Back to Explore
Trung Quốc cảnh báo lập trình viên gỡ bỏ Claude Code do lo ngại 'mã cửa sau' (backdoor)

Trung Quốc cảnh báo lập trình viên gỡ bỏ Claude Code do lo ngại 'mã cửa sau' (backdoor)

Cơ quan an ninh mạng Trung Quốc (CNVDB) vừa đưa ra cảnh báo khẩn cấp yêu cầu các nhà phát triển gỡ bỏ hoặc cập nhật các phiên bản Claude Code cũ, do phát hiện cơ chế giám sát có khả năng thu thập và gửi dữ liệu người dùng về máy chủ từ xa.

Website
Upvote this postSign in to upvote this article.

Bài viết được dịch và tổng hợp từ tin tức gốc. Bạn có thể đọc bài viết gốc bằng tiếng Anh tại đây.

Điểm tin nhanh:

  • Cơ quan an ninh mạng Trung Quốc (CNVDB) phát hiện "cơ chế giám sát" trong Claude Code có khả năng thu thập dữ liệu định danh và vị trí người dùng.
  • Các phiên bản từ 2.1.91 đến 2.1.196 bị liệt vào danh sách rủi ro và cần được gỡ bỏ hoặc cập nhật ngay lập tức.
  • Anthropic xác nhận đây là một phần của thử nghiệm chống lại việc trích xuất mô hình (model distillation) và đã gỡ bỏ trong phiên bản 2.1.198.

Cảnh báo an ninh mạng: Claude Code và nghi vấn "Backdoor"

Cộng đồng lập trình viên tại Trung Quốc đang đối mặt với một vấn đề bảo mật nghiêm trọng liên quan đến công cụ hỗ trợ lập trình Claude Code. Cơ quan quản lý lỗ hổng bảo mật quốc gia của Trung Quốc (CNVDB) đã chính thức đưa ra khuyến cáo yêu cầu các đơn vị và cá nhân lập trình viên phải gỡ bỏ hoặc nâng cấp ngay lập tức các phiên bản cụ thể của công cụ này.

Theo báo cáo, một "cơ chế giám sát tích hợp" đã được phát hiện trong phần mềm, cho phép thu thập các thông tin nhạy cảm như vị trí địa lý và định danh người dùng, sau đó truyền tải dữ liệu này về các máy chủ từ xa mà không có sự đồng ý rõ ràng. Đây là một vấn đề bảo mật nghiêm trọng, đặc biệt khi các doanh nghiệp đang ngày càng chú trọng đến Context Engineering: Giải pháp tối ưu hóa trí tuệ nhân tạo cho đội ngũ phát triển phần mềm.

Các phiên bản bị ảnh hưởng và hành động cần thiết

CNVDB đã liệt kê cụ thể các phiên bản bị ảnh hưởng bởi "mã cửa sau" (backdoor code) này. Người dùng cần kiểm tra kỹ phiên bản Claude Code đang sử dụng trên môi trường phát triển của mình.

Phiên bản Claude Code Trạng thái Hành động khuyến nghị
2.1.91 (02/04/2026) Bị ảnh hưởng Gỡ bỏ hoặc cập nhật
2.1.92 - 2.1.195 Bị ảnh hưởng Gỡ bỏ hoặc cập nhật
2.1.196 (29/06/2026) Bị ảnh hưởng Gỡ bỏ hoặc cập nhật
2.1.198 trở lên An toàn Tiếp tục sử dụng

Sơ đồ luồng dữ liệu nghi vấn (ASCII Art)

[Người dùng] ➔ [Claude Code (v2.1.91 - 2.1.196)] ➔ [Cơ chế giám sát ẩn]
                                                       │
                                                       ▼
[Máy chủ Anthropic] ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ ⬅ [Truyền dữ liệu nhạy cảm]

Phản hồi từ Anthropic và bối cảnh kỹ thuật

Phía kỹ sư của Anthropic, Thariq Shihipar, đã lên tiếng giải thích rằng đây không phải là một mã độc truyền thống, mà là một thử nghiệm được triển khai từ tháng 3 năm 2026 nhằm ngăn chặn quá trình "model distillation" – kỹ thuật mà các công ty AI khác sử dụng để trích xuất tri thức từ các mô hình tiên tiến hơn.

Tuy nhiên, việc thiếu minh bạch trong các tài liệu điều khoản dịch vụ (ToS) đã khiến mối quan hệ giữa Anthropic và các tổ chức công nghệ tại Trung Quốc trở nên căng thẳng. Trước đó, tập đoàn Alibaba cũng đã cấm nhân viên sử dụng Claude do lo ngại về bảo mật dữ liệu. Đối với các nhà phát triển đang tìm kiếm các giải pháp thay thế an toàn hơn hoặc muốn tự xây dựng hệ thống kiểm soát AI, việc tham khảo các tiêu chuẩn bảo mật như OpenAI ra mắt gpt-oss-safeguard: Bước tiến mới trong việc kiểm soát an toàn mô hình AI cho lập trình viên là vô cùng cần thiết.

Khuyến nghị cho lập trình viên

Để đảm bảo an toàn cho hạ tầng phát triển, các kỹ sư cần thực hiện các bước sau:

  1. Kiểm tra phiên bản: Chạy lệnh kiểm tra phiên bản Claude Code hiện tại.
  2. Cập nhật: Nâng cấp lên phiên bản 2.1.198 hoặc mới hơn (đã loại bỏ cơ chế steganography).
  3. Giám sát lưu lượng: Thiết lập kiểm soát quyền truy cập ngoại vi và giám sát lưu lượng mạng tại các phân đoạn mạng doanh nghiệp cốt lõi để ngăn chặn việc truyền tải dữ liệu trái phép.

Việc tuân thủ các quy định bảo mật không chỉ giúp bảo vệ dữ liệu cá nhân mà còn đảm bảo sự ổn định cho toàn bộ quy trình CI/CD của doanh nghiệp.

Discussion (0)

You need to log in to post comments. Log In

No comments yet. Start the discussion!

Do you like this post?

Upvote to push this post higher on the community feed

Details

Posted by: @admin
Categories: Security
Date posted: 8 tháng 7, 2026