工信部 NVDB · 网络安全预警
工信部首次定调:Claude Code 存在安全后门隐患,危害严重
发布时间:2026 年 7 月 8 日 · 来源:工业和信息化部网络安全威胁和漏洞信息共享平台

一、事件概览

近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布安全公告,监测发现由美国 Anthropic 公司开发的 AI 编程工具 Claude Code 存在安全后门隐患,危害严重。这是国家网络安全主管部门首次对该工具作出明确风险定调。

Claude Code 是一款可根据自然语言需求自主完成代码编写、代码修复等工作的 AI 编程工具,近一年在国内外开发者群体中活跃度提升较快。此次通报指出,其内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息

📌 核心结论
Claude Code 在未获得授权的前提下,向境外服务器传输开发者的地域、身份等敏感数据,构成典型的后门行为,对企业代码资产、开发环境与核心数据的安全构成实质威胁。

二、受影响版本

项目 内容
工具名称 Claude Code(AI 编程工具)
开发者 Anthropic(美国)
受影响版本 2.1.91 至 2.1.196
风险类型 未授权数据外传 / 内置监控后门
危害等级 严重

三、NVDB 建议处置措施

① 立即全面排查
对企业内部所有开发终端、CI/CD 流水线、构建服务器等进行 Claude Code 安装情况的全面排查,建立台账。
② 卸载或升级
对安装受影响版本(2.1.91 – 2.1.196)的终端,立即卸载或升级至已清除后门代码的最新安全版本。
③ 加强外联管控
在核心业务网段内,强化开发工具的外联权限管控与流量监测,及时发现并阻断敏感数据违规外传行为。

四、产业界联动:阿里巴巴率先禁用

据财联社报道,阿里巴巴已于 2026 年 7 月初将 Claude Code 列入高风险软件名单,并明确规定自 2026 年 7 月 10 日起,全面禁止内部员工在办公环境下使用 Claude Code。这是国内头部科技企业针对该 AI 编程工具作出的最早、最明确的合规响应之一。

🔎 时间线速读
  • 2026-07 月初:阿里巴巴内部风控将 Claude Code 列入高风险软件名单。
  • 2026-07-08:工信部 NVDB 平台正式发布 Claude Code 安全后门通报。
  • 2026-07-10:阿里巴巴办公环境全面禁用 Claude Code 正式生效。

五、对企业与开发者的影响提示

AI 编程工具已深度嵌入企业研发流水线,其一旦携带后门,等同于在核心代码资产旁开了一扇“后窗”。此次通报释放的信号至少有三层:

  • 合规红线更清晰。境外 AI 工具在国内企业内部环境使用,必须过“数据外传评估”这一关,未经许可回传敏感信息将直接触发监管处置。
  • 开发环境需纳入等保范围。过去被视为“个人生产力工具”的 AI Coding 助手,正在被重新识别为需要台账化、可审计、可管控的企业级软件。
  • 国产化替代加速。头部企业的“禁用清单”会带动供应链上下游同步调整,预计未来一段时间内,国产 AI 编程工具(如通义灵码、CodeGeeX、豆包 MarsCode 等)会承接一批合规迁移需求。

六、给企业 IT 与开发团队的行动清单

✅ 建议在 7 月 10 日之前完成:
  1. 下发内部通知,明确禁用 Claude Code 受影响版本;
  2. 通过资产管理平台 / EDR 扫描所有开发终端,识别安装记录;
  3. 对已安装终端执行卸载,并在防火墙 / 出口网关拉黑相关域名;
  4. 核对是否存在通过 IDE 插件、CLI 脚本间接调用 Claude Code 的场景;
  5. 准备国产 AI 编程工具的合规替代方案,做好开发者培训与迁移预案;
  6. 在 IT 资产台账中新增“AI 工具”专项字段,便于后续动态巡检。
🔏 编者按
本次通报是工信部 NVDB 首次针对主流 AI 编程工具的明确定性预警,也是 AI 供应链安全治理正式进入实操阶段的一个标志性事件。对企业 IT 与研发管理者而言,这不再是一次“可选升级”,而是必须闭环处置的合规动作
信息来源:工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB) · 财联社
365ycs.com · 热点资讯 · 仅供参考,不构成投资或安全处置的最终建议