چین درباره «درِ پشتی» احتمالی در ابزار Claude Code شرکت Anthropic هشدار امنیتی صادر کرد

امیر شادمان 22 تیر 1405

وزارت صنعت و فناوری اطلاعات چین از طریق پایگاه ملی آسیب‌پذیری‌های امنیتی (NVDB) درباره وجود یک «ریسک جدی درِ پشتی» در نسخه‌هایی از ابزار هوش مصنوعی Claude Code متعلق به شرکت Anthropic هشدار داد. این نهاد مدعی است مکانیزمی در این نرم‌افزار می‌تواند بدون اطلاع کاربر برخی اطلاعات را به سرورهای راه دور ارسال کند. Anthropic این ادعا را رد کرده و اعلام کرده است این قابلیت بخشی از یک آزمایش امنیتی برای مقابله با سوءاستفاده و سرقت مدل‌های هوش مصنوعی بوده و هیچ‌گاه با هدف ایجاد درِ پشتی طراحی نشده است.

هشدار امنیتی چین درباره Claude Code

وزارت صنعت و فناوری اطلاعات چین (MIIT) از طریق پایگاه ملی آسیب‌پذیری‌های امنیتی (National Vulnerability Database – NVDB) هشدار امنیتی جدیدی درباره ابزار برنامه‌نویسی مبتنی بر هوش مصنوعی Claude Code منتشر کرد. در این هشدار ادعا شده است برخی نسخه‌های این نرم‌افزار دارای یک «ریسک جدی درِ پشتی» هستند که می‌تواند اطلاعات کاربران را بدون اطلاع آن‌ها به سرورهای راه دور منتقل کند. این هشدار از سازمان‌ها و کاربران خواسته است نسخه‌های آسیب‌پذیر را حذف کرده یا به نسخه‌های جدیدتر ارتقا دهند.

جزئیات ادعای چین

بر اساس اعلام NVDB، مکانیزم مورد اعتراض در نسخه‌های 2.1.91 تا 2.1.196 Claude Code وجود داشته است. این نهاد مدعی است این قابلیت می‌تواند اطلاعاتی مانند موقعیت جغرافیایی، شناسه‌های مرتبط با کاربر و برخی داده‌های محیط اجرایی را بدون رضایت کاربر به سرورهای Anthropic ارسال کند. مقام‌های چینی این رفتار را یک خطر امنیتی جدی توصیف کرده‌اند.

پاسخ Anthropic

شرکت Anthropic اعلام کرد آنچه از سوی چین «درِ پشتی» توصیف شده، در واقع یک قابلیت آزمایشی برای مقابله با سوءاستفاده از سرویس، فروش غیرمجاز دسترسی و حملات استخراج دانش (Model Distillation) بوده است. به گفته این شرکت، Claude Code به‌طور رسمی برای استفاده در چین عرضه نشده و این مکانیزم تنها بخشی از یک آزمایش ضدسوءاستفاده بوده است. Anthropic همچنین اعلام کرد این قابلیت از نسخه‌های جدید حذف شده و در آینده در صورت نیاز، هرگونه مکانیزم مشابه به‌صورت شفاف و مستند ارائه خواهد شد.

زمینه اختلاف میان Anthropic و شرکت‌های چینی

این رخداد در شرایطی روی داده که روابط Anthropic و شرکت‌های فناوری چین طی ماه‌های اخیر با تنش همراه بوده است. Anthropic پیش‌تر برخی شرکت‌های چینی را به استفاده گسترده از حساب‌های جعلی برای استخراج خروجی مدل‌های هوش مصنوعی و آموزش مدل‌های رقیب متهم کرده بود. این شرکت در واکنش، دسترسی بسیاری از کاربران و سازمان‌های مستقر در چین را محدود کرد. از سوی دیگر، برخی توسعه‌دهندگان چینی همچنان از طریق VPN یا واسطه‌های خارجی از Claude Code استفاده می‌کنند.

واکنش شرکت‌های چینی

پس از انتشار هشدار امنیتی، شرکت Alibaba استفاده از Claude Code را برای کارکنان خود ممنوع کرد و از آن‌ها خواست از ابزارهای داخلی جایگزین استفاده کنند. این اقدام نشان‌دهنده افزایش نگرانی‌های امنیتی و همچنین تشدید رقابت میان شرکت‌های هوش مصنوعی چین و ایالات متحده است.

ابعاد امنیتی و فنی

پرونده Claude Code نشان می‌دهد ابزارهای هوش مصنوعی توسعه نرم‌افزار به یکی از موضوعات مهم امنیت سایبری و امنیت ملی تبدیل شده‌اند. این ابزارها به دلیل دسترسی مستقیم به کدهای منبع، مخازن نرم‌افزاری، فایل‌های پروژه و محیط توسعه، در صورت وجود هرگونه قابلیت ارسال اطلاعات یا مکانیزم‌های ناشناخته می‌توانند نگرانی‌های جدی درباره حفاظت از داده‌ها، مالکیت فکری و امنیت سازمانی ایجاد کنند. در مقابل، توسعه‌دهندگان این ابزارها استدلال می‌کنند که برخی قابلیت‌های نظارتی برای مقابله با سوءاستفاده، حملات خودکار و سرقت مدل‌های هوش مصنوعی ضروری هستند.

پیامدهای ژئوپلیتیکی

این اختلاف تنها یک موضوع فنی نیست، بلکه بخشی از رقابت گسترده‌تر میان چین و ایالات متحده در حوزه هوش مصنوعی محسوب می‌شود. هم‌زمان با اعمال محدودیت‌های صادرات تراشه‌های پیشرفته، محدودیت دسترسی به مدل‌های هوش مصنوعی آمریکایی و تلاش چین برای توسعه اکوسیستم بومی AI، موضوع امنیت ابزارهای نرم‌افزاری نیز به یکی از محورهای اصلی رقابت فناوری میان دو کشور تبدیل شده است. هشدار اخیر چین علیه Claude Code و پاسخ Anthropic نمونه‌ای از افزایش تقابل میان دو قدرت در حوزه امنیت و حاکمیت فناوری‌های هوش مصنوعی است.

منبع

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *