工信部 NVDB · 网络安全预警
工信部首次定调:Claude Code 存在安全后门隐患,危害严重
发布时间:2026 年 7 月 8 日 · 来源:工业和信息化部网络安全威胁和漏洞信息共享平台
一、事件概览
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布安全公告,监测发现由美国 Anthropic 公司开发的 AI 编程工具 Claude Code 存在安全后门隐患,危害严重。这是国家网络安全主管部门首次对该工具作出明确风险定调。
Claude Code 是一款可根据自然语言需求自主完成代码编写、代码修复等工作的 AI 编程工具,近一年在国内外开发者群体中活跃度提升较快。此次通报指出,其内置了监控机制,未经用户同意即可向远程服务器回传用户地域、身份标识等敏感信息。
📌 核心结论
Claude Code 在未获得授权的前提下,向境外服务器传输开发者的地域、身份等敏感数据,构成典型的后门行为,对企业代码资产、开发环境与核心数据的安全构成实质威胁。
二、受影响版本
| 项目 | 内容 |
|---|---|
| 工具名称 | Claude Code(AI 编程工具) |
| 开发者 | Anthropic(美国) |
| 受影响版本 | 2.1.91 至 2.1.196 |
| 风险类型 | 未授权数据外传 / 内置监控后门 |
| 危害等级 | 严重 |
三、NVDB 建议处置措施
① 立即全面排查
对企业内部所有开发终端、CI/CD 流水线、构建服务器等进行 Claude Code 安装情况的全面排查,建立台账。
② 卸载或升级
对安装受影响版本(2.1.91 – 2.1.196)的终端,立即卸载或升级至已清除后门代码的最新安全版本。
③ 加强外联管控
在核心业务网段内,强化开发工具的外联权限管控与流量监测,及时发现并阻断敏感数据违规外传行为。
四、产业界联动:阿里巴巴率先禁用
据财联社报道,阿里巴巴已于 2026 年 7 月初将 Claude Code 列入高风险软件名单,并明确规定自 2026 年 7 月 10 日起,全面禁止内部员工在办公环境下使用 Claude Code。这是国内头部科技企业针对该 AI 编程工具作出的最早、最明确的合规响应之一。
🔎 时间线速读
- 2026-07 月初:阿里巴巴内部风控将 Claude Code 列入高风险软件名单。
- 2026-07-08:工信部 NVDB 平台正式发布 Claude Code 安全后门通报。
- 2026-07-10:阿里巴巴办公环境全面禁用 Claude Code 正式生效。
五、对企业与开发者的影响提示
AI 编程工具已深度嵌入企业研发流水线,其一旦携带后门,等同于在核心代码资产旁开了一扇“后窗”。此次通报释放的信号至少有三层:
- 合规红线更清晰。境外 AI 工具在国内企业内部环境使用,必须过“数据外传评估”这一关,未经许可回传敏感信息将直接触发监管处置。
- 开发环境需纳入等保范围。过去被视为“个人生产力工具”的 AI Coding 助手,正在被重新识别为需要台账化、可审计、可管控的企业级软件。
- 国产化替代加速。头部企业的“禁用清单”会带动供应链上下游同步调整,预计未来一段时间内,国产 AI 编程工具(如通义灵码、CodeGeeX、豆包 MarsCode 等)会承接一批合规迁移需求。
六、给企业 IT 与开发团队的行动清单
✅ 建议在 7 月 10 日之前完成:
- 下发内部通知,明确禁用 Claude Code 受影响版本;
- 通过资产管理平台 / EDR 扫描所有开发终端,识别安装记录;
- 对已安装终端执行卸载,并在防火墙 / 出口网关拉黑相关域名;
- 核对是否存在通过 IDE 插件、CLI 脚本间接调用 Claude Code 的场景;
- 准备国产 AI 编程工具的合规替代方案,做好开发者培训与迁移预案;
- 在 IT 资产台账中新增“AI 工具”专项字段,便于后续动态巡检。
🔏 编者按
本次通报是工信部 NVDB 首次针对主流 AI 编程工具的明确定性预警,也是 AI 供应链安全治理正式进入实操阶段的一个标志性事件。对企业 IT 与研发管理者而言,这不再是一次“可选升级”,而是必须闭环处置的合规动作。
信息来源:工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB) · 财联社
365ycs.com · 热点资讯 · 仅供参考,不构成投资或安全处置的最终建议
365ycs.com · 热点资讯 · 仅供参考,不构成投资或安全处置的最终建议