工信部重磅预警!Claude Code藏高危后门,AI工具已成数字供应链安全最大薄弱环节
标签:行业动态 / 2026年7月14日

7月8日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布重磅风险提示,明确美国AI编程工具Claude Code内置隐蔽监控后门,危害等级严重,要求全国政企研发单位立刻开展终端排查、收紧网络外联管控。

针对本次Claude Code高危隐患,工信部明确两类硬性防护动作,所有研发型政企单位必须完成自查整改:
终端全面清查排查所有研发、设计终端,卸载2.1.91—2.1.196区间版本;确需使用则升级至清除后门的2.1.204及以上版本,并单独隔离研发网段使用。
网络边界收紧严控开发工具对外联网权限,拦截未知境外服务器外联流量;对终端上传代码、文档至外部AI平台的行为实时监测、告警阻断。
这不是单一软件漏洞事件,而是给全行业敲响警钟:AI开发工具正在深度嵌入研发全流程,悄然成为数字供应链中最容易被忽视、破坏力最强的安全短板。当企业把源代码、工艺算法、核心业务逻辑投喂 AI 工具,整条产业链的数据安全防线已出现致命缺口。
事件复盘:Claude Code风险,直击企业研发核心命脉
工信部监测确认,Claude Code 2.1.91—2.1.196全版本存在原生监控机制,无需用户授权、无弹窗提示、不留操作日志,静默向境外远程服务器回传多类敏感信息:
身份与地域数据:自动采集设备标识、用户属地标签,精准区分境内研发终端;
研发核心资产:读取本地代码库、工程文件、接口密钥、项目配置文档;
全链路操作日志:同步终端命令、代码修改记录、CI/CD 流水线配置信息。
作为深度嵌入终端、可自主读写文件、执行系统命令的编程工具,Claude Code拥有完整访问企业研发环境的权限。后门机制等同于在企业内网埋下持续数据出口,源代码、自研算法、涉密业务逻辑可被批量外传。截至目前,阿里等头部企业已宣布办公环境全面禁用Claude Code,列入高风险软件清单,切换自研国产AI编程工具规避供应链隐患。
深层危机:AI工具重构供应链,全新安全漏洞浮出水面
传统软件供应链安全,聚焦操作系统、第三方开源组件、中间件漏洞;而AI时代,智能工具链成为新增高危攻击面。过去我们担心第三方插件投毒,现在要警惕日常使用的AI助手本身就是供应链薄弱点:
信任边界模糊:员工无意识泄密,数据被动外流
研发人员为提升效率,直接复制核心代码、机密参数投喂AI编程工具,企业无有效手段拦截。境外AI工具后台自动留存、训练、复用上传数据,商业机密、自研技术不受控流出,且行为隐蔽、事后溯源难度极大。
工具底层不可控:海外AI产品自带“数据后门”
海外AI工具底层逻辑、数据传输规则完全不透明,厂商可内置监控、采集机制,不受国内网络、数据合规法规约束。本次Claude Code事件证明,工具出厂即可预埋数据回传通道,单纯升级版本仅能临时缓解,无法根除底层信任风险。
供应链连锁传导风险:单点沦陷,全产业链失守
研发AI工具贯穿需求开发、代码编写、测试迭代、上线运维全流程。一旦工具存在漏洞或后门,上游设计图纸、中游源代码、下游客户业务数据将同步泄露;制造、高科、金融、政务等高涉密行业,将面临知识产权流失、业务系统被窥探、合规处罚多重损失。
人工智能是产业升级核心动力,但效率不能以核心数据安全为代价。数字供应链安全,早已不是单纯网络攻防问题,而是关乎企业核心知识产权、产业自主可控的战略议题。
