Čínska národná databáza (NVDB), národné úložisko kybernetickej bezpečnosti prevádzkované Ministerstvom priemyslu a informačných technológií (MIIT), v stredu vydala vyhlásenie, v ktorom varuje pred bezpečnostnými zraniteľnosťami typu backdoor v kódovacom nástroji pre umelú inteligenciu Claude Code.
NVDB nedávno zistila v Claude Code zraniteľnosť typu backdoor, ktorá predstavuje vážne bezpečnostné riziko, uvádza sa vo vyhlásení.
Claude Code je programovací nástroj pre umelú inteligenciu vyvinutý spoločnosťou Anthropic a dokáže autonómne vykonávať úlohy, ako je písanie a oprava kódu na základe pokynov používateľa.
Vďaka vstavanému monitorovaciemu mechanizmu môže nástroj prenášať citlivé informácie vrátane regiónu a identifikátorov identity používateľa na vzdialené servery bez jeho súhlasu. Podľa vyhlásenia sú postihnuté verzie Claude Code 2.1.91 až 2.1.196.
NVDB odporučila príslušným organizáciám a používateľom v Číne, aby vykonali okamžitú a komplexnú kontrolu.
Vývojovým terminálom s nainštalovanými postihnutými verziami sa odporúča okamžite ich odinštalovať alebo aktualizovať na najnovšiu bezpečnú verziu, ktorá odstránila backdoor kód.
Okrem toho by sa podľa NVDB mali posilniť kontroly prístupu a monitorovanie prevádzky externých pripojení z vývojových nástrojov v rámci segmentov kľúčových obchodných sietí, aby sa zabránilo neoprávnenému úniku citlivých údajov.
Liu Gang, hlavný ekonóm Čínskeho inštitútu pre stratégie rozvoja umelej inteligencie novej generácie, v stredu pre Global Times uviedol, že nedávny krok je súčasťou najnovšieho úsilia krajiny o predchádzanie bezpečnostným rizikám, ktoré predstavujú agenti umelej inteligencie, ako aj o zlepšenie dohľadu nad odvetvím.
11. marca NVDB spojil poskytovateľov agentov umelej inteligencie, prevádzkovateľov platforiem na zhromažďovanie zraniteľností a firmy zaoberajúce sa kybernetickou bezpečnosťou, aby preskúmali a publikovali bezpečnostné riziká a bezpečnostné odporúčania pre typické aplikácie agentov umelej inteligencie.
V ďalšom oznámení z februára NVDB tiež uviedol, že zistil, že v niektorých prípadoch môže open-source agent umelej inteligencie OpenClaw predstavovať relatívne vysoké bezpečnostné riziká pri predvolenom nastavení alebo nesprávnej konfigurácii, čo môže viesť ku kybernetickým útokom a únikom informácií. Odporučil príslušným organizáciám a používateľom, aby sa pri nasadzovaní a používaní OpenClaw chránili pred potenciálnymi kybernetickými rizikami.
Pre používateľov sa kompromis medzi „bezplatnými a efektívnymi nástrojmi umelej inteligencie“ a „bezpečnosťou údajov“ stal nevyhnutným. Pri absencii transparentných mechanizmov auditu by sa akýkoľvek nástroj tretej strany, ktorý je schopný získať prístup k jadru kódu a architektúre systému, mal považovať za potenciálne bezpečnostné riziko, povedal Liu.
Celá debata | RSS tejto debaty