هشدار نهاد چینی: Claude Code با در پشتی اطلاعات کاربران را به سرورهای خارجی میفرستد
سازمانهای نظارت بر امنیت سایبری در چین به تازگی یک هشدار جدی درباره ابزار برنامهنویسی هوش مصنوعی شرکت آمریکایی آنتروپیک صادر کردند. براساس بیانیه پایگاه ملی دادههای آسیبپذیری چین (NVDB) که توسط وزارت صنعت و فناوری اطلاعات این کشور اداره میشود، نرمافزار Claude Code دارای یک آسیبپذیری امنیتی یا به اصطلاح در پشتی (Backdoor) است. این نهاد دولتی هشدار داده است که ابزار یادشده با استفاده از یک مکانیسم نظارتی داخلی، اطلاعات حساسی مانند موقعیت جغرافیایی و شناسههای هویتی کاربران را بدون دریافت رضایت آنها به سرورهای خارجی منتقل میکند.
به گزارش والاستریتژورنال، در بیانیه رسمی این نهاد امنیتی آمده است که این مکانیسم پنهان میتواند یک تهدید جدی برای امنیت شبکهها باشد. نسخههایی که تحت تأثیر این کد مخرب قرار گرفتهاند، شامل نسخههای ۲.۱.۹۱ تا ۲.۱.۱۹۶ هستند که تمام بهروزرسانیهای منتشرشده بین ماههای آوریل تا ژوئن سال جاری میلادی را در بر میگیرند.
پایگاه ملی دادههای آسیبپذیری از تمامی سازمانها و کاربران چین درخواست کرده است تا سیستمهای خود را به دقت بررسی کنند و این نسخههای آلوده را حذف کنند یا به جدیدترین نسخه ایمن ارتقا دهند. این نهاد همچنین به شرکتها توصیه کرده است تا کنترلهای سختگیرانهتری روی دسترسی ابزارهای توسعهدهنده به شبکههای خارجی اعمال کنند و نظارت بر ترافیک شبکههای تجاری اصلی خود را برای جلوگیری از انتقال غیرمجاز دادههای حساس افزایش دهند.
هشدار چین درباره در پشتی Claude Code
جنجال بر سر این آسیبپذیری از هفته گذشته و زمانی آغاز شد که یک کاربر در ردیت ادعا کرد که کدهای این نرمافزار را مهندسی معکوس کرده است. براساس این گزارش، آنتروپیک به صورت مخفیانه کدی را در نرمافزار خود قرار داده بود تا بررسی کند که آیا کاربران از طریق شبکههای تغییر آیپی و پروکسی به این سرویس متصل شدهاند یا خیر. این کد بهطور ویژه منطقه زمانی سیستم را بررسی میکرد تا متوجه شود آیا کاربر در مناطقی مانند آسیا و شانگهای قرار دارد و آیا به دامنههای شرکتهای هوش مصنوعی چینی متصل است یا نه.

بخش نگرانکننده ماجرا این است که Claude Code نتایج این بررسیها را به صورت یک گزارش معمولی ارسال نمیکرد. در عوض، این ابزار سیگنالهای نامرئی مانند تاریخ و ساعت کامپیوتر کاربر را در متن پرامپت کاربران به سرورهای آنتروپیک منتقل میکرد. این سیگنالها برای کاربران انسانی و حتی خود مدل هوش مصنوعی نامرئی بودند، اما سرورهای آنتروپیک میتوانستند آنها را بخوانند و متوجه شوند که کاربر از چین درحال استفاده از سیستم است.
در پی انتشار این گزارشها، شرکت چینی علیبابا بلافاصله استفاده از Claude Code را در محیطهای کاری خود ممنوع کرد. این شرکت با قراردادن این ابزار در لیست نرمافزارهای پرخطر، به کارمندان خود دستور داد تا از تاریخ دهم ژوئیه، استفاده از این ابزار را متوقف و به جای آن از دستیار برنامهنویسی بومی این شرکت با نام Qoder استفاده کنند.
اگرچه آنتروپیک تاکنون بیانیه رسمی و کاملی دراینباره منتشر نکرده است، اما یکی از مهندسان تیم توسعه Claude Code در ایکس به این ادعاها واکنش نشان داد. او گفت این کد پنهان، صرفاً یک آزمایش بوده که از ماه مارس برای جلوگیری از سوءاستفاده فروشندگان غیرمجاز و محافظت در برابر حملات تقطیر مدل طراحی شده بود. او افزود که تیم توسعهدهنده از مدتی قبل قصد داشت این کد را حذف کند و اکنون در نسخه جدید، این مکانیسم رهگیری پاک شده است.
