وزارت صنعت و فناوری اطلاعات چین از طریق پایگاه ملی آسیبپذیریهای امنیتی (NVDB) درباره وجود یک «ریسک جدی درِ پشتی» در نسخههایی از ابزار هوش مصنوعی Claude Code متعلق به شرکت Anthropic هشدار داد. این نهاد مدعی است مکانیزمی در این نرمافزار میتواند بدون اطلاع کاربر برخی اطلاعات را به سرورهای راه دور ارسال کند. Anthropic این ادعا را رد کرده و اعلام کرده است این قابلیت بخشی از یک آزمایش امنیتی برای مقابله با سوءاستفاده و سرقت مدلهای هوش مصنوعی بوده و هیچگاه با هدف ایجاد درِ پشتی طراحی نشده است.
هشدار امنیتی چین درباره Claude Code
وزارت صنعت و فناوری اطلاعات چین (MIIT) از طریق پایگاه ملی آسیبپذیریهای امنیتی (National Vulnerability Database – NVDB) هشدار امنیتی جدیدی درباره ابزار برنامهنویسی مبتنی بر هوش مصنوعی Claude Code منتشر کرد. در این هشدار ادعا شده است برخی نسخههای این نرمافزار دارای یک «ریسک جدی درِ پشتی» هستند که میتواند اطلاعات کاربران را بدون اطلاع آنها به سرورهای راه دور منتقل کند. این هشدار از سازمانها و کاربران خواسته است نسخههای آسیبپذیر را حذف کرده یا به نسخههای جدیدتر ارتقا دهند.
جزئیات ادعای چین
بر اساس اعلام NVDB، مکانیزم مورد اعتراض در نسخههای 2.1.91 تا 2.1.196 Claude Code وجود داشته است. این نهاد مدعی است این قابلیت میتواند اطلاعاتی مانند موقعیت جغرافیایی، شناسههای مرتبط با کاربر و برخی دادههای محیط اجرایی را بدون رضایت کاربر به سرورهای Anthropic ارسال کند. مقامهای چینی این رفتار را یک خطر امنیتی جدی توصیف کردهاند.
پاسخ Anthropic
شرکت Anthropic اعلام کرد آنچه از سوی چین «درِ پشتی» توصیف شده، در واقع یک قابلیت آزمایشی برای مقابله با سوءاستفاده از سرویس، فروش غیرمجاز دسترسی و حملات استخراج دانش (Model Distillation) بوده است. به گفته این شرکت، Claude Code بهطور رسمی برای استفاده در چین عرضه نشده و این مکانیزم تنها بخشی از یک آزمایش ضدسوءاستفاده بوده است. Anthropic همچنین اعلام کرد این قابلیت از نسخههای جدید حذف شده و در آینده در صورت نیاز، هرگونه مکانیزم مشابه بهصورت شفاف و مستند ارائه خواهد شد.
زمینه اختلاف میان Anthropic و شرکتهای چینی
این رخداد در شرایطی روی داده که روابط Anthropic و شرکتهای فناوری چین طی ماههای اخیر با تنش همراه بوده است. Anthropic پیشتر برخی شرکتهای چینی را به استفاده گسترده از حسابهای جعلی برای استخراج خروجی مدلهای هوش مصنوعی و آموزش مدلهای رقیب متهم کرده بود. این شرکت در واکنش، دسترسی بسیاری از کاربران و سازمانهای مستقر در چین را محدود کرد. از سوی دیگر، برخی توسعهدهندگان چینی همچنان از طریق VPN یا واسطههای خارجی از Claude Code استفاده میکنند.
واکنش شرکتهای چینی
پس از انتشار هشدار امنیتی، شرکت Alibaba استفاده از Claude Code را برای کارکنان خود ممنوع کرد و از آنها خواست از ابزارهای داخلی جایگزین استفاده کنند. این اقدام نشاندهنده افزایش نگرانیهای امنیتی و همچنین تشدید رقابت میان شرکتهای هوش مصنوعی چین و ایالات متحده است.
ابعاد امنیتی و فنی
پرونده Claude Code نشان میدهد ابزارهای هوش مصنوعی توسعه نرمافزار به یکی از موضوعات مهم امنیت سایبری و امنیت ملی تبدیل شدهاند. این ابزارها به دلیل دسترسی مستقیم به کدهای منبع، مخازن نرمافزاری، فایلهای پروژه و محیط توسعه، در صورت وجود هرگونه قابلیت ارسال اطلاعات یا مکانیزمهای ناشناخته میتوانند نگرانیهای جدی درباره حفاظت از دادهها، مالکیت فکری و امنیت سازمانی ایجاد کنند. در مقابل، توسعهدهندگان این ابزارها استدلال میکنند که برخی قابلیتهای نظارتی برای مقابله با سوءاستفاده، حملات خودکار و سرقت مدلهای هوش مصنوعی ضروری هستند.
پیامدهای ژئوپلیتیکی
این اختلاف تنها یک موضوع فنی نیست، بلکه بخشی از رقابت گستردهتر میان چین و ایالات متحده در حوزه هوش مصنوعی محسوب میشود. همزمان با اعمال محدودیتهای صادرات تراشههای پیشرفته، محدودیت دسترسی به مدلهای هوش مصنوعی آمریکایی و تلاش چین برای توسعه اکوسیستم بومی AI، موضوع امنیت ابزارهای نرمافزاری نیز به یکی از محورهای اصلی رقابت فناوری میان دو کشور تبدیل شده است. هشدار اخیر چین علیه Claude Code و پاسخ Anthropic نمونهای از افزایش تقابل میان دو قدرت در حوزه امنیت و حاکمیت فناوریهای هوش مصنوعی است.