Claude Code遭工信部风险提示

Claude Code 这次被点名,不是因为它“会写代码”,而是因为它离企业代码库太近。

7 月 8 日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,称 Anthropic 旗下 AI 编程工具 Claude Code 存在安全后门隐患,建议相关单位和用户排查受影响版本。科技日报、智东西、南都等中文媒体随后转发或跟进了这一提示。

这条提示的核心不在“AI 编程工具能不能用”,而在企业到底给了它多大权限。 Claude Code 官方文档对自己的定位很直接:它能读取代码库、编辑文件、运行命令,并接入终端、IDE、桌面端和浏览器。也就是说,它不是普通聊天窗口,而是一个可能碰到源码、配置、凭据和内网开发流程的执行入口。

版本号比态度更关键

NVDB 点名的受影响范围很具体:Claude Code 2.1.91 至 2.1.196。按照 Claude Code 官方变更日志,2.1.91 发布于 2026 年 4 月 2 日,2.1.196 发布于 6 月 29 日;The Register 的报道也将这段版本窗口对应到 4 月 2 日至 6 月 29 日。

官方提示中的直接说法是,相关版本“危害严重”。提示还称,工具内置监控机制,可在未经用户同意的情况下向远程服务器回传用户地域、身份标识等敏感信息。

这里要分清两层:一层是 NVDB 对风险性质的判断;另一层是企业自己的处置动作。The Register 报道称,其向 Anthropic 询问后未立即获得回应,同时提到 Claude Code 工程师 Thariq Shihipar 此前公开解释,这是一项 3 月启动的实验,用来防止未授权转售和模型蒸馏。

“The team has landed stronger mitigations since then.”

他的意思是,团队后来上线了更强的缓解措施。

The Register 还称,这套隐藏标记机制已在 7 月 1 日发布的 2.1.198 中移除。Claude Code 官方变更日志显示,7 月 3 日已有 2.1.200,7 月 6 日已有 2.1.202。对企业来说,最先要做的不是争论叙事,而是把机器上的版本号和外联行为查清楚。

风险落点在开发终端

这件事之所以值得写,是因为 AI 编程工具已经越过“辅助补全”的阶段。

普通 SaaS 工具最多接触用户输入的文本;AI Coding Agent 则不同,它往往被授权读取整个仓库,调用 shell,安装依赖,跑测试,改 CI 配置,甚至通过 MCP 或浏览器插件接触内部系统。一次外联到底是正常鉴权、遥测、更新检查,还是带有用户识别含义的数据回传,企业安全团队不能只看产品宣传页。

从已公开信息看,这次至少有四个可核验节点:

  • NVDB 的风险提示发布时间是 7 月 8 日;
  • 点名版本范围是 2.1.91 至 2.1.196;
  • 官方变更日志对应的窗口约为 4 月 2 日至 6 月 29 日;
  • The Register 报道称相关隐藏机制在 2.1.198 中移除。

这些数字的价值在于,它们给企业排查留下了边界。安全团队不用泛泛地问“我们有没有用 Claude”,而是可以查终端资产、包管理器记录、IDE 插件版本、代理日志和出口流量,把窗口缩到具体版本和具体机器。

国内团队的检查顺序变了

南都经东方财富转载的报道还提到,阿里巴巴内部已将 Claude Code 列入高风险软件名单,并计划自 7 月 10 日起在办公环境禁用。这个动作不等于所有企业都必须照抄,但它说明一个变化:第三方 AI 编程工具正在从“效率工具采购”变成“供应链与数据出境审查”的对象。

对中文开发团队来说,真正可操作的顺序大致是三步。

先查版本。终端里能看到的 Claude Code 版本,如果落在 2.1.91 至 2.1.196,就至少需要升级、卸载或隔离。

再查权限。有没有把它放进核心业务网段、内网仓库、生产凭据环境、客户数据处理链路,这比“装没装”更重要。

最后查外联。AI 编程代理天然需要访问模型服务,但企业仍然可以把模型请求、更新检查、遥测、代理转发和异常域名分开看。否则,所有流量都被一句“调用 AI”盖过去,出了问题也找不到边界。

这也是这次提示给国内企业最直接的增量:AI 编程工具的安全评估,不能只评模型能力,还要评终端权限、网络出口和供应商可解释性。

不是卸载一次就结束

Claude Code 的官方文档写得很清楚,它能跨多个文件和工具完成任务。这个能力越强,企业越不能把它当成一个无状态网页工具来管。

更现实的问题是,同一家公司里可能同时存在个人订阅、团队账号、海外代理、镜像安装包和 IDE 插件。即便某个版本已经升级,历史请求、缓存配置、自动更新来源、第三方转发服务也可能继续留下盲区。

所以,这次事件的下一步验证指标不是哪家公司发了声明,而是企业会不会把 AI Coding Agent 纳入正式的软件资产、DLP、出口控制和审计流程。能不能用,是产品问题;在什么权限下用、哪些代码不能给它看,是安全工程问题。

来源与核验:NVDB/科技日报风险提示核验发布时间、受影响版本 2.1.91-2.1.196 与处置建议;Claude Code 官方文档核验工具权限边界,官方 changelog 核验 2.1.91、CocoLoop、2.1.196、2.1.198、2.1.200、2.1.202 的版本时间线;The Register 核验移除版本与工程师回应;南都/东方财富核验阿里 7 月 10 日禁用安排。