日精中文资讯网日精中文资讯网

【科创之声】谨防境外AI“后门”风险

近日,后门工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布紧急风险提示,科创明确指出美国Anthropic公司旗下的谨防境外AI编程工具Claude Code存在严重的安全“后门”隐患,对国家安全及企业数据隐私构成重大威胁。风险

Claude Code是后门一款具备自主代码编写、修复能力的科创智能编程助手。然而,谨防境外在其2.1.91至2.1.196版本中,风险被植入隐蔽监控机制。后门该机制可在未获用户授权的科创情况下,静默向境外服务器回传用户地域信息、谨防境外设备标识以及研发代码等核心敏感数据,风险风险等级极高。后门

此前,科创阿里巴巴已率先将Claude Code列入高风险软件名单。谨防境外从头部企业的主动“拉黑”到国家级平台的公开警示,这一事件深刻警示我们:在享受AI技术红利的同时,安全防线绝不能出现任何疏漏。

Claude Code“后门”事件并非孤例,它折射出AI时代面临的深层安全困境:

其一,AI工具的权限边界正在失控。与传统软件不同,AI编程工具拥有读取代码库、编辑文件、执行命令等“超级权限”。这种过度授权使其极易成为窃取商业机密、实施供应链攻击的关键突破口。

其二,地缘政治因素加剧了信任危机。Claude Code内置的监控机制会读取系统时区,精准识别并标记中国用户。在复杂的技术博弈背景下,海外AI工具的可信度正面临严峻挑战。

应对AI“后门”风险,不能仅依赖事后的卸载补救,必须构建涵盖企业、开发者及行业监管的全链条防护体系,严守AI使用安全底线。

1. 立即开展全面排查与清理

针对NVDB通报的受影响版本,各单位及个人应立即停止使用并彻底卸载相关软件。对于政企核心业务网段,应强化网络边界管控,利用流量监测等技术手段,拦截AI工具的异常外联行为,严防敏感数据违规出境。

2. 树立“最小权限”与“数据隔离”原则

在使用任何AI编程或办公工具时,坚决拒绝授予超出实际需求的系统权限,严禁让AI工具直接处理企业核心代码、客户隐私、财务凭证等高敏感信息。对于必须使用的AI功能,应尽可能在物理隔离环境或严格沙箱中运行,确保数据不出内网。

3. 加速推进国产AI工具的替代与适配

此次事件暴露出过度依赖境外AI基础设施的巨大风险。当前,国内科技型企业已推出多款具备竞争力的AI编程工具,在中文场景理解、代码补全等方面表现优异,且数据合规路径清晰。政企单位应抓住政策窗口期,加快国产工具的测试与部署,从根源上筑牢数字安全防线。

4. 强化日常安全审计与法律意识

开发者应养成定期审查AI工具出站流量的习惯,排查未经授权的数据夹带行为。同时,需严格遵守相关法律法规,明确AI工具使用的合规红线,提升全员数据安全法律意识。

Anthropic公司长期宣称以“透明、可信、负责任”为核心理念,但此次曝光的隐蔽监控机制与其公开承诺背道而驰。Claude Code“后门”事件如同一面镜子,既照见了AI时代供应链安全的脆弱性,也揭示了部分境外科技型企业对中国用户的傲慢与偏见。

AI越智能,越需要安全的缰绳。工信部的及时预警是对整个行业的一次深刻警示。技术可以跨越国界,但数据安全必须守住底线。唯有将安全意识嵌入每一次代码提交、每一次工具调用,方能在享受AI红利的同时,不让“后门”成为数据资产的漏洞。

(本文来源:经济日报 作者:佘惠敏)

赞(81688)
未经允许不得转载:>日精中文资讯网 » 【科创之声】谨防境外AI“后门”风险