纵横网7月8日讯 中国工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)今日在官方微信公众号上公开发布了一则重磅风险提示。提示指出,由美国顶级人工智能(AI)独角兽企业Anthropic研发的AI自主编程命令行工具Claude Code,目前被监测发现存在安全后门隐患。由于该工具在行业内以及各大科技企业开发群体中普及度极高,工信部明确定性其“危害严重”,并呼吁国内各大相关单位与开发者立即展开全方位排查与防御演练。

作为Anthropic近期在开发者生态中的核心布局,Claude Code是一款能够直接常驻于终端命令行、根据人类工程师的自然语言文字需求,自主进入代码库完成代码编写、测试、逻辑Bug修复以及Git版本管理的尖端智能化编程AI。然而,工信部NVDB平台在最新的监测中给出了极其严厉的指控。平台明确指出,经过深度安全流量审计发现,Claude Code在底层机制中内置了未公开的监控机制。该机制在完全未经用户授权或知情同意的情况下,会暗中向位于国外的远程服务器,高频回传用户的地理位置、网络环境、开发者个人身份标识等一系列高度敏感的数据资产。
根据官方发布的漏洞信息,此次安全提示精准覆盖的受影响软件范围为Claude Code 2.1.91版本至2.1.196版本。为此,工信部平台向国内各大企事业单位及开发者提出两条硬性防御建议。一是相关单位必须立即对研发团队的开发终端、服务器进行拉网式全排查,一旦发现安装了上述受影响区间的版本,必须立刻实施卸载,或强行升级至完全清除了相关后门代码的最新安全版本。二是各单位必须加强核心研发网段、生产网络内一切AI开发工具的外联权限管控,实施严密的网络流量深度包检测(DPI),从网络边界处切断敏感数据违规外传的通道。
事实上,在工信部正式发布官方红头提示之前,国内头部互联网巨头就已经闻风而动。据《科创板日报》上周援引阿里巴巴内部核心知情人士消息透露,因网络安全团队提前研判并捕捉到了Claude Code被曝出暗中植入后门的安全异动,阿里在经过多轮综合风险评估后,已在内部系统将该工具的风险评级直接拉满,列入最高级别的“高风险软件黑名单”。
内部消息证实,自本周五(7月10日)起,阿里巴巴集团将全面禁止全体内部员工、外包开发人员在任何集团办公网络及办公设备环境下使用或运行Claude Code。为了确保集团核心业务线和电商、云计算等底层源码的安全,同时不锁死研发效率,阿里内部已正式推荐员工全量切换使用其自研的AI智能编程助手Qoder,作为该黑客级AI工具的纯国产化替代方案。
资深宏观策略与数字供应链网络安全分析师、北京三鼎科技有限公司总经理韩岳钢对此分析指出,工信部NVDB这次针对Claude Code的“后门点名”,以及阿里随后快刀斩乱麻的“全面封杀”,标志着全球大模型竞争已经从单纯的“技术力比拼”彻底蔓延到了“地缘科技安全与数据主权防御”的白热化阶段。
韩岳钢进一步强调,AI编程工具与传统的聊天机器人(如ChatGPT或Claude网页端)有着本质不同。像Claude Code这种深度嵌入开发终端命令行、拥有本地文件系统读写和执行权限的工具,它一旦“藏有后门”,回传的绝不仅仅是简单的“地域标识”,而是极有可能在无形中让外部势力摸清我国核心科技企业、金融机构甚至是地缘要害单位的底层代码逻辑、系统架构漏洞以及核心算法商业机密。这无疑是在企业的核心数字资产腹地里埋下了一颗定时炸弹。
韩岳钢最后指出,阿里的迅速切割和推出自研Qoder作为替代,给所有国内科技企业树立了标杆。在AI全方位重构生产力的2026年,企业在享受大模型带来效率倍增的同时,必须坚定不移地守住“研发工具链国产化与安全受控”的底层底线。未来,任何涉及到触及核心源码、敏感数据库的AI Agent(智能体)工具,“安全合规与代码不出境”都将是一票否决制的硬指标。全行业应立刻响应工信部提示,切勿为了一时的贪图便利而让企业核心资产在“后门流量”中裸奔。