事件经过
2026年7月8日,中国工业和信息化部(MIIT)通过其国家漏洞数据库(NVDB)网络安全威胁平台,发布了一份官方风险公告,将Anthropic的Claude代码(版本2.1.91–2.1.196,发布于2026年4月2日至6月29日)列为包含"对国家安全构成严重威胁的安全后门漏洞"。该公告指控该工具使用了隐写术技术(改变提示中的标点符号/日期格式),在检测到中国地区时区或代理时,秘密将用户位置和身份数据传输到Anthropic的服务器,未征得用户同意。工信部发布了具有约束力的指令,要求所有安装了受影响版本的实体和用户立即进行全面调查,卸载或升级软件,并对核心业务网络段中的外部连接加强网络级控制。该公告发布于阿里巴巴对Anthropic工具的内部禁令(于7月10日生效)的两天前,并且此前Anthropic曾公开指控阿里巴巴试图提取/蒸馏其AI能力。Anthropic承认该代码是一项始于2026年3月的反滥用/反蒸馏实验,并表示将在即将发布的版本中移除该代码。
影响分析
这是中国行业监管机构发布的具有约束力的国家网络安全指令,要求在中国企业和开发环境中卸载/修复某个美国前沿AI实验室的旗舰代码代理产品——这是一项带有国家安全色彩的行动,实质上限制了该命名AI实验室的工具如何在主要司法管辖区内运行。它升级了美中AI脱钩动态(继商务部/BIS之前对Anthropic Fable/Mythos模型的出口限制之后),并为国家网络安全平台被用于控制外国AI工具采用设置了先例。在中国运营的企业必须将其视为强制性合规行动,而非仅仅是指导意见。
建议行动
在中国运营(或拥有中国本土开发团队)且使用Claude代码版本2.1.91–2.1.196的组织必须立即审计安装情况,卸载或升级到修补版本,并根据工信部指令限制/监控来自开发者工具的出站网络连接。