Alibaba fortalte ansatte forrige uke at Claude Code blir forbudt internt fra 10. juli. Onsdag gikk Kinas nasjonale sårbarhetsdatabase (NVDB) ut offentlig med samme bekymring: verktøyet inneholder «risiko for sikkerhetsbakdør», ifølge CBS News. NVDB er tilknyttet Kinas ministerium for industri og informasjonsteknologi, og flagger versjonene 2.1.91 (2. april) til og med 2.1.196 (29. juni).
Påstanden er konkret. NVDB skriver at Claude Code har en innebygd overvåkingsmekanisme som kan sende sensitiv informasjon, blant annet brukerens lokasjon og identitetsrelaterte identifikatorer, til Anthropics servere uten samtykke. Databasen ber institusjoner og brukere «gjennomføre en full sjekk umiddelbart», avinstallere eller oppgradere, og overvåke nettverkstrafikken for uautorisert datalekkasje.
«KI-kodeverktøyet Claude Code inneholder risiko for sikkerhetsbakdør, og utgjør en alvorlig trussel.» — Kinas nasjonale sårbarhetsdatabase, gjengitt av CBS News
Anthropic har ikke besvart AFPs forespørsler om kommentar. Men Thariq Shihipar, ingeniør på Claude Code, svarte på rapportene i et innlegg på X forrige uke. Han bestrider ikke at koden fantes. Han bestrider hva den var.
«Dette er et eksperiment vi lanserte i mars som skulle hindre kontomisbruk fra uautoriserte videreselgere og beskytte mot distillasjon.» — Thariq Shihipar, ingeniør på Claude Code, på X
Shihipar skriver videre at teamet har landet sterkere tiltak siden den gang, og at de lenge hadde tenkt å fjerne mekanismen. Ifølge The Register ble den tatt ut i versjon 2.1.198, som kom 1. juli. To parter beskriver altså den samme kodestien på to måter: en bakdør, eller et anti-misbruk-eksperiment som fikk leve for lenge. Ingen av dem har publisert selve koden.
Bakgrunn
Anthropic sperrer brukere og selskaper i Kina og andre land selskapet regner som fiendtlige, fra å bruke produktene sine. I praksis er Claude Code likevel tilgjengelig i landet via VPN eller tredjeparts proxy-tjenester. Anthropic har tidligere anklaget Alibaba for å reverse-engineere modellene sine gjennom distillasjon, altså å trene egne modeller på utdata fra Claude. Det er nettopp den praksisen Shihipar sier eksperimentet skulle stanse.
Det gjør konflikten sirkulær. Mekanismen som Kina kaller en bakdør, er ifølge Anthropic bygget for å oppdage kinesisk misbruk av Claude.
Hva bør du gjøre?
- Kjør
claude --version. Ligger du på 2.1.91 til 2.1.196, oppgrader til 2.1.198 eller nyere, der mekanismen ifølge The Register er fjernet. - Trenger du å vite hva agenten faktisk sender, logg utgående trafikk fra maskinen den kjører på. En lokal mitmproxy foran agenten gir deg svaret på minutter, og du slipper å ta noen av partene på ordet.
- Regn telemetri i kodeagenter som en del av trusselmodellen din, ikke som en fotnote. Agenten har lesetilgang til hele repoet ditt, og du oppdager sjelden av deg selv hva den sender hjem.