工信部 NVDB 警示 Claude Code 後門風險與開發者終端機安全稽核場景

2026 工信部警示 Claude Code 存在後門風險(2.1.91–2.1.196):技術解析與開發者處置指南

2026 年 7 月 8 日,中國工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB)發布風險提示,指出美國 Anthropic 公司 AI 程式設計工具 Claude Codev2.1.91 至 v2.1.196 版本存在安全後門隱患,危害嚴重——內建監控機制可在未經使用者同意的情況下,向遠端伺服器回傳地域、身分識別等敏感資訊。NVDB 建議立即卸載受影響版本或升級至最新安全版本,並加強開發終端機外連管控與流量監測。若你正在使用 Claude Code,請立刻執行 claude --versionecho $ANTHROPIC_BASE_URL 完成自查;本文依一手逆向報告與監管公告,整理完整時間軸、隱寫術技術拆解、各方表態、決策矩陣與五步處置實操。

要點速覽(TL;DR)

  • 監管定性:工信部 NVDB 於 7 月 8 日將 Claude Code v2.1.91–2.1.196 定性為安全後門隱患,危害嚴重。
  • 觸發條件:僅當 ANTHROPIC_BASE_URL 指向非官方端點時啟動;直連 api.anthropic.com 的一般使用者不受影響。
  • 技術本質:時區偵察 + 147 條 XOR91+Base64 黑名單 + system prompt 隱寫編碼,非一般 telemetry 通道。
  • 廠商與企業動作:Anthropic 7 月 2 日發布 v2.1.197 移除程式碼;阿里巴巴 7 月 10 日起全員禁用 Claude Code,轉用 Qoder。
  • 立即行動:核查版本 → 檢查 BASE_URL → 升級至 2.1.197+ 或卸載 → 稽核開發終端機出站流量。

1. 三大痛點:開發者此刻必須稽核什麼

  1. 監管已定性,但技術細節極易被標題黨誤導:NVDB 使用「後門」措辭引發全網關注,但逆向報告一致表明機制僅在配置非官方 ANTHROPIC_BASE_URL 時觸發。不寫清這一限定,既損害 E-E-A-T,也可能讓合規團隊對全體開發者一刀切封禁,浪費處置精力。
  2. 隱蔽通道嵌入高權限 CLI,且近三個月零披露:Claude Code 擁有檔案系統讀寫與 Shell 執行能力;v2.1.91 至 v2.1.196 近 20 個版本 changelog 均未提及偵測邏輯。用隱寫術改寫 system prompt 回傳環境指紋,比常規 Datadog/OpenTelemetry 遙測更難被使用者發現或關閉。
  3. 企業連鎖反應已落地,個人開發者窗口正在關閉:阿里巴巴 7 月 10 日起禁用 Claude Code 及 Anthropic 全系模型;更多大型研發組織可能跟進 egress 封禁。走代理、閘道或 API 轉售的開發者面臨帳號封禁與合規審查雙重風險,必須在本週末前完成版本與端點稽核。

2. 完整時間軸:從反蒸餾到工信部定性

時間 事件
2026 年 2 月 Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等)
2026 年 3 月 Claude Code 內部悄然上線隱蔽偵測機制,無任何公開披露
2026-04-02 Claude Code v2.1.91 發布,隱蔽偵測程式碼隨版本開始分發
2026-04 至 06 中間近 20 個版本迭代,偵測邏輯持續存在,changelog 從未提及
2026-06-29 v2.1.196 發布,為受影響區間最後一個版本
2026-06-30 Reddit 使用者 LegitMichel777 發文曝光;開發者 Thereallo 發布技術分析;Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯
2026-07-01 Anthropic 工程師 Thariq Shihipar 在 X 公開承認,稱為 3 月「實驗性」反濫用/反蒸餾機制,承諾次日版本回滾
2026-07-02 v2.1.197(部分報導稱 v2.1.198)發布,移除隱寫偵測程式碼,changelog 仍未明確提及
2026-07-03/04 路透社、TechCrunch 報導:阿里巴巴內部通知,7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型,轉用內部工具 Qoder
2026-07-08 工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」
2026-07-10 阿里巴巴內部禁令正式生效

3. NVDB 公告要點

項目 內容
發布機構 工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB)
發布時間 2026 年 7 月 8 日
涉及產品 美國 Anthropic 公司 AI 程式設計工具 Claude Code
官方定性 存在安全後門隱患,危害嚴重
隱患描述 內建監控機制,未經使用者同意可向遠端伺服器回傳使用者地域、身分識別等敏感資訊
受影響版本 v2.1.91 至 v2.1.196(2026 年 4 月 2 日至 6 月 29 日發布區間)
處置建議 全面排查開發終端機 → 卸載受影響版本或升級至最新安全版本 → 加強核心業務網段外連權限管控與流量監測
企業動向 阿里巴巴等企業已限制或禁用,轉向內部替代工具

4. 誰會真正受影響(關鍵去誤導)

這是整篇最值得強調的臨界事實:隱蔽機制不是對所有 Claude Code 使用者生效

只有當使用者設定了環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點——例如企業自建閘道、第三方 API 代理、中轉/轉售服務——時,偵測邏輯才會被啟動。若你始終使用官方 api.anthropic.com,且未配置自訂 Base URL,則不會觸發這條隱寫偵測路徑。

許多中文自媒體標題寫成「Claude Code 監控所有使用者」,這在技術上是不準確的,也容易被 HN/Reddit 技術讀者在留言區反駁。合規通報的「危害嚴重」定性,針對的是存在未披露隱蔽通道且具備高權限的開發者工具這一事實;個人處置仍應基於自己的 BASE_URL 配置與版本號做精準判斷,而非恐慌性全盤卸載。

直接後果方面:公開報導更一致指向帳號封禁與濫用識別風險,而非已證實的「大規模資料外洩事故」。行文應聚焦未披露監控行為與合規風險本身,避免渲染成尚未證實的洩密醜聞。

5. 技術機制三步拆解

據 LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等獨立逆向與重現,整套邏輯可概括為三步:

第一步:環境偵察——判斷你是否為「中國相關使用者」

觸發條件成立後,程式碼執行兩類判斷:

  1. 系統時區偵測:是否為 Asia/ShanghaiAsia/Urumqi
  2. 代理網域黑名單比對:將 ANTHROPIC_BASE_URL 的 hostname 與內建清單比對

黑名單共 147 個條目,涵蓋中國大型科技公司網域(阿里巴巴、支付寶、螞蟻、百度、字節跳動等)、中國 AI 實驗室關鍵字(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)以及已知 API 代理/轉售閘道。清單經 XOR 加密(金鑰 91)+ Base64 編碼 雙重混淆,標準 strings 搜尋無法直接提取,須完整逆向二進位還原。

第二步:隱寫編碼——把結果藏進 system prompt

本事件被稱為「隱寫術(steganography)」而非一般遙測的關鍵在於:它沒有走獨立上報通道,而是竄改發給模型的 system prompt

  • 日期分隔符:命中中國時區時,日期格式由 2026-06-30(連字號)變為 2026/06/30(斜線)
  • Unicode 撇號替換Today's date is 中的標準撇號 ' 被替換為 U+0027、U+2019、U+02BC、U+02B9 等視覺近似字元,編碼「時區命中/網域命中/AI 實驗室關鍵字命中」等布林旗標

即用 1 個日期格式位 + 3 種撇號變體 編碼約 3 bit 環境資訊,藏在看似正常的英文句子裡,隨每次請求傳送給 Anthropic 伺服器解析。安全研究員 Adnane Khan 將其定義為 "a covert information channel embedded in system prompts"(嵌入系統提示詞中的隱蔽通道)。

第三步:伺服器端解析與後續處置

伺服器端可據隱寫訊號識別代理使用者、轉售商或疑似蒸餾管道,進而採取帳戶限制等措施。社群主流判斷其動機為反模型蒸餾與反 API 轉售,但手段經混淆且未向使用者披露,是引發監管定性與信任危機的核心。

6. 與正常遙測的邊界

Claude Code 本身確有大量已知常規資料收集(事件日誌、Datadog、OpenTelemetry 等),同類 CLI/IDE Agent 工具中並不罕見,且通常在隱私政策中有籠統披露。本次爭議不在於「收集資料」本身,而在於以下四點:

  1. 使用隱寫術,而非正規、可被使用者發現或關閉的 telemetry 通道
  2. 從未在任何版本 changelog 中披露,持續近三個月、跨越近 20 個版本
  3. 專門針對特定地域與特定商業競爭對手做指紋識別,而非通用崩潰報告
  4. 該工具同時擁有檔案系統讀寫、Shell 命令執行等高權限,使用者對「看不見的行為」容忍度理應更低

若不區分這一點,資深開發者容易在留言區反駁「這就是普通 telemetry,小題大做」,從而損害內容權威性。本站《Claude Code 隱寫術事件》對 Unicode 對照表與事件 A/B 區分有更深度展開,可與本文交叉閱讀。

7. 版本對照與自查命令

類型 版本號 日期
首個含隱蔽機制版本 v2.1.91 2026-04-02
最後受影響版本 v2.1.196 2026-06-29
修復版本 v2.1.197(部分口徑 v2.1.198) 2026-07-01/02
建議操作 統一採用「2.1.197 及以上」為安全基線
# 檢查目前版本
claude --version

# 檢查是否配置了觸發隱寫邏輯的代理端點
echo $ANTHROPIC_BASE_URL

# npm 方式升級到最新版
npm install -g @anthropic-ai/claude-code@latest

# 或使用內建命令
claude update

徹底卸載需清理的殘留路徑:

  • macOS/Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code
  • Windows:%USERPROFILE%\.claude%USERPROFILE%\.claude.json 及相關本機快取目錄

企業情境:卸載不是終點,還應對開發終端機做出站流量稽核,排查是否存在對非授權 AI 服務端點的持續外連。

8. 各方表態與媒體用詞對照

工信部/NVDB

定性為安全後門隱患,危害嚴重;描述內建監控機制未經使用者同意回傳地域與身分識別;建議全面排查開發終端機、卸載或升級,並加強外連權限管控與流量監測。

Anthropic/Thariq Shihipar(Claude Code 團隊工程師)

2026 年 7 月 1 日在 X 平台公開承認,原話要點:

「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.」

翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」,強調目的是反帳戶轉售濫用、反模型蒸餾,且團隊本就計畫下線。補充背景:Anthropic 曾致信美國參議院銀行委員會,指控阿里巴巴 Qwen 團隊使用近 2.5 萬詐欺帳號、產生 2880 萬次互動試圖竊取 Claude 模型能力——這是理解其緊張「蒸餾」問題的關鍵脈絡。

阿里巴巴

據 SCMP、Ars Technica 引述內部通知措辭:「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」2026 年 7 月 10 日起生效,範圍涵蓋 Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列),替代方案為內部程式設計平台 Qoder

國際媒體/技術社群用詞對照

來源 關鍵定性用詞 敘事側重
NVDB/工信部 backdoor code / security backdoor risk / severe threat 合規與資料外傳風險
CNBC/Reuters security backdoor / built-in monitoring mechanism 中立轉述監管定性 + 企業連鎖反應
The Register covert code / secret steganography system 技術揶揄 + 未披露更新的問責
Ars Technica spyware-like tracking / secret Claude tracker 信任危機 + 政策分析
Cybernews "a nothing burger"(部分技術圈觀點) 認為反應過度,實質是反蒸餾工程手段
Anthropic 官方 experiment / anti-abuse / anti-distillation measure 強調正當防禦目的,非惡意監控

9. 中美 AI 蒸餾戰背景

這不是孤立事件,而是 2026 年中美 AI 競爭的一個縮影。Anthropic 長期禁止中國及「敵對地區」使用者直接存取其模型,但使用者可透過 VPN、境外手機號/信用卡、第三方代理規避。2026 年 2 月,北大與中國科學院研究者發表論文,稱偵測到多數主流中國大模型存在對海外模型的蒸餾痕跡。Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未經授權利用 Claude 輸出訓練自家模型;今年致信美國參議院的 Qwen 詐欺帳號指控,使本次「埋點識別中國使用者」更顯尷尬——Claude Opus 4.8 亦曾在測試中被指「誤認自己是 Qwen/DeepSeek」,被部分評論視為雙重標準證據。

中國企業普遍轉向自研/開源模型體系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等),阿里內部工具 Qoder 是這一趨勢的具體體現。理解這條背景線,有助於判斷:監管通報、企業禁用與廠商「實驗性反蒸餾」之間的因果鏈,而非單純「間諜軟體醜聞」。

10. 事實核查與寫作風險點

發布與轉發前,請對齊以下五條易錯點:

  1. 並非所有使用者都被監控——只有 ANTHROPIC_BASE_URL 走非官方端點才觸發,標題與導語須加限定語。
  2. 修復版本號存在兩種口徑——多數一手報導稱 v2.1.197(7 月 1 日),部分中文媒體稱 v2.1.198;建議統一採用「2.1.197 及以上」並註明來源差異。
  3. 「後門」是監管定性,不是唯一定性——技術圈更精確說法是隱寫術偵測或 covert channel;Anthropic 自稱「實驗」。繁體中文可主用「後門」貼合搜尋與官方口徑,但正文應呈現多方措辭張力。
  4. 直接後果是帳號封禁風險,非已證實資料外洩——公開報導未證實具體使用者因此遭受直接經濟損失或資料濫用,避免過度渲染。
  5. 版本發布日期存在細微媒體差異——如 v2.1.196 有 6 月 29 日/30 日兩種口徑,處置應以 claude --version 實測為準,而非僅憑報導日期。

11. 決策矩陣:四情境處置建議

情境 風險等級 建議動作 備註
個人開發者(官方 API) 核查版本,若在 2.1.91–2.1.196 則升級至 2.1.197+;確認未設定非官方 BASE_URL 未觸發隱寫路徑,但升級可消除潛在殘留邏輯
企業 IT/研發主管 依 NVDB 建議全面排查終端機;封禁或審批 AI 工具清單;實施 egress 稽核;評估 Qoder/通義靈碼等替代方案 阿里已示範企業級禁用路徑,更多公司可能跟進
走代理/閘道使用者 立即升級或卸載;審查 BASE_URL 歷史配置;假設曾傳送隱寫指紋,評估帳號合規風險 唯一會觸發偵測邏輯的人群,需優先處置
官方 API + 合規敏感產業 升級基線版本;將 AI 程式設計工具隔離至專用節點;記錄工具鏈審批與出站策略 雖未觸發隱寫,但高權限 CLI 仍應納入供應鏈治理

12. 五步處置實操(How-to)

  1. 核查目前版本:執行 claude --version,確認是否落在 v2.1.91–2.1.196 區間;可交叉核對 npm list -g @anthropic-ai/claude-code
  2. 檢查 ANTHROPIC_BASE_URL:執行 echo $ANTHROPIC_BASE_URL,並檢查 shell 配置(~/.zshrc~/.bashrc)、IDE 整合與環境變數注入腳本;若指向非 api.anthropic.com,標記為曾可能觸發隱寫邏輯。
  3. 升級至安全版本:執行 npm install -g @anthropic-ai/claude-code@latestclaude update,目標基線 v2.1.197 及以上;升級後再次執行 claude --version 確認。
  4. 按需徹底卸載:若企業政策要求禁用,卸載全域套件並刪除 ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code 等殘留;Windows 使用者同步清理 %USERPROFILE%\.claude 目錄。
  5. 出站流量稽核與留檔:對開發終端機實施 egress 稽核,排查對非授權 AI 服務端點的持續外連;將版本號、BASE_URL 歷史、處置時間與責任人寫入合規台帳,供後續檢查。

13. 企業 IT 合規檢查清單

  • 資產盤點:統計全員開發機、CI Runner、遠端桌面中 Claude Code 安裝與版本分布(重點 2.1.91–2.1.196)。
  • 環境變數稽核:批量檢查 ANTHROPIC_BASE_URL、相關代理配置與 .env 檔案,識別非官方端點。
  • 軟體清單管控:將 Claude Code 納入允許/禁止軟體清單;參考阿里做法,評估高風險標註與替代工具(Qoder、通義靈碼、Cursor 等經審批方案)。
  • 網路層 egress 策略:限制開發網段對未授權 AI API 網域的出站;對 Anthropic 官方網域亦建議經企業代理可稽核存取。
  • 權限最小化:AI 程式設計工具不得與生產資料庫憑證、K8s admin kubeconfig 共處同一使用者工作階段;推薦專用開發節點。
  • 事件回應預案:若發現受影響版本 + 非官方 BASE_URL 組合,啟動帳號凍結評估、憑證輪替與日誌留存流程。
  • 供應商溝通:向 Anthropic 或採購管道索取官方安全說明;追蹤 NVDB 後續通報與 changelog 變更。
  • 培訓與公告:向研發發布內部安全通告,強調「後門」定性與觸發條件,避免謠言式全員恐慌。

14. 常見問題 FAQ

Claude Code 真的有後門嗎? 工信部 NVDB 將其定性為安全後門隱患;技術圈更精確說法是 v2.1.91–2.1.196 中的隱寫術偵測機制;Anthropic 稱「實驗性」反蒸餾措施,已在 v2.1.197 移除。

哪些版本受影響? v2.1.91(2026-04-02)至 v2.1.196(2026-06-29)。請升級至 v2.1.197 及以上。

使用官方 API 會被監控嗎? 不會。僅當 ANTHROPIC_BASE_URL 指向非官方代理/閘道時觸發。

怎麼查版本? 終端機執行 claude --version

必須卸載嗎? 個人使用者優先升級;合規敏感企業可卸載並切換經審批替代工具。

隱寫術原理? 改寫 system prompt 的日期分隔符與 Unicode 撇號,編碼環境指紋隨請求傳送。

阿里為何禁用? 內部將 Claude Code 列為高風險軟體,7 月 10 日起轉用 Qoder。

changelog 披露了嗎? 沒有,直至社群 6 月 30 日逆向曝光。

現在安全嗎? 2.1.197+ 已移除相關程式碼,但是否繼續使用取決於組織風險容忍度與合規政策。

與模型蒸餾有何關係? Anthropic 稱機制針對轉售與蒸餾;中美 AI 競爭與 Qwen 詐欺帳號指控是重要背景。上文 JSON-LD FAQPage 已收錄完整問答供搜尋引擎抓取。

15. 參考來源

  • IT之家:《工信部發布風險提示:Claude Code 存在安全後門,可能洩露使用者敏感資訊》— ithome.com/0/974/001.htm
  • 新京報:《工信部:Claude Code 存在安全後門隱患,危害嚴重》— bjnews.com.cn/detail/1783499318129355.html
  • CNBC:*China warns about AI risks with Anthropic's Claude Code* — cnbc.com/2026/07/08/china-anthropic-ai-claude-code-backdoor-security-threat.html
  • The Register:*China: Ditch older Claude versions with backdoor code* — theregister.com/.../5268371
  • The Register:*Anthropic is removing its covert code for catching Chinese competitors* — theregister.com/.../5265366
  • TechCrunch:*Alibaba reportedly bans employees from using Claude Code*
  • Ars Technica:*Secret Claude tracker shocks users after Anthropic's anti-surveillance stance*
  • Thereallo:*Claude Code Is Steganographically Marking Requests*(技術逆向一手來源)— thereallo.dev
  • Adnane Khan GitHub 逆向報告;Vincent Schmalbach《Claude Code Is Quietly Fingerprinting China-Linked API Routers》
  • 工業和信息化部 NVDB 官方風險提示(2026-07-08)

16. 免責聲明

本文基於工業和信息化部 NVDB 公告、Anthropic 公開表態及獨立安全研究整理分析,僅供技術與合規參考,不構成法律意見或安全稽核結論。請在採取卸載、封禁或流量管控措施前,結合本機構安全政策自行評估。涉及「後門」「實驗」「隱寫術」等定性處已標註多方來源,不代表本站立場。

17. SFTPMAC 遠端 Mac 決策橋接

工信部定性 + 企業禁用連鎖,說明 AI 程式設計工具已正式進入供應鏈合規與終端機治理階段。對個人與團隊而言,最務實的處置不是恐慌卸載一切 AI 助手,而是把高權限 CLI 與日常辦公環境解耦:在經稽核的專用節點上執行 Claude Code 或替代工具,本機僅透過 SFTP/rsync 同步程式碼產物,從架構上縮小未披露行為的影響半徑。

本機筆電或家用 Mac 的局限在於:環境變數、代理配置與瀏覽器/郵件憑證共處同一使用者空間;出站流量難以按工具粒度稽核;筆電休眠導致 Agent 任務中斷,促使開發者把 API Key 與閘道配置寫進 shell 歷史——這正是 NVDB 所警示的「開發終端機外連失控」典型樣貌。走第三方代理的開發者雖未必「全員中招」,但一旦 ANTHROPIC_BASE_URL 曾指向非官方端點,就應在隔離環境中完成升級、卸載與日誌留存,避免在本機生產金鑰環旁操作。

更穩妥的路徑是:將 AI 程式設計工具遷移至專用遠端 Mac 節點,與本機日常環境實體分離;在該節點實施出站流量稽核、工具版本基線鎖定與 7×24 合規部署;工作區經 SFTP 同步並保留可回滾快照。這與站內《Claude Code 隱寫術事件》《JADEPUFFER Agent 安全部署》的隔離節點建議一脈相承。SFTPMAC 遠端 Mac 租賃提供面向 AI 工具鏈的常線上 Apple Silicon 環境:SSH/SFTP 目錄隔離、launchd 守護與 egress 策略銜接——在監管通報與企業禁用的雙重壓力下,租賃專用 Mac 做合規隔離部署,比在本機賭補丁與政策速度更可控