工信部警示 Claude Code 存在後門風險(2.1.91–2.1.196)

NVDB 官方定性 · 隱寫術機制 · 阿里禁用 · 版本自查與處置 Runbook

Claude Code terminal version check after MIIT NVDB backdoor security warning 2026

2026 年 7 月 8 日,工信部 NVDB 發布風險提示,指出 Anthropic Claude Codev2.1.91–v2.1.196 版本存在安全後門隱患,危害嚴重——內建監控機制可未經使用者同意回傳地域與身份標識。若你正在使用 Claude Code 或為企業評估 AI 程式設計工具合規,請立即執行 claude --version 自查。本文按完整時間線梳理事件鏈條、拆解隱寫術原理、對照 NVDB / Anthropic / 阿里巴巴三方表態,並給出個人開發者與企業 IT 的六步處置清單與 10 條 FAQ。

要點速覽:① 受影響版本 2.1.91(4 月 2 日)至 2.1.196(6 月 29 日),修復版 2.1.197+;② 僅當設定 ANTHROPIC_BASE_URL 走非官方端點時才觸發,官方 API 使用者不受影響;③ Anthropic 稱係 3 月上線的反蒸餾「實驗」,已在 7 月 1 日回滾;④ 阿里巴巴 7 月 10 日起禁用 Claude Code,轉向 Qoder;⑤ 工信部建議立即卸載或升級,並加強開發終端機外聯管控。

01

工信部 Claude Code 後門:發生了什麼?完整時間線

這條新聞表面是監管通報,背後是一條完整故事鏈:Anthropic 主動埋點識別中國使用者 → 開發者逆向曝光 → 廠商道歉回滾 → 阿里禁用 → 工信部定性為後門。以下時間線基於公開報導與逆向分析整理,發佈前請核對是否有後續更新。

  1. 02

    2026 年 2 月:Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等)。

  2. 03

    2026 年 3 月:Claude Code 內部悄然上線隱蔽檢測機制,無公開披露。

  3. 04

    2026 年 4 月 2 日:Claude Code v2.1.91 發佈,隱蔽檢測程式碼隨版本開始分發;近 20 個版本迭代中檢測邏輯持續存在,從未寫入 changelog。

  4. 06

    2026 年 6 月 29 日:v2.1.196 發佈,為受影響區間最後一個版本。

  5. 30

    2026 年 6 月 30 日:Reddit 使用者 LegitMichel777 發文曝光隱寫術檢測邏輯;開發者 Thereallo 發布技術分析;安全研究員 Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯。

  6. 01

    2026 年 7 月 1 日:Claude Code 工程師 Thariq Shihipar 在 X 公開承認,稱為 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日版本回滾。

  7. 02

    2026 年 7 月 2 日:v2.1.197(部分口徑為 2.1.198)發佈,移除隱寫檢測程式碼,但 changelog 未明確提及此項變更。

  8. 03

    2026 年 7 月 3–4 日:路透社、TechCrunch 報導阿里巴巴內部通知,7 月 10 日起全員禁止使用 Claude Code 及 Anthropic 相關模型,轉用內部工具 Qoder

  9. 08

    2026 年 7 月 8 日:工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」——內建監控機制,未經使用者同意向遠端伺服器回傳使用者地域、身份標識等敏感資訊。

  10. 10

    2026 年 7 月 10 日:阿里巴巴內部禁令正式生效。

NVDB 處置建議:全面排查開發終端機 → 卸載受影響版本或升級至最新安全版本 → 加強核心業務網段外聯權限管控與流量監測。

02

Claude Code 誰會真正受影響?觸發條件與版本對照

這是最容易誤解、也最需要講清楚的一點:隱蔽機制不是對所有使用者生效。許多中文自媒體標題寫成「Claude Code 監控所有使用者」並不準確,容易被技術讀者指出錯誤。

受影響版本 vs 安全版本

類型版本號發佈日期狀態
首個含隱蔽機制版本v2.1.912026-04-02受影響
最後受影響版本v2.1.1962026-06-29受影響
修復版本v2.1.197 / 2.1.1982026-07-01/02安全

三類使用者風險對照

使用者類型ANTHROPIC_BASE_URL是否觸發檢測建議動作
官方 API 直連使用者未設定或指向 api.anthropic.com升級至 2.1.197+ 即可
企業閘道/代理使用者指向非官方端點是(若版本在受影響區間)立即升級 + 稽核出站流量
API 中轉/轉售使用者第三方代理網域是(且網域可能在 147 條黑名單中)升級 + 評估合規風險

只有設定了 ANTHROPIC_BASE_URL 將 API 請求指向非官方端點時才會啟用;使用官方 api.anthropic.com 的一般使用者不會觸發這條檢測路徑。

03

Claude Code 隱寫術監控機制:三步技術拆解

本次爭議被稱為「隱寫術(steganography)」而非普通「遙測(telemetry)」——它沒有走獨立的資料上報通道,而是篡改了發給模型的 system prompt 本身。安全研究員 Adnane Khan 將其定義為「嵌入系統提示詞中的隱蔽通道(covert information channel embedded in system prompts)」。

  1. 01

    觸發條件:使用者設定環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點(企業閘道、第三方代理、API 中轉/轉售服務)時啟用。

  2. 02

    環境偵察:檢測系統時區是否為 Asia/ShanghaiAsia/Urumqi;將 ANTHROPIC_BASE_URL 的 hostname 與內建 147 條黑名單比對(XOR 金鑰 91 + Base64 雙重混淆),涵蓋阿里、百度、字節、DeepSeek、Moonshot、智譜、MiniMax 等網域與關鍵字。

  3. 03

    隱寫編碼:命中中國時區時,日期格式由 2026-06-30(連字號)變為 2026/06/30(斜線);Today's date is 中的標準撇號 ' 被替換為 3 種視覺上幾乎無法分辨的 Unicode 撇號,編碼「時區命中 / 網域命中 / AI 實驗室關鍵字命中」三個布林旗標位——約 3 bit 環境資訊藏在一句看起來完全正常的英文句子裡。

與「正常遙測」的邊界

Claude Code 本身確有大量已知常規資料收集(事件日誌、Datadog、OpenTelemetry 等),同類 CLI/IDE Agent 工具中並不罕見。本次爭議的問題在於:① 使用隱寫術而非正規、可被使用者發現或關閉的 telemetry 通道;② 從未在任何版本 changelog 中披露,持續近 3 個月;③ 專門針對特定地域和商業競爭對手做指紋識別;④ 該工具同時擁有檔案系統讀寫、Shell 命令執行等高權限。

bash
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update
04

NVDB、Anthropic、阿里巴巴怎麼說?各方表態對照

工信部 / NVDB

定性為「安全後門隱患,危害嚴重」;描述內建監控機制未經使用者同意向遠端伺服器回傳使用者地域、身份標識等敏感資訊;建議全面排查開發終端機、卸載或升級、加強外聯權限管控與流量監測。

Anthropic / Thariq Shihipar

Claude Code 團隊工程師在 X 平台表示:「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——定性為「實驗(experiment)」而非「後門(backdoor)」,強調反帳戶轉售濫用與反模型蒸餾目的。

阿里巴巴

據 SCMP、Ars Technica 引述內部通知:「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」2026 年 7 月 10 日起禁用 Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列),替代方案為內部程式設計平台 Qoder

國際媒體定性用詞對照

來源關鍵定性用詞敘事側重
NVDB / 工信部backdoor code / security backdoor risk / severe threat合規與資料外傳風險
CNBC / Reuterssecurity backdoor / built-in monitoring mechanism中立轉述監管定性 + 企業連鎖反應
The Registercovert code / secret steganography system技術問責 + 未披露更新
Ars Technicaspyware-like tracking / secret Claude tracker信任危機 + 政策分析
Cybernews「a nothing burger」(部分技術圈觀點)認為反應過度,實質是反蒸餾工程手段
Anthropic 官方experiment / anti-abuse / anti-distillation measure強調正當防禦目的,非惡意監控

寫作邊界:該機制的直接後果是「帳號封禁風險」,而非已證實的「資料洩漏事故」——公開報導未證實有具體使用者因此遭受直接經濟損失或資料濫用,行文應聚焦未披露的監控行為與合規風險本身。

05

中美 AI 蒸餾戰背景與你現在該做什麼

這不是孤立事件,而是 2026 年中美 AI 競爭的一個縮影:Anthropic 長期禁止中國及「敵對地區」使用者直接存取,但使用者可透過 VPN、境外手機號/信用卡、第三方代理規避;2026 年 2 月北大與中科院研究者發表論文,稱偵測到多數主流中國大模型存在對海外模型的蒸餾痕跡;Anthropic 曾致信美國參議院銀行委員會,指控阿里巴巴 Qwen 團隊使用近 2.5 萬欺詐帳號、產生 2880 萬次互動試圖竊取 Claude 模型能力;Claude Opus 4.8 曾被揭露在測試中「誤認自己是 Qwen / DeepSeek」,讓這次「埋點識別中國使用者」事件更顯尷尬。中國企業普遍轉向自研/開源模型體系,阿里內部工具 Qoder 是這一趨勢的具體體現。

個人開發者六步處置 Runbook

  1. 01

    查版本:執行 claude --version,確認是否在 2.1.91–2.1.196 區間。

  2. 02

    查代理端點:執行 echo $ANTHROPIC_BASE_URL,確認是否指向非官方位址。

  3. 03

    立即升級:npm install -g @anthropic-ai/claude-code@latestclaude update,確保 ≥ 2.1.197。

  4. 04

    徹底卸載(可選):清理 macOS/Linux 下 ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code 等殘留路徑。

  5. 05

    評估替代方案:客觀對比 Qoder、通義靈碼、Cursor 等國產或自託管 AI 程式設計工具,按場景選型。

  6. 06

    企業額外步驟:對開發終端機做出站流量稽核,排查是否存在對非授權 AI 服務端點的持續外聯;制定 AI 工具白名單與合規政策。

可引用硬核數據

  • 147 條混淆規則:代理網域黑名單經 XOR(91) + Base64 雙重混淆,須完整逆向二進位檔才能還原。
  • 近 3 個月未披露:v2.1.91 至 v2.1.196 共約 20 個版本迭代,changelog 均未提及檢測機制。
  • 2.5 萬欺詐帳號:Anthropic 致信美國參議院指控阿里 Qwen 團隊大規模蒸餾 Claude 能力的背景資料。

在本地筆電混跑 Claude Code、個人瀏覽器與生產 API Key,權限邊界模糊、出站流量難以稽核——長期穩定性與合規性都不足。對於需要跑 Claude Code、OpenClaw 或 MCP Agent 的生產級 iOS CI/CD 與 AI 自動化環境,VpsMesh 的 Mac Mini 雲端租賃提供隔離的專用 macOS 節點、root 級可控權限與 7×24 常駐能力,通常是比混用個人桌面更優解。

免責聲明:本文基於工信部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全稽核結論。請在採取卸載、封禁或流量管控措施前,結合本機構安全政策自行評估。

參考來源

IT之家、新京報、36氪、騰訊雲開發者社群(中文);CNBC、The Register、TechCrunch、Ars Technica、Thereallo、Vincent Schmalbach、Cybernews(英文)。

FAQ

Claude Code 後門常見問題

在 v2.1.91–2.1.196 中,Anthropic 部署了未披露的隱寫術指紋機制;工信部 NVDB 於 2026 年 7 月 8 日將其定性為安全後門隱患。Anthropic 稱係反蒸餾實驗,已在 v2.1.197 移除。

v2.1.91(2026 年 4 月 2 日)至 v2.1.196(2026 年 6 月 29 日)。請升級至 v2.1.197 或更高版本。

不會。該機制僅在設定了 ANTHROPIC_BASE_URL 指向非官方代理或閘道端點時才會啟用。

在終端機執行 claude --version,或透過 npm list -g @anthropic-ai/claude-code 查看。

受影響版本應立即升級;企業使用者需結合合規政策評估是否卸載。阿里巴巴已於 2026 年 7 月 10 日起禁用 Claude Code,轉向 Qoder。

透過篡改 system prompt 中日期分隔符及 Today's date 行的 Unicode 撇號變體,編碼時區與代理網域命中訊號,隨每次請求傳送給 Anthropic 伺服器解析。

阿里內部通知將其列為高風險軟體,7 月 10 日起全員禁止使用 Claude Code 及 Anthropic 相關模型,轉向內部程式設計平台 Qoder。

沒有。近 3 個月受影響版本的 changelog 均未提及該機制,這是爭議核心之一。

Anthropic 已在 v2.1.197+ 移除相關程式碼;是否繼續使用取決於組織的風險容忍度與合規要求。企業環境可考慮隔離的雲端 Mac 節點,詳見 Mac Mini M4 租賃價格頁

Anthropic 稱機制用於防止未授權轉售與模型蒸餾;其曾指控阿里 Qwen 團隊使用約 2.5 萬欺詐帳號大規模蒸餾 Claude 能力。更多部署說明見 幫助中心