实锤!Claude Code危害严重被点名

时间:2026-07-17 06:51:59来源:沃创动力资讯网 作者:休闲

新智元报道

【导读】国家信息安全漏洞库(NVDB)发布最高级别风险提示:Claude Code 被曝内置未经授权的实锤监控机制,存在严重安全隐患。危害官方建议全国相关企事业单位及开发者立即开展全面排查与风险处置。严重

7月8日,被点国家信息安全漏洞库(NVDB)正式对外发布风险提示,实锤指出 Anthropic 旗下核心产品 Claude Code 存在重大安全漏洞。危害

该漏洞被定性为「安全后门隐患,严重危害严重」。被点NVDB 明确指出,实锤受影响版本中嵌入了隐蔽的危害数据回传功能,建议立即停止使用并排查相关风险。严重

与此同时,被点阿里巴巴已宣布全面停用 Claude 系列产品,实锤该禁令于7月10日起正式生效,危害标志着国内头部科技巨头对此次安全事件的严重强硬回应。

Claude Code 后门事件:从“实验性措施”到“间谍软件”指控

此次事件的曝光并非源于监管机构,而是源自开源社区与开发者群体的自发调查。

Reddit 上的开发者通过逆向工程分析发现,自 Claude Code 2.1.91 版本(约2026年4月发布)起,这款被全球开发者誉为「编码神器」的工具,在代码中嵌入了具有监控性质的组件,并试图通过技术手段隐藏其行为轨迹。

针对这一指控,Anthropic 团队成员 Thariq Shihipar 随后作出回应,承认这是于2026年3月启动的一项「实验性」反滥用措施。其官方解释称,该措施旨在打击未授权账户转售及模型蒸馏攻击,并声称已在7月2日发布的最新版本中移除了相关代码。

然而,舆论并未因此平息。业界质疑声不断:如果该措施完全合规且合理,为何需要在被曝光后紧急撤回代码?这种「先斩后奏」的操作模式,被广泛解读为「做贼心虚」的表现。

批评者指出,Anthropic 在宣传中强调「安全至上」,但其实际行为却严重背离了这一承诺,引发了开发者社区的强烈不满与信任危机。

国家信息安全漏洞库(NVDB)对此给出了明确的技术认定:

Claude Code 内置了未经用户同意的监控机制,可在后台向远程服务器回传用户地域信息、身份标识等敏感数据。

受影响版本范围:2.1.91 至 2.1.196。

此次事件揭示了一个残酷的现实:最危险的监控,往往不是粗暴的系统入侵,而是以「保护用户」或「防止滥用」为名,悄然完成的隐私窃取。

算法下的「误杀」:145万次封禁背后的信任崩塌

除了技术层面的安全隐患,Anthropic 在用户管理上的「算法独裁」也引发了巨大争议。

「Anthropic 标榜自己是安全至上的 AI 公司,却封禁了那些完全合规的付费用户,且从未提供有效的人工审核机制。」

这一评论犀利地指出了 Anthropic 安全光环下的阴暗面:在其构建的 AI 生态中,每一位付费用户默认被视为「潜在嫌疑人」。

真实案例令人深思:

  • 商务人士 Piero Coen:为公司开通 Claude Pro 账户后,正常使用官方提供的 Google Calendar 集成功能规划差旅。次日,账户毫无预警地被禁用,理由仅有一句模糊的「可疑信号」(suspicious signals)。

  • 知名开发者 Peter Steinberger(OpenClaw 创作者):今年4月10日收到封禁通知,邮件内容千篇一律,仅提及「检测到可疑信号」,却未指明任何具体违规条款,申诉无门。

这并非孤立事件。根据 Anthropic 发布的《透明度中心》数据:

  • 封禁规模:仅2025年下半年,Anthropic 就封禁了高达 145万个账户。
  • 申诉困境:在5.2万次用户申诉中,仅有 1700次成功。
  • 成功率:申诉成功率仅为 3.3%

数据背后隐藏着冷酷的商业逻辑:在 Anthropic 的算法模型中,修复高达 96.7% 的误报率成本过高。为了降低自身运营风险,公司不惜将绝大多数付费用户置于「怀疑链」的末端,甚至不惜在 Claude Code 中植入隐蔽的监控代码,以换取所谓的「平台安全」。

硅谷暗战:从「模型蒸馏」恐惧到「信任内战」

Anthropic 极力用「防止模型蒸馏」(Model Distillation)来为其监控行为辩护。然而讽刺的是,硅谷内部对「蒸馏」的恐惧,已演变成一场巨头间的「信任内战」。

据外媒披露,社交巨头 Meta已紧急向工程师团队下达指令:严格限制内部使用 Anthropic 的 Claude Code 及 OpenAI 的 Codex。

Meta 甚至叫停了部分依赖外部 AI 工具的项目,其核心担忧只有一个词:污染(Contamination)

在 Meta 看来,当工程师使用竞争对手的 AI 工具辅助开发时,这些工具生成的代码或输出结果,可能通过日常调用,悄无声息地流入 Meta 自身的训练数据集或正在研发的自研编程助手 Meta Code中。

在法律和技术层面,这被称为 「非自愿模型蒸馏」(Inadvertent Distillation)

一旦 Meta 的自研模型被证实混入了竞争对手模型的「智力成果」,将直接违反竞争对手的服务协议,引发万亿级巨头之间灾难性的法律诉讼与商业冲突。

在这个故事中,没有绝对的「安全」,只有彼此之间最彻底的防备、最深的焦虑,以及被算法裹挟的用户权益。


参考资料:

  1. 国家信息安全漏洞库 (NVDB) 官方公告:https://nvdb.org.cn/publicAnnouncement/2074681830578630657
  2. Anthropic 透明度中心系统信任报告:https://www.anthropic.com/transparency/system-trust-reporting

编辑:大卫

相关内容