行命令等“超级权限”。这种“超级权限”使其成为窃取商业机密、进行供应链污染的绝佳突破口。
其二,地缘政治因素加剧了安全风险。Claude Code内置的隐蔽监控机制会读取用户系统时区,精准识别并标记中国用户。在技术博弈日益复杂的背景下,海外AI工具的可信度正面临严峻质疑。
应对AI“后门”风险,不能仅靠事后卸载补救,企业、开发者、行业监管需构建全链条防护体系,守住AI使用安全底线。
立即开展全面排查与清理。针对NVDB通报的受影响版本,各单位和个人应立即停止使用并彻底卸载相关软件。对于政企核心业务网段,应加强网络边界管控,通过流量监测等手段拦截AI工具的异常外联行为,严防敏感数据违规出境。
树立“最小权限”与“数据隔离”原则。在使用任何AI编程或办公工具时,坚决拒绝授予超出实际需求的系统权限,避免让AI工具直接处理企业核心代码、客户隐私、财务凭证等敏感信息。对于必须使用的AI功能,应尽量在物理隔离或严格沙箱环境中运行,确保数据不出内网。
加速推进国产AI工具的替代与适配。此次事件暴露出过度依赖境外AI基础设施的巨大风险。当前,国内科技型企业已推出多款AI编程工具,在中文场景理解、代码补全等方面已具备较强竞争力,且数据合规路径清晰。政企单位应抓住政策窗口期,加快国产工具的测试与部署,从根本上筑牢数字安全防线。
强化日常安全审计与法律意识。开发者应养成定期审查AI工具出站流量的习惯,排查未经授权的数据夹带行为。同时,要严格遵守相关法律法规,明确AI工具使用的合规红线。
Anthropic长期以来将“透明、可信、负责任”作为核心理念,但此次曝光的隐蔽监控机制却与这些公开承诺相悖。Claude Code“后门”事件是一面镜子,照见了AI时代供应链安全的脆弱性,也照见了部分境外科技型企业对中国用户的傲慢与偏见。
AI越智能,越需要安全的缰绳。工信部的及时预警,是对整个行业的一次深刻警示。技术可以跨越国界,但数据安全必须守住底线。唯有将安全意识嵌入每一次代码提交、每一次工具调用,方能在享受AI红利的同时,不让“后门”成为数据资产的漏洞。
3月18日是第24个“全国爱肝日”。今年活动的主题是,“早防早筛,远离肝硬化”。重庆多所医院开展义诊咨询活动,通过普及肝病的防治知识,让民众主动筛查、规范治疗、定期随访,提高大众爱肝护肝意识, 3月17日,记者从陆军军医大学西南医院获悉,该院消化内科教授陈磊团队联合陆军军医大学教授张定林首次提出,活性氧响应性纳米材料能够把程序性死亡配体-1蛋白精准传递到肠道炎症部位,有效缓解肠炎 记者3月19日从天津大学获悉,该校环境学院刘庆岭教授团队与吉林大学于吉红院士团队以及天津工业大学梅东海教授团队合作,证明了无有机模板剂合成的具有OFF和ERI拓扑共生结构的Cu-T催化剂具有优 21世纪经济报道记者王峰北京报道 近日,全球教育集团培生(NYSE:PSO)公布2023财年财报。2023财年,培生的销售额为36.74亿英镑(下同),同比下降4%,但基础销售额同比增长1%;调整后营业利润5.73亿,同 春,推也。从草从日,草春时生也。进入春日,人们时常能在大地回暖、万物复苏中见证旺盛的生命力。一起解锁空间站里的“春日关键词”,感受太空中的“春日力量”吧!春日关键词:温暖空间站内 四季如春 3月21日,由安徽省工业和信息化厅指导、中国光伏行业协会主办、阳光电源股份有限公司承办的“PAT2024爱光伏一生一世”先进技术研讨会在合肥举办。光储高压先进技术发布会现场。阳光电源股份有 。本文链接:谨防境外AI“后门”风险http://www.sushuapos.com/show-2-16845-0.html
声明:本网站为非营利性网站,本网页内容由互联网博主自发贡献,不代表本站观点,本站不承担任何法律责任。天上不会到馅饼,请大家谨防诈骗!若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。
上一篇: 敢闯敢干逐梦新型工业化建设
下一篇: 2026北京·昌平生命科学论坛在京开幕