EN
返回资讯列表
工具

Claude Code 安全后门被点名,Bun 百万行代码重写引争议

2026年7月,Anthropic 的 AI 编程工具 Claude Code 接连遭遇安全与信任危机。7月8日,国家信息安全漏洞库(NVDB)发布风险提示,指出 Claude Code 2.1.91 至 2.1.196 版本内置监控机制,未经用户同意向远程服务器回传地域、身份标识等敏感信息,危害严重。此前,阿里巴巴已宣布自7月10日起全面停用 Claude 系列产品。Anthropic 团队成员 Thariq Shihipar 承认该机制是2026年3月启动的“实验性”反滥用措施,针对未授权账户转售和模型蒸馏攻击,并于7月2日的新版本中移除。

安全后门与封禁争议

  • 后门细节:Reddit 开发者逆向工程发现,Claude Code 从2.1.91版起嵌入间谍软件并试图隐藏行为。NVDB 将其列为“危害严重”,建议全面排查。
  • 账户封禁:Anthropic 透明度中心数据显示,2025年下半年封禁145万个账户,5.2万次申诉中仅1700次成功(成功率3.3%)。商务人士 Piero Coen 因使用官方 Google Calendar 集成被封,理由仅为“可疑信号”。开发者 Peter Steinberger 同样因“可疑信号”被封,未获具体违规说明。
  • 行业反应:Meta 已限制工程师使用 Claude Code 和 OpenAI Codex,担忧“非自愿模型蒸馏”导致代码污染,甚至叫停部分项目。

Bun 重写:百万行代码的 AI 实验

  • 事件:Bun 创始人 Jarred Sumner 于2026年5月宣布,使用 Anthropic 的 Claude Fable 5 和 Claude Code,在11天内将 Bun 的百万行代码从 Zig 重写为 Rust,消耗约16.5万美元 API 费用。Bun 是高性能 JavaScript 运行时,2025年12月被 Anthropic 收购。
  • 原因:Zig 版本存在大量内存安全 bug(如 use-after-free),且 Zig 社区对 LLM 生成代码零容忍,Bun 团队依赖 AI 开发,继续使用 Zig 需维护编译器分支。
  • 争议:Zig 创始人 Andrew Kelley 公开批评 Jarred Sumner 的工程习惯,称原代码库“黑客式补丁摞补丁”,AI 重写代码未人工审查,新代码库残留2.7万行 unsafe 代码块。部分开发者担忧未来维护成本,也有人认为 AI 将开发成本压缩至十分之一、时间从一年减至两周,是里程碑式实验。

影响与反思

  • 安全信任危机:Claude Code 后门事件暴露了 AI 工具在安全与隐私上的隐患,引发行业对“以安全之名行监控之实”的质疑。Anthropic 的封禁机制误报率高,进一步损害用户信任。
  • AI 编程范式:Bun 重写案例展示了 AI 在大型代码库重构中的潜力与风险。技术债、代码可维护性、社区文化冲突成为焦点,其长期影响尚待观察。
2026年7月11日来源:综合整理

延伸阅读

想深入了解该主题,查看站内相关教程与解析。

查看相关主题