隠蔽フィンガープリント · v2.1.91–2.1.196 · NVDB 7月8日警告 · Alibaba禁止 · バージョン確認ガイド
Claude Codeを使っているなら、今すぐclaude --versionを実行してください。バージョン2.1.91から2.1.196には、システムプロンプト内のステガノグラフィでプロキシ利用者を密かにフィンガープリントする未開示コードが同梱されていました。2026年7月8日、中国の国家脆弱性データベース(NVDB)が重大なバックドアリスクと公式警告を発出しました。Alibabaは7月10日から全社禁止を実施します。本記事では隠蔽トラッキングの仕組み、実際に影響を受けるユーザー、Anthropicの説明、確認・アップグレード・アンインストールの手順を解説します。
要約:影響範囲はv2.1.91(4月2日)~v2.1.196(6月29日)。v2.1.197以降で修正済みです。ANTHROPIC_BASE_URLが非公式プロキシを指す場合にのみ発動し、公式API利用者は影響を受けません。Anthropicは蒸留対策実験と説明し、NVDBはバックドアと分類しました。直ちにアップグレードし、企業は外向き通信を監査してください。
隠蔽機構は全ユーザーを監視していたわけではありません。ANTHROPIC_BASE_URL環境変数が非公式エンドポイント(企業ゲートウェイ、第三者プロキシ、API再販業者)を指す場合にのみ発動しました。
| ユーザープロファイル | ANTHROPIC_BASE_URL | 発動 | 対応 |
|---|---|---|---|
| 公式API利用者 | 未設定またはapi.anthropic.com | なし | 2.1.197以降へアップグレード |
| 企業ゲートウェイ利用者 | カスタムプロキシ | あり(影響バージョンの場合) | アップグレード+通信監査 |
| API再販利用者 | 第三者ドメイン | あり(147ルールブラックリスト) | アップグレード+コンプライアンス確認 |
| バージョン区分 | 番号 | 日付 | 状態 |
|---|---|---|---|
| 最初の影響版 | v2.1.91 | 2026-04-02 | 脆弱 |
| 最後の影響版 | v2.1.196 | 2026-06-29 | 脆弱 |
| 修正版 | v2.1.197 / 2.1.198 | 2026-07-01/02 | 安全 |
プロキシエンドポイントリスク:内部ゲートウェイ経由でClaudeを利用するチームでは、ホスト名が147件のXOR(key=91)難読化ブラックリストと照合されました。Alibaba、Baidu、ByteDance、DeepSeek、Moonshot、Zhipu、MiniMax、既知の再販業者が含まれます。
約3か月間未開示:2026年4月から6月にかけて約20リリースにわたり、変更履歴への言及ゼロで存続しました。これが信頼侵害の核心です。
高権限ツール:Claude Codeはファイルシステムの読み書きとシェル実行権限を持ちます。このようなツールでの隠蔽挙動は、通常のテレメトリとは一線を画します。
Claude CodeはAnthropicのターミナル型AIコーディングエージェントです。流れは次のとおりです。Anthropicが検出コードを静かに組み込む → 開発者がリバースエンジニアリングで暴露 → Anthropicが謝罪してロールバック → Alibabaが禁止 → 中国NVDBが重大バックドアリスクと分類しました。
2026年:Anthropicが蒸留対策技術(分類器、行動フィンガープリント)への投資を公表しました。
2026年:Claude Code内部に隠蔽検出コードが同梱され、公開開示はありませんでした。
2026年:v2.1.91がリリースされ、配布物に検出コードが含まれました。
2026年:RedditユーザーLegitMichel777がステガノグラフィを暴露。Therealloが技術分析を公開。Adnane KhanがGitHubでv2.1.193/195/196を検証しました。
2026年:エンジニアThariq ShihiparがXで3月の「不正再販と蒸留対策実験」だったと認め、翌日のロールバックを約束しました。
2026年:v2.1.197がコードを削除しましたが、変更履歴には記載がありませんでした。
2026年:ReutersとTechCrunchが、Alibabaが7月10日からClaude Codeを禁止し社内ツールQoderへ移行すると報じました。
2026年:中国NVDBが公式警告を発出。内蔵監視機構がユーザー同意なく位置情報および身元関連識別子を送信するとし、重大なバックドアリスクと分類しました。
技術コミュニティがステガノグラフィという語を使う理由がここにあります。別途の報告チャネルはなく、ツールがシステムプロンプト自体を改ざんしていました。セキュリティ研究者Adnane Khanは「システムプロンプトに埋め込まれた隠れ情報チャネル」と定義しました。
トリガー:ANTHROPIC_BASE_URLが非公式エンドポイントを指す場合に発動します。
環境偵察:タイムゾーンがAsia/ShanghaiまたはAsia/Urumqiかを確認し、プロキシホスト名を147件のXOR(key=91)+Base64難読化ブラックリストと照合します。
隠蔽エンコード:中国タイムゾーン検出時は日付区切りが2026-06-30から2026/06/30に変わります。Today's date isのアポストロフィが視覚的に同一のUnicode(U+0027、U+2019、U+02BC、U+02B9)間で切り替わり、3つのブールフラグをエンコードします。通常の英文に見える1文に約3ビットの環境データが隠されていました。
| 検出条件 | 日付形式 | アポストロフィ | Unicode |
|---|---|---|---|
| デフォルト | 2026-06-30 | 標準ASCII | U+0027 |
| 中国系ドメイン一致 | 2026-06-30 | 右シングルクォート | U+2019 |
| AIラボキーワード一致 | 2026-06-30 | 修飾文字アポストロフィ | U+02BC |
| 両方一致 | 2026-06-30 | 修飾文字プライム | U+02B9 |
| 中国タイムゾーン検出時 | 2026/06/30 | (上記と同様) | Asia/Shanghai · Asia/Urumqi |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
争点はデータ収集そのものではなく、開示なく、ステガノグラフィで、特定地域と商業ライバルを標的にしたことです。
Claude CodeチームのThariq Shihipar氏(X):「これは3月に開始した実験で、不正再販業者によるアカウント悪用防止と蒸留対策を目的としていました。チームはそれ以来より強力な緩和策を実装しており、削除を検討していました……明日のリリースで完全にロールバックされる予定です。」
| 情報源 | フレーミング | 角度 |
|---|---|---|
| NVDB / 中国規制当局 | セキュリティバックドアリスク / 重大脅威 | コンプライアンスとデータ流出 |
| CNBC / Reuters | 内蔵監視機構 | 中立的規制報道と企業への波及 |
| The Register | 隠蔽コード / 秘密のステガノグラフィ | 技術的説明責任 |
| Ars Technica | スパイウェア的トラッキング | 信頼危機 |
| Cybernews | 「大したことない」(一部開発者) | 過剰反応;標準的蒸留対策エンジニアリング |
| Anthropic | 未開示の実験 | 正当な不正利用防止目的 |
重要なニュアンス:公開報道では、ユーザーデータ侵害や直接的な金銭被害は確認されていません。文書化されたリスクは未開示の監視挙動とコンプライアンス暴露、およびフラグ付けされたプロキシ利用者のアカウント停止リスクです。
SCMPとArs Technicaによると、Alibaba社内通知には「Claude Codeにバックドアリスクが発見されたため……セキュリティ脆弱性を持つ高リスクソフトウェアリストに追加」と記載されていました。2026年7月10日からClaude CodeおよびAnthropicモデル製品(Sonnet、Opus、Fable)を全面禁止し、社員を社内プラットフォームQoderへ移行させます。
Anthropicは以前、米国上院銀行委員会に対し、AlibabaのQwenチームが約25,000の不正アカウントで2,880万回のインタラクションを生成しClaude能力を蒸留したと証言しました。2026年2月の北京大学・中国科学院の論文は、主要中国モデルに蒸留痕跡があると報告しました。Claude Opus 4.8はテストで自らをQwen/DeepSeekと誤認する事例もあり、Anthropicの中国ユーザー向けフィンガープリントは特に配慮に欠ける文脈を持ちます。これがAnthropicが隠蔽検出を構築した広範な背景です。
バージョン確認:claude --versionを実行し、2.1.91–2.1.196なら直ちに対応します。
プロキシ確認:echo $ANTHROPIC_BASE_URLで非公式エンドポイント設定の有無を確認します。
アップグレード:npm install -g @anthropic-ai/claude-code@latestまたはclaude updateを実行します。
完全アンインストール(任意):macOS/Linuxでは~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-codeを削除します。
企業外向き通信監査:開発マシンから不正AIサービスエンドポイントをスキャンし、NVDBガイダンスに沿って外向き通信制御を実装します。
代替案の評価:コンプライアンス要件に応じてQoder、Cursor、Codex CLI、またはセルフホストエージェントを検討します。
stringsでは発見できませんでした。個人ノートPC上でClaude Codeと本番APIキーを混在させると、権限境界が曖昧になり、外向き通信の監査可能性も低くなります。本番レベルのiOS CI/CDとAIエージェント自動化には、VpsMesh Mac Mini クラウドレンタルが隔離された専用macOSノード、rootレベル制御、24時間稼働を提供し、個人デスクトップの混在利用より安定した選択肢となります。
結論:Anthropicはv2.1.197以降でコードを削除しました。信頼が回復するかは読者次第です。技術コミュニティの一部は標準的蒸留対策エンジニアリングとして過剰反応と見なし、規制当局と企業は未開示バックドアリスクとして深刻視しています。いずれにせよアップグレードは必須です。継続利用はコンプライアンス方針で判断してください。
免責事項:本記事は公開されているNVDB報告、Anthropic声明、独立セキュリティ研究に基づく情報提供です。法的助言やセキュリティ監査の代替ではありません。
v2.1.91–2.1.196では未開示のステガノグラフィ・フィンガープリントが同梱されていました。NVDBはバックドアリスクと分類し、Anthropicは蒸留対策実験と説明してv2.1.197で削除しました。
v2.1.91(2026年4月2日)からv2.1.196(2026年6月29日)までです。v2.1.197以降へアップグレードしてください。
いいえ。隠蔽フィンガープリントはANTHROPIC_BASE_URLが非公式プロキシやゲートウェイを指す場合にのみ発動しました。
ターミナルでclaude --versionを実行するか、npm経由の場合はnpm list -g @anthropic-ai/claude-codeを実行します。
影響バージョンなら直ちにアップグレードしてください。コンプライアンス要件のある企業は追加でアンインストールと外向き通信監査を検討します。隔離開発環境についてはMac Mini M4 レンタル料金をご覧ください。
システムプロンプトの日付区切りを改変し、視覚的に同一のUnicodeアポストロフィを切り替えてタイムゾーンとプロキシドメイン一致信号をエンコードしていました。
バックドア報道を受け高リスクソフトウェアと分類し、2026年7月10日から社内ツールQoderへの移行を指示しました。
いいえ。影響を受けた全バージョンの変更履歴に機構への言及がありませんでした。これが論争の中心の一つです。
Anthropicはv2.1.197以降でコードを削除しました。継続利用は組織のリスク許容度とコンプライアンス方針次第です。
蒸留は他モデルの出力でモデルを訓練する手法です。Anthropicは不正再販業者と蒸留パイプラインを標的としたと説明し、中国系AIラボとの広範な対立が背景にあります。隔離開発環境の詳細はヘルプセンターをご参照ください。