چین به Claude Code هشدار امنیتی داد؛ ادعای وجود «در پشتی» در ابزار آنتروپیک

سازمان امنیت سایبری چین درباره وجود یک در پشتی در ابزار Claude Code هشدار داد.

به گزارش خبرگزاری خبرآنلاین و براساس گزارش دیجیاتو، سازمان‌های نظارت بر امنیت سایبری در چین به تازگی یک هشدار جدی درباره ابزار برنامه‌نویسی هوش مصنوعی شرکت آمریکایی آنتروپیک صادر کردند. براساس بیانیه پایگاه ملی داده‌های آسیب‌پذیری چین (NVDB) که توسط وزارت صنعت و فناوری اطلاعات این کشور اداره می‌شود، نرم‌افزار Claude Code دارای یک آسیب‌پذیری امنیتی یا به اصطلاح در پشتی (Backdoor) است. این نهاد دولتی هشدار داده است که ابزار یادشده با استفاده از یک مکانیسم نظارتی داخلی، اطلاعات حساسی مانند موقعیت جغرافیایی و شناسه‌های هویتی کاربران را بدون دریافت رضایت آن‌ها به سرورهای خارجی منتقل می‌کند.

به گزارش وال‌استریت‌ژورنال، در بیانیه رسمی این نهاد امنیتی آمده است که این مکانیسم پنهان می‌تواند یک تهدید جدی برای امنیت شبکه‌ها باشد. نسخه‌هایی که تحت تأثیر این کد مخرب قرار گرفته‌اند، شامل نسخه‌های ۲.۱.۹۱ تا ۲.۱.۱۹۶ هستند که تمام به‌روزرسانی‌های منتشرشده بین ماه‌های آوریل تا ژوئن سال جاری میلادی را در بر می‌گیرند.

پایگاه ملی داده‌های آسیب‌پذیری از تمامی سازمان‌ها و کاربران چین درخواست کرده است تا سیستم‌های خود را به دقت بررسی کنند و این نسخه‌های آلوده را حذف کنند یا به جدیدترین نسخه ایمن ارتقا دهند. این نهاد همچنین به شرکت‌ها توصیه کرده است تا کنترل‌های سخت‌گیرانه‌تری روی دسترسی ابزارهای توسعه‌دهنده به شبکه‌های خارجی اعمال کنند و نظارت بر ترافیک شبکه‌های تجاری اصلی خود را برای جلوگیری از انتقال غیرمجاز داده‌های حساس افزایش دهند.

هشدار چین درباره در پشتی Claude Code

جنجال بر سر این آسیب‌پذیری از هفته گذشته و زمانی آغاز شد که یک کاربر در ردیت ادعا کرد که کدهای این نرم‌افزار را مهندسی معکوس کرده است. براساس این گزارش، آنتروپیک به صورت مخفیانه کدی را در نرم‌افزار خود قرار داده بود تا بررسی کند که آیا کاربران از طریق شبکه‌های تغییر آی‌پی و پروکسی به این سرویس متصل شده‌اند یا خیر. این کد به‌طور ویژه منطقه زمانی سیستم را بررسی می‌کرد تا متوجه شود آیا کاربر در مناطقی مانند آسیا و شانگهای قرار دارد و آیا به دامنه‌های شرکت‌های هوش مصنوعی چینی متصل است یا نه.

بخش نگران‌کننده ماجرا این است که Claude Code نتایج این بررسی‌ها را به صورت یک گزارش معمولی ارسال نمی‌کرد. در عوض، این ابزار سیگنال‌های نامرئی مانند تاریخ و ساعت کامپیوتر کاربر را در متن پرامپت کاربران به سرورهای آنتروپیک منتقل می‌کرد. این سیگنال‌ها برای کاربران انسانی و حتی خود مدل هوش مصنوعی نامرئی بودند، اما سرورهای آنتروپیک می‌توانستند آن‌ها را بخوانند و متوجه شوند که کاربر از چین درحال استفاده از سیستم است.

در پی انتشار این گزارش‌ها، شرکت چینی علی‌بابا بلافاصله استفاده از Claude Code را در محیط‌های کاری خود ممنوع کرد. این شرکت با قراردادن این ابزار در لیست نرم‌افزارهای پرخطر، به کارمندان خود دستور داد تا از تاریخ دهم ژوئیه، استفاده از این ابزار را متوقف و به جای آن از دستیار برنامه‌نویسی بومی این شرکت با نام Qoder استفاده کنند.

اگرچه آنتروپیک تاکنون بیانیه رسمی و کاملی دراین‌باره منتشر نکرده است، اما یکی از مهندسان تیم توسعه Claude Code در ایکس به این ادعاها واکنش نشان داد. او گفت این کد پنهان، صرفاً یک آزمایش بوده که از ماه مارس برای جلوگیری از سوءاستفاده فروشندگان غیرمجاز و محافظت در برابر حملات تقطیر مدل طراحی شده بود. او افزود که تیم توسعه‌دهنده از مدتی قبل قصد داشت این کد را حذف کند و اکنون در نسخه جدید، این مکانیسم رهگیری پاک شده است.

۲۲۷۲۲۷

کد مطلب 2243730

برچسب‌ها

خدمات گردشگری

نظر شما

شما در حال پاسخ به نظر «» هستید.
2 + 1 =

آخرین اخبار