21CTO 导读:中国国家漏洞数据库声称Claude监测机制可以将中国用户的数据转发到远程服务器。
中国国家漏洞数据库(CNVDB)敦促用户卸载最新版本的Claude Code,因为担心这些版本会在未经用户同意的情况下窃取敏感数据。
该官方机构在微信公众号和一份网站声明中称其为“后门代码”,并声称“内置监控机制”可以收集用户的位置和身份等详细信息,并将其转发到远程服务器。
该机构表示,此次警报仅适用于 Claude Code 版本 2.1.91(4 月 2 日)至 2.1.196(6 月 29 日)。
CNVDB 上周三表示:“建议相关单位和用户立即展开全面排查。”
“对于安装了上述受影响版本的开发终端,请立即卸载或升级到已移除相关后门代码的最新安全版本;加强对核心业务网络段内开发工具的外部访问权限控制和流量监控,以防止敏感数据未经授权的传输。”
Claude Code 工程师 Thariq Shihipar 公开表示,Anthropic 在 3 月份启动了一项实验,以防止模型被蒸馏——即人工智能公司通过训练更高级模型的答案来改进其模型的过程。
他还说:“团队此后采取了更有效的缓解措施,而且我们其实早就打算把它移除。” 这个秘密隐写系统已在7月1日发布的2.1.198版本中移除。
Anthropic 被指控追踪中国用户并非导致这家人工智能公司与中国关系恶化的唯一原因。该公司还与中国科技巨头阿里巴巴公开交锋,指责阿里巴巴利用 Claude 的算法输出改进自己的模型。Anthropic 称这是迄今为止遭遇的最大规模的针对其人工智能的攻击。
Anthropic官方承认在Claude Code中嵌入了追踪机制,并称此举是为了防止非法“提炼”(即未经授权复制其模型)而进行的实验。该公司表示,其使用政策一直禁止中国用户访问其服务。
阿里巴巴随后禁止员工使用 Claude Code,并将其列为高风险软件。预计会有更多中国企业放弃使用外国人工智能工具。安全隐患日益加剧,中国实现科技自主是为“战略要务”。
比如字节跳动的 Trae 是一个基于自然语言提示和自主代理的 AI 原生开发环境。与 Claude Code 类似,它可以生成代码、调试软件、解释代码库,并且可以从零开始构建应用程序。
面向中国的版本支持包括豆包和DeepSeek在内的本地基础大模型,并允许用户接入自己的模型API。
阿里巴巴旗下的Qoder定位为完整的开发工作空间,而非单纯的助手。它能够处理代码生成、项目分析和自主任务执行,并允许用户通过自定义API密钥导入自己的模型。
腾讯云的 CodeBuddy 基于腾讯的混元架构以及 DeepSeek 的架构运行。它支持 200 多种编程语言,涵盖代码补全、调试、重构、多文件生成和测试等功能。
智谱AI带来了两款产品。CodeGeeX是中国最早的编程助手之一,它使用华为的MindSpore框架在昇腾处理器上进行训练,这明显体现了华为对硬件自主性的重视。
ZCode 功能则更为强大,它是一个智能体工作空间,是 Zhipu GLM-5.2 模型的官方环境。它声称拥有高达 100 万个令牌的上下文窗口,并且可以协调从需求到文档的整个工作流程。
值得注意的是,ZCode 仍然提供多模型接口,可以在项目进行过程中切换到 OpenAI 和 Google 模型。目前来看,解耦尚未完全实现。
这场“代码后门之争”只是表象,而非根本问题。其本质原因在于软件技术栈正沿着国界线分裂成两部分。
中国本土的替代方案已不再明显逊色, 低价的国产机型正在缩小与美国前沿机构的差距。
这种压力是双向的。
Claude Code从来就不适合注重成本的买家, 微软悄然放弃它就证明了这一点。这也促使开发者转向更便宜的替代品,不仅是政治因素,重要的还有价格。
剩下的只有两个日益割裂的生态系统。对于Anthropic而言,它从未正式涉足的海外市场如今也正在关闭,而中国国内市场的相关工具已经准备就绪。
作者:聆听音乐的鱼
参考:
https://thenextweb.com/news/china-ai-coding-tools-claude-code-backdoor
https://cnvdb.org.cn/announcement/2074682031259299842
本篇文章为 @ 场长 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 微信公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。
请扫描二维码,使用微信支付哦。