中国国家漏洞数据库警告 Anthropic 的 AI 编程工具 Claude Code 存在内置监控机制,可能未经同意传输用户数据。Anthropic 回应称该功能是为阻止滥用,且最新版本已移除相关代码。
周三,中国国家漏洞数据库(NVDB)发布安全警报,称 Anthropic 的 AI 编程工具 Claude Code 版本 2.1.91 至 2.1.196 存在“内置监控机制”,可在未经用户同意的情况下将敏感数据传输至远程服务器。该平台由工业和信息化部运行,敦促机构立即全面排查、卸载受影响版本或升级至最新版。

CFOTO · gettyimages.com
NVDB 还建议机构收紧开发工具的外部网络访问控制,加强核心业务网络流量监控。路透社报道,阿里巴巴已禁止员工在工作使用 Claude Code。
争议源于 6 月底,安全研究员“Thereallo”发现 Claude Code 利用隐写技术——通过修改系统提示中的日期格式和 Unicode 撇号字符——识别来自中国的用户。代码会检查用户时区是否为 Asia/Shanghai、代理 URL 是否指向中国域名,以及连接是否关联中国 AI 提供商。
Anthropic 工程师 Thariq Shihipar 在 X 上确认,该追踪器于 3 月添加,作为一项“实验”,旨在“防止未经授权的经销商滥用账户并保护模型免受知识蒸馏”。他表示,公司在实施更强措施后“其实早就打算移除它”。
Anthropic 告诉南华早报,中国用户“从一开始就未被授权使用 Claude Code”。公司称已封禁近 70 万个来自中国的使用 Claude 的账户。华盛顿邮报报道,Anthropic 在 3 月部署追踪软件前,发现存在“一整套代理服务器生态”使中国用户得以非法访问。
最新版 Claude Code 已移除相关代码,Anthropic 将这一功能描述为现已退役的反制措施,而非数据收集工具。
免费获取企业 AI 成熟度诊断报告,发现转型机会
关注公众号

扫码关注,获取最新 AI 资讯
3 步完成企业诊断,获取专属转型建议
已有 200+ 企业完成诊断