Security 監管警示 2026.07.09

工信部警示 Claude Code 存在後門風險(2.1.91–2.1.196): 技術解析與開發者處置指南

2026 年 7 月 8 日,工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB)發布風險提示,指出美國 Anthropic 公司旗下 AI 程式編寫工具 Claude Codev2.1.91 至 v2.1.196 版本存在安全後門隱患,危害嚴重——內建監控機制可在未經使用者同意的情況下,向遠端伺服器回傳使用者地域、身分識別等敏感資訊。若你正在使用受影響版本,請立即執行 claude --version 自查並升級至 v2.1.197+

本文面向 Claude Code 開發者、企業 IT 與安全負責人,將完整回答三件事:① 從 Anthropic 埋點、開發者逆向曝光、廠商回滾到工信部定性、阿里禁用的完整故事鏈;② 隱寫術監控機制的技術原理與「誰真正受影響」的限定條件;③ 版本自查、升級解除安裝、企業外聯管控的實操清單。行文聚焦合規風險與未披露監控行為,避免誇大成已證實的資料外洩事故。

01 工信部 Claude Code 後門警示:TL;DR 要點速覽

  • 監管定性:NVDB 於 2026 年 7 月 8 日正式警示,定性為「安全後門隱患,危害嚴重」。
  • 隱患性質:內建監控機制,未經使用者同意可回傳使用者地域、身分識別等敏感資訊。
  • 受影響版本:v2.1.91(2026 年 4 月 2 日發布)至 v2.1.196(2026 年 6 月 29 日),持續近 3 個月未寫入 changelog。
  • 官方處置建議:立即解除安裝受影響版本或升級至最新安全版本;加強開發終端外聯管控與流量監測。
  • 企業動向:阿里巴巴等企業已限制或禁用 Claude Code,2026 年 7 月 10 日起全員轉向內部工具 Qoder
  • 廠商回應:Anthropic 工程師 Thariq Shihipar 承認為 3 月上線的「實驗性」反濫用/反模型蒸餾措施,承諾後續版本移除(v2.1.197 已回滾)。
NVDB 公告核心事實一覽
項目 內容
隱患性質內建監控機制,未經使用者同意可回傳敏感資訊
回傳內容使用者地域、身分識別等敏感資訊
受影響版本v2.1.91 至 v2.1.196
版本發布區間2026 年 4 月 2 日 至 6 月 29 日
修復版本v2.1.197(部分口徑為 v2.1.198,2026 年 7 月 1–2 日)

02 Claude Code 後門事件完整時間線

這條新聞表面是「監管通報」,背後是一條完整的故事鏈:Anthropic 主動埋點識別中國使用者 → 開發者逆向曝光 → 廠商道歉回滾 → 阿里禁用 → 工信部定性為後門

2026 年 Claude Code 後門風波關鍵節點
時間 事件
2026 年 2 月Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等)
2026 年 3 月Claude Code 內部悄然上線隱蔽檢測機制(無公開披露)
2026-04-02Claude Code v2.1.91 發布,隱蔽檢測程式碼隨版本開始分發
2026-04 至 06近 20 個版本迭代,檢測邏輯持續存在,從未寫入 changelog
2026-06-29v2.1.196 發布(受影響區間最後一個版本)
2026-06-30Reddit 使用者 LegitMichel777 發文曝光隱寫術檢測邏輯;開發者 Thereallo 發布技術分析;安全研究員 Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯
2026-07-01Anthropic 工程師 Thariq Shihipar 在 X 公開承認,稱為 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日版本回滾
2026-07-02Claude Code v2.1.197 發布,移除隱寫檢測程式碼,但 changelog 未明確提及此項變更
2026-07-03/04路透社、TechCrunch 報導:阿里巴巴內部通知,7 月 10 日起全員禁止使用 Claude Code 及 Anthropic 相關模型產品,轉用內部工具 Qoder
2026-07-08工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」
2026-07-10阿里巴巴內部禁令正式生效

部落格時效窗口:7 月 8 日官方定性是本輪熱度高峰,7 月 10 日阿里禁令生效是第二波小高峰。技術細節可參閱本站 Claude Code 隱寫術事件深度解析

03 Claude Code 監控哪些使用者?觸發條件說明

關鍵限定:並非所有使用者都被監控。 隱蔽機制只有當你設定了環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點(企業閘道、第三方代理、API 中轉/轉售服務)時才會啟動。使用官方 api.anthropic.com 的一般使用者不會觸發這條檢測路徑。

  • 痛點一:許多中文自媒體標題寫成「Claude Code 監控所有使用者」——這不準確,技術讀者會據此質疑可信度。
  • 痛點二:該機制的直接後果是帳號封禁風險,而非已證實的「資料外洩事故」——公開報導未證實有使用者因此遭受直接經濟損失。
  • 痛點三:Claude Code 同時擁有檔案系統讀寫、Shell 命令執行等高權限,使用者對「看不見的行為」容忍度理應更低。
  • 痛點四:持續近 3 個月未在任何版本 changelog 中披露,專門針對特定地域和商業競爭對手做指紋識別。

寫作與決策時請區分:走官方 API 的開發者 vs 走代理/閘道的開發者 vs 有合規要求的企業——三者的風險敞口完全不同。

04 Claude Code 隱寫術監控機制:技術三步拆解

步驟一:環境偵察——判斷你是不是「中國相關使用者」

一旦觸發條件成立,程式碼會做兩類判斷:

  1. 系統時區檢測:是否為 Asia/ShanghaiAsia/Urumqi
  2. 代理網域黑名單匹配:ANTHROPIC_BASE_URL 的 hostname 與內建清單比對

黑名單據多方逆向分析(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等)共 147 個條目,涵蓋中國大型科技公司網域(阿里巴巴、支付寶、螞蟻、百度、字節跳動等)、中國 AI 實驗室關鍵詞(DeepSeek、Moonshot AI、智譜、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/轉售閘道網域。清單使用 XOR 加密(金鑰 91)+ Base64 編碼 雙重混淆。

步驟二:隱寫編碼——把結果「偷偷」傳回去

本事件被稱為「隱寫術(steganography)」而非普通「遙測(telemetry)」的關鍵:它沒有走獨立資料上報通道,而是篡改了發給模型的 system prompt 本身

  • 日期分隔符:命中中國時區時,日期格式由 2026-06-30(連字號)變為 2026/06/30(斜線)
  • Unicode 撇號替換:Today's date is 中的標準撇號 ' 被替換為 3 種視覺上幾乎無法分辨、但 Unicode 編碼不同的撇號字元,編碼「時區命中 / 網域命中 / AI 實驗室關鍵詞命中」三個布林旗標位

安全研究員 Adnane Khan 將其定義為 「a covert information channel embedded in system prompts」(嵌入系統提示詞中的隱蔽信道)。用 1 個日期格式位 + 3 種撇號變體編碼約 3 bit 環境資訊,藏在一句看起來完全正常的英文句子裡。

Unicode 撇號與日期格式編碼對照
檢測到的情況 日期格式 撇號 Unicode
預設(無命中)2026-06-30U+0027
命中中國機構/經銷商網域2026-06-30U+2019
命中中國 AI 實驗室關鍵詞2026-06-30U+02BC
網域 + 實驗室都命中2026-06-30U+02B9
疊加中國時區2026/06/30(同上規則)

步驟三:與「正常遙測」的邊界

Claude Code 本身確有常規資料收集(事件日誌、Datadog、OpenTelemetry 等),同類 CLI/IDE Agent 工具中並不罕見。本次爭議的問題在於:① 使用隱寫術而非正規、可被使用者發現或關閉的 telemetry 通道;② 從未披露,持續近 3 個月;③ 專門針對特定地域和競爭對手做指紋識別;④ 工具擁有高權限,使用者對「看不見的行為」容忍度更低。

version-check.sh
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
# 或使用內建命令
claude update

徹底解除安裝需清理的殘留路徑:macOS/Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code;Windows:%USERPROFILE%\.claude 及相關快取目錄。企業場景建議解除安裝後還對開發終端做出站流量稽核

05 NVDB、Anthropic、阿里巴巴:各方表態與用詞對照

工信部 / NVDB

  • 定性:安全後門隱患,危害嚴重
  • 描述:內建監控機制,未經使用者同意向遠端伺服器回傳使用者地域、身分識別等敏感資訊
  • 處置建議:全面排查開發終端 → 解除安裝或升級 → 加強核心業務網段外聯權限管控與流量監測

Anthropic / Thariq Shihipar(Claude Code 團隊工程師)

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」,強調目的是反帳號轉售濫用、反模型蒸餾。Anthropic 曾向美國參議院銀行委員會致信,指控阿里巴巴旗下 Qwen 團隊使用近 2.5 萬個欺詐帳號、產生 2880 萬次互動,試圖竊取 Claude 模型能力。

阿里巴巴

  • 內部通知措辭(據 SCMP、Ars Technica 引述):"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
  • 生效時間:2026 年 7 月 10 日
  • 範圍:Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列)
  • 替代方案:內部程式編寫平台 Qoder
國際媒體/技術社群定性用詞對照
來源 關鍵定性用詞 敘事側重
NVDB / 工信部backdoor code / security backdoor risk / severe threat合規與資料外傳風險
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanism中立轉述監管定性 + 企業連鎖反應
The Registercovert code / secret steganography system技術揶揄 + 未披露更新的問責
Ars Technicaspyware-like tracking / secret Claude tracker信任危機 + 政策分析
Cybernews"a nothing burger"(部分技術圈觀點)認為反應過度,實質是反蒸餾工程手段
Anthropic 官方experiment / anti-abuse / anti-distillation measure強調正當防禦目的,非惡意監控

06 事件延伸:中美 AI 模型蒸餾之爭

這不是孤立事件,而是 2026 年中美 AI 競爭的一個縮影:

  • Anthropic 長期禁止中國及「敵對地區」使用者直接存取其模型,但使用者可透過 VPN、境外手機號/信用卡、第三方代理規避
  • 2026 年 2 月,北大與中國科學院研究者發表論文,稱檢測到多數主流中國大模型存在對海外模型的蒸餾痕跡
  • Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未經授權利用 Claude 輸出訓練自家模型
  • Claude Opus 4.8 曾被曝出在測試中「誤認自己是 Qwen / DeepSeek」,被部分評論認為是雙重標準的證據
  • 中國企業普遍轉向自研/開源模型體系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等),阿里內部工具 Qoder 是這一趨勢的具體體現

理解這條背景線,有助於在技術圈「後門 vs 實驗」「反應過度 vs 合理防禦」的爭論中保持客觀:目的(反蒸餾)與手段(隱寫、不披露)應分開評價。

07 Claude Code 後門風波怎麼辦?個人與企業處置清單

個人開發者 Checklist

  1. 檢查版本:執行 claude --version,確認是否在 v2.1.91–2.1.196 區間內。
  2. 檢查代理設定:執行 echo $ANTHROPIC_BASE_URL,確認是否指向非官方端點。
  3. 立即升級:執行 npm install -g @anthropic-ai/claude-code@latestclaude update,升級至 v2.1.197+。
  4. 審查系統時區:確認是否為 Asia/Shanghai / Asia/Urumqi(走代理時尤需關注)。
  5. 按需徹底解除安裝:清理 ~/.claude~/.claude.json 等殘留目錄後重裝最新版。
  6. 評估替代工具:結合場景考慮通義靈碼、Cursor、Qoder 等替代方案,把「遙測透明度」納入選型權重。

企業 IT Checklist

  1. 全面排查開發終端:清點所有安裝 Claude Code 的工作站與 CI 節點。
  2. 強制升級或封禁:對 v2.1.91–2.1.196 版本強制升級;有合規要求的企業可參考阿里做法禁用。
  3. 出站流量稽核:排查是否存在對非授權 AI 服務端點的持續外聯。
  4. 外聯權限管控:加強核心業務網段出站過濾(egress filtering)。
  5. 替代方案評估:評估內部工具(如 Qoder)或國產 AI 程式編寫助手遷移路徑。
  6. 制度文件更新:將第三方 AI 工具納入軟體白名單/黑名單管理流程。

08 Claude Code 後門事件可引用技術數據

  • 受影響版本區間:v2.1.91(2026-04-02)至 v2.1.196(2026-06-29),共近 20 個版本迭代。
  • 修復版本:v2.1.197(部分口徑 v2.1.198,2026-07-01/02),changelog 未明確提及移除項。
  • 網域黑名單條目:約 147 條,XOR(91) + Base64 混淆儲存。
  • 編碼信道容量:1 個日期格式位 + 3 種撇號變體 ≈ 3 bit 環境資訊。
  • Anthropic 反蒸餾指控規模:指控阿里 Qwen 團隊約 2.5 萬欺詐帳號、2880 萬次互動(致美國參議院銀行委員會信函)。
  • 阿里禁令生效日:2026 年 7 月 10 日,涵蓋 Claude Code 及 Anthropic 全系模型產品。

參考來源:IT之家新京報CNBCThe RegisterThereallo、TechCrunch(阿里禁用報導)、Ars Technica。

免責聲明:本文基於工業和信息化部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全稽核結論。請在採取解除安裝、封禁或流量管控措施前,結合本機構安全政策自行評估。

09 Claude Code 後門與工信部警示 FAQ

Q:Claude Code 有後門嗎?
A:在 v2.1.91–2.1.196 中,Anthropic 內建了未披露的隱寫術指紋機制;工信部 NVDB 定性為安全後門隱患,危害嚴重。Anthropic 稱係反蒸餾實驗,已在 v2.1.197 移除。

Q:哪些版本受影響?
A:v2.1.91(2026 年 4 月 2 日)至 v2.1.196(2026 年 6 月 29 日)。請升級至 v2.1.197 及以上。

Q:使用官方 Anthropic API 會受影響嗎?
A:不會。機制僅在 ANTHROPIC_BASE_URL 指向非官方代理或閘道時啟動。

Q:怎麼查 Claude Code 版本?
A:在終端執行 claude --version,或透過 npm list -g @anthropic-ai/claude-code 查看。

Q:Claude Code 還能用嗎?
A:升級至 v2.1.197+ 後技術風險已修復;企業有合規要求可額外選擇解除安裝並稽核出站流量。走官方 API 且非受影響版本的使用者可繼續使用。

Q:用了什麼隱寫術技術?
A:篡改 system prompt 的日期分隔符,並將 Today's 中的撇號替換為不同 Unicode 變體,編碼時區/代理訊號。

Q:阿里巴巴為什麼禁用 Claude Code?
A:阿里在發現後門風險報告後,將其列入高風險軟體清單,2026 年 7 月 10 日起要求員工改用內部工具 Qoder。

Q:Anthropic 在 release notes 裡披露了嗎?
A:沒有。所有受影響版本的 changelog 均未提及該機制。

Q:Claude Code 現在安全嗎?
A:Anthropic 已在 v2.1.197+ 移除相關程式碼;持續信任取決於你所在組織的風險容忍度與合規政策。

Q:模型蒸餾和這件事有什麼關係?
A:蒸餾指用一家模型的輸出訓練另一家模型。Anthropic 稱該機制針對未授權轉售商和蒸餾管道,是中美 AI 競爭大背景下的防禦手段,但實現方式引發廣泛爭議。

10 結語:合規風險、技術信任與 JEXCLOUD 收束

這次事件的部落格價值不在於「複述一條監管新聞」,而在於把三條線擰成一股:監管定性(工信部警示)+ 技術隱寫機制(可驗證的逆向證據)+ 中美 AI 競爭背景(蒸餾戰)。「後門」是監管定性,技術圈更精確的說法是「隱寫術檢測機制」或「covert channel」——呈現這種張力,比單方面渲染恐慌更有說服力。

對於需要在隔離環境中執行 Claude Code 或替代 AI 程式編寫工具的生產團隊,純本地開發機有三個真實短板:家用頻寬抖動導致 SSH/API 長連線中斷筆電合蓋 Agent 任務掛起多開發者共享環境難以稽核權限邊界。對於更穩定、更適合 AI Agent 自動化的生產環境,JEXCLOUD 多區域裸金屬 Mac 是更優解:獨占 Apple Silicon 算力、7×24 在線、按月彈性擴縮,120 秒交付——在雲端 Mac 上跑重型 AI 編碼任務,本地只做互動,同時用獨立網路與時區設定做合規隔離。具體節點與價格請見 JEXCLOUD 定價頁