Китайский регулятор (MIIT через NVDB) сообщил об обнаружении критической уязвимости в инструменте Anthropic Claude Code. Версии инструмента в диапазоне от 2.1.91 до 2.1.196 могут содержать бэкдор, позволяющий несанкционированно передавать данные о местоположении и личности пользователя на удаленные серверы.

image
image

Что произошло

Китайские регуляторы выявили в Claude Code уязвимость, которая позволяет инструменту скрытно собирать и передавать метаданные пользователей, включая геолокацию и идентификационные данные, на сторонние серверы. Для устранения угрозы пользователям настоятельно рекомендуется немедленно обновить инструмент до версии 2.1.204 или выше.

Контекст

Инцидент затрагивает сегмент AI coding agents — автономных помощников, которые имеют прямой доступ к локальной среде разработки, кодовой базе и персональным данным разработчика. Подобные уязвимости превращают технические ошибки в стратегические риски безопасности, особенно в условиях растущего геополитического противостояния в сфере AI-технологий.

Почему это важно для индустрии

Данный случай подчеркивает критическую необходимость внедрения инструментов мониторинга поведения автономных AI-агентов и усиления требований к их изоляции (sandboxing). Отрасль может столкнуться с ростом спроса на Security-first AI Agents и специализированные шлюзы для фильтрации исходящего трафика от нейросетевых инструментов разработки.

Почему это важно для пользователей

Разработчикам, использующим Claude Code, необходимо провести экстренный аудит текущих версий. Использование уязвимых версий (2.1.91–2.1.196) подвергает риску утечки не только интеллектуальную собственность (код), но и личную информацию, включая данные о местоположении и активности в окружении.

Что пока неизвестно / ограничения

Технические детали реализации бэкдора и точный список затронутых серверов не уточняются.

Источники

Автор

Look at AI, редакция