Claude Code 2.1.91 至 2.1.196 版本存在后门风险,新版本可信任吗?会不会还有小动作

jslss 2026-07-08 20:11 1

根据国家工信部下属网络安全威胁和漏洞信息共享平台(NVDB)2026年7月8日发布的官方公告(编号:NVDB-CNVD-2026-19876),Claude Code 在 2.1.91 至 2.1.196 版本范围内存在严重安全隐患。


核心问题在于:该工具内置了未公开的监控/遥测机制,可在未经用户明确授权的情况下,向远程服务器回传以下敏感信息:




  • 用户地域(地理位置)




  • 设备身份标识(指纹)




  • 其他运行环境上下文




由于 Claude Code 本身运行在开发环境中,能直接接触源代码、API 密钥、内网凭据等核心资产,一旦被滥用,数据外泄风险极高。


官方修复状态


Anthropic 官方已确认该问题,并在后续版本中移除了相关代码。根据官方 Release Notes,修复版本在 2026年6月29日(2.1.196 之后)发布,截至今日(7月8日),最新安全版本为 v2.1.204



新版本可信任吗?会不会还有小动作?

最新回复 (13)
  • FFFFFFFFFir 07-08 20:13
    1

    这还用问吗,A​^-^风格你又不是不知道,最好早早习惯一下别的工具吧

  • Grogu 07-08 20:14
    2

    那些信息价值都不大,有价值的,你只要用它家模型,用什么工具都要发给它

  • Djcjyq 07-08 20:15
    3

    今天已经安装pi了,安装了一堆插件,试了下,很舒服,deepseek-v4-flash通过插件用起来很顺手,发现一些bug

  • cmpdke33 07-08 20:17
    4

    信任建立起来需要3年,但是摧毁只需要一瞬间,其实也不知道当初那条reddit下面的人都不当回事…

  • 忍者熊 07-08 20:18
    5

    与其怕这怕那的不如切换到开源方案

  • 正在缓冲99% 07-08 20:18
    6

    主要看自己的工作场景,你要是做开源项目的,那你就用呗,后不后门的无所谓啊,你代码本来全公开的。你要是保密单位,那你肯定不能用啊。但凡有这种可能性,你就是不能用啊。包括一些大的商业单位,有商业机密的都是不允许用的

  • EdtyBg 07-08 20:18
    7

    就和百度能知错就改一样,能改才有鬼。

    一般从设计立项到实际制作再到上线三个流程,缺一个都不会出现。

    能出现要不意味着:要不像某东一样内部失控、要不像百度一样目的明确鉴定。

  • 白芸汐 07-08 20:24
    8

    能放第一次就能放第二次,下次只不过藏的更加隐秘让你找不出来而已

  • JARK006 07-08 20:24
    9

    有Mythos级别的模型帮助,后续版本只会把相关逻辑隐藏得更深,而不是移除(现在移除避避风头而已)。已经被抓过一次就不怕再抓几次,反正相关信用已经没了。

  • pluto233 07-08 20:25
    10

    w? 似乎根据a/的推特 卸下来是因为发现了更有效的方法喵~(呆


    根据a/的道德和闭源代码 就算暂时不加之后也会偷偷加的喵~(逃

  • 雾满眠 07-08 20:26
    11

    用人不疑 疑人不用

    怕就不用就可以啦

  • 阿黄酱 07-08 20:39
    12

    国企目前是用不了,而且后面绝对会设置更隐秘的后门,彻底放弃了

  • Base_Cat 07-08 20:42
    13

    信任崩塌就在一瞬间,该用就用,不能完全信任。

* 帖子来源Linux.do
返回