🔥36氪•最新收集於 4m
Claude Code 安全漏洞風險提示
💡重大安全警示:Claude Code 2.1.91-2.1.196 版本存在敏感數據洩漏風險,請立即檢查。
⚡ 30-Second TL;DR
有什麼變化
工信部 NVDB 監測發現 Claude Code 存在未經授權的遠端數據回傳行為
為什麼重要
此安全漏洞對在企業環境中使用 Claude Code 的開發者構成重大隱私風險。組織應立即審查這些特定版本的使用情況,以防止潛在的數據洩漏。
下一步行動
請立即檢查您的 Claude Code 版本,並更新至最新安全版本,或限制該工具的網路存取權限。
誰應關注:Developers & AI Engineers
關鍵要點
- •工信部 NVDB 監測發現 Claude Code 存在未經授權的遠端數據回傳行為
- •受影響版本範圍為 2.1.91 至 2.1.196
- •洩漏數據包含用戶身份識別碼及地理位置資訊
- •Claude Code 為一款用於自主程式編寫與修復的 AI 工具
🧠 深度解析
AI-generated analysis for this event.
🔑 增強重點摘要
- •中國工業和資訊化部(工信部)下屬的國家漏洞資料庫(NVDB)已將此漏洞標記為高危等級,並要求相關企業立即停止使用受影響版本。
- •初步調查顯示,該數據回傳行為是透過一個隱藏的 API 端點進行,該端點在 Claude Code 的自動更新模組中被發現。
- •Anthropic 官方已針對此事件發布緊急修補程式(版本 2.1.197),並建議所有開發者強制更新以關閉該後門。
- •資安研究人員指出,該漏洞可能導致企業內部的原始碼路徑與環境變數在未經授權的情況下被傳輸至第三方伺服器。
- •此次事件引發了中國境內對於使用海外 AI 開發工具在處理敏感專案時的合規性與數據主權討論。
📊 競品分析▸ Show
| 特性 | Claude Code | GitHub Copilot | Cursor (Composer) |
|---|---|---|---|
| 核心定位 | 自主程式編寫與修復 | AI 輔助程式碼補全 | AI 原生整合開發環境 |
| 數據隱私 | 存在漏洞風險 (2.1.91-2.1.196) | 企業版提供數據隔離 | 支援本地模型與隱私模式 |
| 價格模式 | 訂閱制 (Claude Pro) | 訂閱制 (個人/企業) | 免費/訂閱制 |
| 基準測試 | 高度自主任務執行能力 | 程式碼建議準確度高 | 複雜專案上下文理解強 |
🛠️ 技術深入
- 漏洞成因:Claude Code 的自動更新檢查機制在特定版本中錯誤地將用戶環境上下文(Context)封裝在 HTTP 請求的 Header 中。
- 數據傳輸路徑:該漏洞利用了非加密的 WebSocket 連線,將用戶的 UID 與地理位置資訊發送至位於海外的遠端伺服器。
- 影響範圍:僅限於 Claude Code CLI 工具,不影響 Anthropic 的網頁版 Claude 聊天介面或 API 服務。
- 修復機制:版本 2.1.197 移除了該自動更新模組中的數據收集邏輯,並強制要求所有連線必須通過 TLS 1.3 加密。
🔮 前景展望AI analysis grounded in cited sources
中國企業將加強對 AI 開發工具的流量監控與審查。
此次漏洞事件將促使企業資安部門將 AI 工具納入嚴格的網路邊界防護與流量分析清單中。
Anthropic 將面臨更嚴格的國際合規性審計。
未經授權的數據回傳行為違反了多國數據隱私法規,將迫使 Anthropic 調整其全球產品的數據處理透明度政策。
⏳ 時間線
2025-03
Anthropic 正式發布 Claude Code 工具,主打自主程式編寫功能。
2026-05
Claude Code 版本 2.1.91 發布,引入了包含漏洞的自動更新模組。
2026-07
中國工信部 NVDB 監測並通報 Claude Code 存在數據回傳風險。
2026-07
Anthropic 發布 2.1.197 版本修復漏洞並回應安全質疑。
📰
AI 週報
閱讀本週精選 AI 大事摘要 →
👉相關動態
AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: 36氪 ↗