Chiński organ regulacyjny branżowy ostrzegł w środę użytkowników o „tylnych drzwiach bezpieczeństwa” wbudowanych w wersje narzędzia kodującego Claude Code amerykańskiej firmy Anthropic, zajmującej się sztuczną inteligencją.
Rzekomy backdoor może pozwolić oprogramowaniu na „przesyłanie poufnych informacji”, w tym lokalizacji użytkowników i identyfikatorów związanych z tożsamością, z powrotem na serwery Anthropic bez zgody użytkowników, twierdzi chińska Krajowa Baza Danych o Podatnościach (NVDB), platforma cyberbezpieczeństwa.
Claude Code to agent kodujący AI, który może generować kod komputerowy, debugować oprogramowanie i przeglądać kod na podstawie podpowiedzi użytkownika.
Startup Anthropic z San Francisco blokuje użytkownikom i firmom w Chinach i innych krajach, które uważa za wrogie, dostęp do swoich produktów, ale nadal można z nich korzystać w tym kraju za pośrednictwem VPN lub zewnętrznych usług proxy.
NVDB, stowarzyszona z chińskim Ministerstwem Przemysłu i Technologii Informacyjnych, podała na swojej stronie internetowej, że niedawno „wykryła, że narzędzie do kodowania sztucznej inteligencji Claude Code zawiera ryzyko backdoora bezpieczeństwa, co stanowi poważne zagrożenie”.
Firma Anthropic nie odpowiedziała na prośby AFP o komentarz w sprawie zarzutów, które po raz pierwszy pojawiły się w zeszłym tygodniu w specjalistycznych mediach technicznych.
NVDB zaleciła odpowiednim instytucjom i użytkownikom „natychmiastowe przeprowadzenie kompleksowej kontroli” oraz „niezwłoczne odinstalowanie lub uaktualnienie do najnowszej bezpiecznej wersji, z której usunięto odpowiedni kod backdoora”.
Wezwał także organizacje do wzmocnienia monitorowania ruchu sieciowego, aby zapobiec nieuprawnionemu wyciekowi wrażliwych danych.
Chiński gigant technologiczny Alibaba powiedział pracownikom w zeszłym tygodniu, że korzystanie z Claude Code zostanie zakazane od 10 lipca ze względów bezpieczeństwa – twierdzą osoby zaznajomione z tą sprawą.
Anthropic już wcześniej oskarżyło Alibabę o inżynierię wsteczną swoich modeli sztucznej inteligencji w celu naśladowania ich zdolności w procesie znanym jako „destylacja”.
Inżynier Claude Code, Thariq Shihipar, w zeszłym tygodniu odpowiedział w poście na X na raporty twierdzące, że narzędzie śledziło określone dane chińskich użytkowników.
„To eksperyment, który rozpoczęliśmy w marcu, a którego celem było zapobieganie nadużyciom kont przez nieautoryzowanych sprzedawców i ochrona przed destylacją” – napisał Shihipar.
„Od tego czasu zespół wprowadził silniejsze rozwiązania łagodzące i właściwie już od jakiegoś czasu chcieliśmy to usunąć… powinno to zostać całkowicie przywrócone w jutrzejszej wersji”.