中国、AnthropicのAIコーディングツールに「セキュリティバックドア」と警告
中国の国家脆弱性データベースは、AnthropicのClaude Code AIコーディングツールにセキュリティバックドアが存在し、ユーザーの同意なしに機密情報をAnthropicのサーバーに送信する可能性があると警告した。NVDBはユーザーに直ちにアンインストールまたは最新のセキュアバージョンへのアップグレードを推奨している。
中国国家脆弱性データベース(NVDB)は水曜日、米国のAI企業Anthropicが開発したコーディングツール「Claude Code」に「セキュリティバックドア」が埋め込まれていると警告した。NVDBは中国工業情報化省の管轄下にあり、公式声明で、最近の調査でClaude Codeに深刻なセキュリティバックドアのリスクが検出されたと発表した。このバックドアにより、ユーザーの位置情報や身元識別子などの機密データが、ユーザーの同意なくAnthropicのサーバーに送信される可能性があるという。Claude CodeはAIを活用したコーディングエージェントで、ユーザーの指示に基づいてコードの生成、デバッグ、レビューを実行する。Anthropicは中国を含む敵対国とみなす国々からのアクセスをブロックしているが、VPNやサードパーティのプロキシサービスを介して中国国内でも使用可能である。NVDBは関連機関とユーザーに対し、直ちに包括的なチェックを実施し、旧バージョンをアンインストールするか、バックドアコードが除去された最新のセキュアバージョンにアップグレードするよう勧告した。さらに、機密データの不正流出を防ぐためにネットワークトラフィック監視の強化を求めた。この警告に先立ち、中国のテクノロジー大手アリババは、セキュリティ上の懸念から7月10日よりClaude Codeの使用を禁止することを従業員に通知した。Anthropicは以前、アリババが「蒸留」と呼ばれる手法で自社のAIモデルをリバースエンジニアリングし、機能を模倣したと非難している。これに対し、Claude CodeのエンジニアThariq Shihipar氏はXへの投稿で、この機能は3月に開始した実験であり、不正な再販業者によるアカウント悪用と蒸留攻撃を防ぐためのものだったと説明した。同氏は、その後チームはより強力な緩和策を導入し、以前からこの機能の削除を検討しており、翌日のリリースで完全にロールバックされる予定だと述べた。AnthropicはAFPのコメント要請にまだ応じていない。