NVDB 官方定性 · 隐写术机制 · 阿里禁用 · 版本自查与处置 Runbook
2026 年 7 月 8 日,工信部 NVDB 发布风险提示,指出 Anthropic Claude Code 在 v2.1.91–v2.1.196 版本存在安全后门隐患,危害严重——内置监控机制可未经用户同意回传地域与身份标识。若你正在使用 Claude Code 或为企业评估 AI 编程工具合规,请立即运行 claude --version 自查。本文按完整时间线梳理事件链条、拆解隐写术原理、对照 NVDB / Anthropic / 阿里巴巴三方表态,并给出个人开发者与企业 IT 的六步处置清单与 10 条 FAQ。
要点速览:① 受影响版本 2.1.91(4 月 2 日)至 2.1.196(6 月 29 日),修复版 2.1.197+;② 仅当设置 ANTHROPIC_BASE_URL 走非官方端点时才触发,官方 API 用户不受影响;③ Anthropic 称系 3 月上线的反蒸馏「实验」,已在 7 月 1 日回滚;④ 阿里巴巴 7 月 10 日起禁用 Claude Code,转向 Qoder;⑤ 工信部建议立即卸载或升级,并加强开发终端外联管控。
这条新闻表面是监管通报,背后是一条完整故事链:Anthropic 主动埋点识别中国用户 → 开发者逆向曝光 → 厂商道歉回滚 → 阿里禁用 → 工信部定性为后门。以下时间线基于公开报道与逆向分析整理,发布前请核对是否有后续更新。
2026 年 2 月:Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等)。
2026 年 3 月:Claude Code 内部悄然上线隐蔽检测机制,无公开披露。
2026 年 4 月 2 日:Claude Code v2.1.91 发布,隐蔽检测代码随版本开始分发;近 20 个版本迭代中检测逻辑持续存在,从未写入 changelog。
2026 年 6 月 29 日:v2.1.196 发布,为受影响区间最后一个版本。
2026 年 6 月 30 日:Reddit 用户 LegitMichel777 发帖曝光隐写术检测逻辑;开发者 Thereallo 发布技术分析;安全研究员 Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/195/196 均存在该逻辑。
2026 年 7 月 1 日:Claude Code 工程师 Thariq Shihipar 在 X 公开承认,称为 3 月上线的「实验性」反滥用/反蒸馏机制,承诺次日版本回滚。
2026 年 7 月 2 日:v2.1.197(部分口径为 2.1.198)发布,移除隐写检测代码,但 changelog 未明确提及此项变更。
2026 年 7 月 3–4 日:路透社、TechCrunch 报道阿里巴巴内部通知,7 月 10 日起全员禁止使用 Claude Code 及 Anthropic 相关模型,转用内部工具 Qoder。
2026 年 7 月 8 日:工信部 NVDB 正式发布风险提示,定性为「安全后门隐患,危害严重」——内置监控机制,未经用户同意向远程服务器回传用户地域、身份标识等敏感信息。
2026 年 7 月 10 日:阿里巴巴内部禁令正式生效。
NVDB 处置建议:全面排查开发终端 → 卸载受影响版本或升级至最新安全版本 → 加强核心业务网段外联权限管控与流量监测。
这是最容易被误解、也最需要讲清楚的一点:隐蔽机制不是对所有用户生效。许多中文自媒体标题写成「Claude Code 监控所有用户」并不准确,容易被技术读者指出错误。
| 类型 | 版本号 | 发布日期 | 状态 |
|---|---|---|---|
| 首个含隐蔽机制版本 | v2.1.91 | 2026-04-02 | 受影响 |
| 最后受影响版本 | v2.1.196 | 2026-06-29 | 受影响 |
| 修复版本 | v2.1.197 / 2.1.198 | 2026-07-01/02 | 安全 |
| 用户类型 | ANTHROPIC_BASE_URL | 是否触发检测 | 建议动作 |
|---|---|---|---|
| 官方 API 直连用户 | 未设置或指向 api.anthropic.com | 否 | 升级至 2.1.197+ 即可 |
| 企业网关/代理用户 | 指向非官方端点 | 是(若版本在受影响区间) | 立即升级 + 审计出站流量 |
| API 中转/转售用户 | 第三方代理域名 | 是(且域名可能在 147 条黑名单中) | 升级 + 评估合规风险 |
只有设置了 ANTHROPIC_BASE_URL 将 API 请求指向非官方端点时才会激活;使用官方 api.anthropic.com 的普通用户不会触发这条检测路径。
本次争议被称为「隐写术(steganography)」而非普通「遥测(telemetry)」——它没有走独立的数据上报通道,而是篡改了发给模型的 system prompt 本身。安全研究员 Adnane Khan 将其定义为「嵌入系统提示词中的隐蔽信道(covert information channel embedded in system prompts)」。
触发条件:用户设置环境变量 ANTHROPIC_BASE_URL,将 API 请求指向非官方端点(企业网关、第三方代理、API 中转/转售服务)时激活。
环境侦察:检测系统时区是否为 Asia/Shanghai 或 Asia/Urumqi;将 ANTHROPIC_BASE_URL 的 hostname 与内置 147 条黑名单比对(XOR 密钥 91 + Base64 双重混淆),涵盖阿里、百度、字节、DeepSeek、Moonshot、智谱、MiniMax 等域名与关键词。
隐写编码:命中中国时区时,日期格式由 2026-06-30(连字符)变为 2026/06/30(斜杠);Today's date is 中的标准撇号 ' 被替换为 3 种视觉上几乎无法分辨的 Unicode 撇号,编码「时区命中 / 域名命中 / AI 实验室关键词命中」三个布尔标志位——约 3 bit 环境信息藏在一句看起来完全正常的英文句子里。
Claude Code 本身确有大量已知常规数据收集(事件日志、Datadog、OpenTelemetry 等),同类 CLI/IDE Agent 工具中并不罕见。本次争议的问题在于:① 使用隐写术而非正规、可被用户发现或关闭的 telemetry 通道;② 从未在任何版本 changelog 中披露,持续近 3 个月;③ 专门针对特定地域和商业竞争对手做指纹识别;④ 该工具同时拥有文件系统读写、Shell 命令执行等高权限。
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
定性为「安全后门隐患,危害严重」;描述内置监控机制未经用户同意向远程服务器回传用户地域、身份标识等敏感信息;建议全面排查开发终端、卸载或升级、加强外联权限管控与流量监测。
Claude Code 团队工程师在 X 平台表示:「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——定性为「实验(experiment)」而非「后门(backdoor)」,强调反账户转售滥用与反模型蒸馏目的。
据 SCMP、Ars Technica 引述内部通知:「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」2026 年 7 月 10 日起禁用 Claude Code 及 Anthropic 相关模型产品(Sonnet、Opus、Fable 等系列),替代方案为内部编程平台 Qoder。
| 来源 | 关键定性用词 | 叙事侧重 |
|---|---|---|
| NVDB / 工信部 | backdoor code / security backdoor risk / severe threat | 合规与数据外传风险 |
| CNBC / Reuters | security backdoor / built-in monitoring mechanism | 中立转述监管定性 + 企业连锁反应 |
| The Register | covert code / secret steganography system | 技术问责 + 未披露更新 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信任危机 + 政策分析 |
| Cybernews | 「a nothing burger」(部分技术圈观点) | 认为反应过度,实质是反蒸馏工程手段 |
| Anthropic 官方 | experiment / anti-abuse / anti-distillation measure | 强调正当防御目的,非恶意监控 |
写作边界:该机制的直接后果是「账号封禁风险」,而非已证实的「数据泄露事故」——公开报道未证实有具体用户因此遭受直接经济损失或数据滥用,行文应聚焦未披露的监控行为与合规风险本身。
这不是孤立事件,而是 2026 年中美 AI 竞争的一个缩影:Anthropic 长期禁止中国及「敌对地区」用户直接访问,但用户可通过 VPN、境外手机号/信用卡、第三方代理规避;2026 年 2 月北大与中科院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹;Anthropic 曾致信美国参议院银行委员会,指控阿里巴巴 Qwen 团队使用近 2.5 万欺诈账号、产生 2880 万次交互试图窃取 Claude 模型能力;Claude Opus 4.8 曾被曝出在测试中「误认自己是 Qwen / DeepSeek」,让这次「埋点识别中国用户」事件更显尴尬。中国企业普遍转向自研/开源模型体系,阿里内部工具 Qoder 是这一趋势的具体体现。
查版本:运行 claude --version,确认是否在 2.1.91–2.1.196 区间。
查代理端点:运行 echo $ANTHROPIC_BASE_URL,确认是否指向非官方地址。
立即升级:npm install -g @anthropic-ai/claude-code@latest 或 claude update,确保 ≥ 2.1.197。
彻底卸载(可选):清理 macOS/Linux 下 ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code 等残留路径。
评估替代方案:客观对比 Qoder、通义灵码、Cursor 等国产或自托管 AI 编程工具,按场景选型。
企业额外步骤:对开发终端做出站流量审计,排查是否存在对非授权 AI 服务端点的持续外联;制定 AI 工具白名单与合规政策。
在本地笔记本混跑 Claude Code、个人浏览器与生产 API Key,权限边界模糊、出站流量难以审计——长期稳定性与合规性都不足。对于需要跑 Claude Code、OpenClaw 或 MCP Agent 的生产级 iOS CI/CD 与 AI 自动化环境,VpsMesh 的 Mac Mini 云端租赁提供隔离的专用 macOS 节点、root 级可控权限与 7×24 常驻能力,通常是比混用个人桌面更优解。
免责声明:本文基于工信部 NVDB 公告及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。请在采取卸载、封禁或流量管控措施前,结合本机构安全政策自行评估。
IT之家、新京报、36氪、腾讯云开发者社区(中文);CNBC、The Register、TechCrunch、Ars Technica、Thereallo、Vincent Schmalbach、Cybernews(英文)。
在 v2.1.91–2.1.196 中,Anthropic 部署了未披露的隐写术指纹机制;工信部 NVDB 于 2026 年 7 月 8 日将其定性为安全后门隐患。Anthropic 称系反蒸馏实验,已在 v2.1.197 移除。
v2.1.91(2026 年 4 月 2 日)至 v2.1.196(2026 年 6 月 29 日)。请升级至 v2.1.197 或更高版本。
不会。该机制仅在设置了 ANTHROPIC_BASE_URL 指向非官方代理或网关端点时才会激活。
在终端运行 claude --version,或通过 npm list -g @anthropic-ai/claude-code 查看。
受影响版本应立即升级;企业用户需结合合规政策评估是否卸载。阿里巴巴已于 2026 年 7 月 10 日起禁用 Claude Code,转向 Qoder。
通过篡改 system prompt 中日期分隔符及 Today's date 行的 Unicode 撇号变体,编码时区与代理域名命中信号,随每次请求发送给 Anthropic 服务器解析。
阿里内部通知将其列为高风险软件,7 月 10 日起全员禁止使用 Claude Code 及 Anthropic 相关模型,转向内部编程平台 Qoder。
没有。近 3 个月受影响版本的 changelog 均未提及该机制,这是争议核心之一。
Anthropic 已在 v2.1.197+ 移除相关代码;是否继续使用取决于组织的风险容忍度与合规要求。企业环境可考虑隔离的云端 Mac 节点,详见 Mac Mini M4 租赁价格页。
Anthropic 称机制用于防止未授权转售与模型蒸馏;其曾指控阿里 Qwen 团队使用约 2.5 万欺诈账号大规模蒸馏 Claude 能力。更多部署说明见 帮助中心。