工信部警示AI编程工具Claude Code存在安全后门
速览
工信部监测发现,Anthropic 公司的AI编程工具Claude Code(2.1.91-2.1.196版本)存在安全后门,其内置监控机制会未经用户同意回传地域、身份标识等敏感信息。建议相关单位立即排查,卸载或升级受影响版本,并加强开发工具外联权限管控和流量监测,防止数据违规外传。
AI 深度解读
背景
2026 年 6 月 12 日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布一则风险提示,指出美国 Anthropic 公司开发的 AI 编程工具 Claude Code 存在安全后门隐患。该工具内置的监控机制可在未经用户同意的情况下,回传用户地域、身份标识等敏感信息,威胁企业及个人的数据安全。此次通报覆盖 Claude Code 2.1.91 至 2.1.196 版本,是其官方首次就 AI 编程工具后门风险发出明确警示,也反映出监管部门对 AI 开发工具供应链安全的持续关注。
核心内容
工信部在风险提示中披露,监测发现 Anthropic 开发的 Claude Code(版本区间 2.1.91 – 2.1.196)存在安全后门隐患。具体表现为,该工具内置的监控机制会在未获得用户明确授权的情况下,自动收集并回传用户的地域信息、身份标识等敏感数据。这种行为可能违反中国《数据安全法》《个人信息保护法》等相关法规,并且可能导致企业核心代码、开发环境配置等机密信息通过非正常渠道外泄。
为此,工信部建议相关单位和用户立即采取以下措施:
- 排查当前使用的 Claude Code 版本是否落在受影响范围内;
- 对受影响版本进行卸载或升级至修复后的版本;
- 加强对开发工具外联权限的管控,设定严格的网络访问策略;
- 对开发环境流量进行实时监测,及时发现并阻断异常数据外传行为。
该风险提示同时被多家媒体(格隆汇、36Kr、同花顺财经)转载,并列入工信部 NVDB 话题追踪,与之前针对 OpenClaw 开源 AI 智能体安全风险、涉诈高风险电话卡核查处置等动作一脉相承。
关键要点
- 问题产品:Anthropic 公司开发的 AI 编程工具 Claude Code,受影响版本为 2.1.91 至 2.1.196。
- 核心风险:内置监控机制在未获用户同意下,自动回传用户地域、身份标识等敏感信息。
- 合规隐患:该行为涉嫌违反中国数据安全与个人信息保护相关法律法规。
- 官方行动:工信部 NVDB 平台发布风险提示,建议立即排查、卸载或升级,并强化外联权限管控与流量监测。
- 波及范围:可能影响使用该版本 Claude Code 的国内开发者、企业研发团队及相关机构。
- 时间节点:风险提示发布于 2026 年 6 月 12 日,属于即时性安全预警。
意义与影响
此次风险提示标志着中国监管部门将 AI 编程工具纳入数据安全重点监测范围。此前工信部 NVDB 已发布过 OpenClaw 开源 AI 智能体安全风险提示,并对涉诈电话卡进行大规模核查处置,体现了对 AI 工具链上下游的全面审视。Claude Code 作为一款具备代码生成与调试能力的 AI 编程助手,在后门隐患暴露后,不仅影响其在中国市场的推广与可信度,也将倒逼 Anthropic 等国际 AI 厂商在数据本地化、用户许可机制以及安全审计方面做出更合规的设计。对于国内企业而言,这一事件再次敲响警钟:在引入 AI 开发工具时,必须建立供应链安全评估流程,对工具的外联行为、数据收集策略进行透彻审查,防止敏感代码通过“智能助手”的监控通道泄露。长远来看,该事件可能促使中国加快制定 AI 编程工具的安全标准与认证体系,推动国产替代方案的发展。
