Security 监管警示 2026.07.09

工信部警示 Claude Code 存在后门风险(2.1.91–2.1.196): 技术解析与开发者处置指南

2026 年 7 月 8 日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,指出美国 Anthropic 公司旗下 AI 编程工具 Claude Codev2.1.91 至 v2.1.196 版本存在安全后门隐患,危害严重——内置监控机制可在未经用户同意的情况下,向远程服务器回传用户地域、身份标识等敏感信息。若你正在使用受影响版本,请立即运行 claude --version 自查并升级至 v2.1.197+

本文面向 Claude Code 开发者、企业 IT 与安全负责人,将完整回答三件事:① 从 Anthropic 埋点、开发者逆向曝光、厂商回滚到工信部定性、阿里禁用的完整故事链;② 隐写术监控机制的技术原理与「谁真正受影响」的限定条件;③ 版本自查、升级卸载、企业外联管控的实操清单。行文聚焦合规风险与未披露监控行为,避免夸大成已证实的数据泄露事故。

01 工信部 Claude Code 后门警示:TL;DR 要点速览

  • 监管定性:NVDB 于 2026 年 7 月 8 日正式警示,定性为「安全后门隐患,危害严重」。
  • 隐患性质:内置监控机制,未经用户同意可回传用户地域、身份标识等敏感信息。
  • 受影响版本:v2.1.91(2026 年 4 月 2 日发布)至 v2.1.196(2026 年 6 月 29 日),持续近 3 个月未写入 changelog。
  • 官方处置建议:立即卸载受影响版本或升级至最新安全版本;加强开发终端外联管控与流量监测。
  • 企业动向:阿里巴巴等企业已限制或禁用 Claude Code,2026 年 7 月 10 日起全员转向内部工具 Qoder
  • 厂商回应:Anthropic 工程师 Thariq Shihipar 承认为 3 月上线的「实验性」反滥用/反模型蒸馏措施,承诺后续版本移除(v2.1.197 已回滚)。
NVDB 公告核心事实一览
项目 内容
隐患性质内置监控机制,未经用户同意可回传敏感信息
回传内容用户地域、身份标识等敏感信息
受影响版本v2.1.91 至 v2.1.196
版本发布区间2026 年 4 月 2 日 至 6 月 29 日
修复版本v2.1.197(部分口径为 v2.1.198,2026 年 7 月 1–2 日)

02 Claude Code 后门事件完整时间线

这条新闻表面是「监管通报」,背后是一条完整的故事链:Anthropic 主动埋点识别中国用户 → 开发者逆向曝光 → 厂商道歉回滚 → 阿里禁用 → 工信部定性为后门

2026 年 Claude Code 后门风波关键节点
时间 事件
2026 年 2 月Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等)
2026 年 3 月Claude Code 内部悄然上线隐蔽检测机制(无公开披露)
2026-04-02Claude Code v2.1.91 发布,隐蔽检测代码随版本开始分发
2026-04 至 06近 20 个版本迭代,检测逻辑持续存在,从未写入 changelog
2026-06-29v2.1.196 发布(受影响区间最后一个版本)
2026-06-30Reddit 用户 LegitMichel777 发帖曝光隐写术检测逻辑;开发者 Thereallo 发布技术分析;安全研究员 Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/195/196 均存在该逻辑
2026-07-01Anthropic 工程师 Thariq Shihipar 在 X 公开承认,称为 3 月上线的「实验性」反滥用/反蒸馏机制,承诺次日版本回滚
2026-07-02Claude Code v2.1.197 发布,移除隐写检测代码,但 changelog 未明确提及此项变更
2026-07-03/04路透社、TechCrunch 报道:阿里巴巴内部通知,7 月 10 日起全员禁止使用 Claude Code 及 Anthropic 相关模型产品,转用内部工具 Qoder
2026-07-08工信部 NVDB 正式发布风险提示,定性为「安全后门隐患,危害严重」
2026-07-10阿里巴巴内部禁令正式生效

博客时效窗口:7 月 8 日官方定性是本轮热度高峰,7 月 10 日阿里禁令生效是第二波小高峰。技术细节可参阅本站 Claude Code 隐写术事件深度解析

03 Claude Code 监控哪些用户?触发条件说明

关键限定:并非所有用户都被监控。 隐蔽机制只有当你设置了环境变量 ANTHROPIC_BASE_URL,将 API 请求指向非官方端点(企业网关、第三方代理、API 中转/转售服务)时才会激活。使用官方 api.anthropic.com 的普通用户不会触发这条检测路径。

  • 痛点一:许多中文自媒体标题写成「Claude Code 监控所有用户」——这不准确,技术读者会据此质疑可信度。
  • 痛点二:该机制的直接后果是账号封禁风险,而非已证实的「数据泄露事故」——公开报道未证实有用户因此遭受直接经济损失。
  • 痛点三:Claude Code 同时拥有文件系统读写、Shell 命令执行等高权限,用户对「看不见的行为」容忍度理应更低。
  • 痛点四:持续近 3 个月未在任何版本 changelog 中披露,专门针对特定地域和商业竞争对手做指纹识别。

写作与决策时请区分:走官方 API 的开发者 vs 走代理/网关的开发者 vs 有合规要求的企业——三者的风险敞口完全不同。

04 Claude Code 隐写术监控机制:技术三步拆解

步骤一:环境侦察——判断你是不是「中国相关用户」

一旦触发条件成立,代码会做两类判断:

  1. 系统时区检测:是否为 Asia/ShanghaiAsia/Urumqi
  2. 代理域名黑名单匹配:ANTHROPIC_BASE_URL 的 hostname 与内置列表比对

黑名单据多方逆向分析(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等)共 147 个条目,涵盖中国大型科技公司域名(阿里巴巴、支付宝、蚂蚁、百度、字节跳动等)、中国 AI 实验室关键词(DeepSeek、Moonshot AI、智谱、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/转售网关域名。列表使用 XOR 加密(密钥 91)+ Base64 编码 双重混淆。

步骤二:隐写编码——把结果「偷偷」传回去

本事件被称为「隐写术(steganography)」而非普通「遥测(telemetry)」的关键:它没有走独立数据上报通道,而是篡改了发给模型的 system prompt 本身

  • 日期分隔符:命中中国时区时,日期格式由 2026-06-30(连字符)变为 2026/06/30(斜杠)
  • Unicode 撇号替换:Today's date is 中的标准撇号 ' 被替换为 3 种视觉上几乎无法分辨、但 Unicode 编码不同的撇号字符,编码「时区命中 / 域名命中 / AI 实验室关键词命中」三个布尔标志位

安全研究员 Adnane Khan 将其定义为 「a covert information channel embedded in system prompts」(嵌入系统提示词中的隐蔽信道)。用 1 个日期格式位 + 3 种撇号变体编码约 3 bit 环境信息,藏在一句看起来完全正常的英文句子里。

Unicode 撇号与日期格式编码对照
检测到的情况 日期格式 撇号 Unicode
默认(无命中)2026-06-30U+0027
命中中国机构/经销商域名2026-06-30U+2019
命中中国 AI 实验室关键词2026-06-30U+02BC
域名 + 实验室都命中2026-06-30U+02B9
叠加中国时区2026/06/30(同上规则)

步骤三:与「正常遥测」的边界

Claude Code 本身确有常规数据收集(事件日志、Datadog、OpenTelemetry 等),同类 CLI/IDE Agent 工具中并不罕见。本次争议的问题在于:① 使用隐写术而非正规、可被用户发现或关闭的 telemetry 通道;② 从未披露,持续近 3 个月;③ 专门针对特定地域和竞争对手做指纹识别;④ 工具拥有高权限,用户对「看不见的行为」容忍度更低。

version-check.sh
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
# 或使用内置命令
claude update

彻底卸载需清理的残留路径:macOS/Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code;Windows:%USERPROFILE%\.claude 及相关缓存目录。企业场景建议卸载后还对开发终端做出站流量审计

05 NVDB、Anthropic、阿里巴巴:各方表态与用词对照

工信部 / NVDB

  • 定性:安全后门隐患,危害严重
  • 描述:内置监控机制,未经用户同意向远程服务器回传用户地域、身份标识等敏感信息
  • 处置建议:全面排查开发终端 → 卸载或升级 → 加强核心业务网段外联权限管控与流量监测

Anthropic / Thariq Shihipar(Claude Code 团队工程师)

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻译要点:定性为「实验(experiment)」而非「后门(backdoor)」,强调目的是反账户转售滥用、反模型蒸馏。Anthropic 曾向美国参议院银行委员会致信,指控阿里巴巴旗下 Qwen 团队使用近 2.5 万个欺诈账号、产生 2880 万次交互,试图窃取 Claude 模型能力。

阿里巴巴

  • 内部通知措辞(据 SCMP、Ars Technica 引述):"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
  • 生效时间:2026 年 7 月 10 日
  • 范围:Claude Code 及 Anthropic 相关模型产品(Sonnet、Opus、Fable 等系列)
  • 替代方案:内部编程平台 Qoder
国际媒体/技术社区定性用词对照
来源 关键定性用词 叙事侧重
NVDB / 工信部backdoor code / security backdoor risk / severe threat合规与数据外传风险
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanism中立转述监管定性 + 企业连锁反应
The Registercovert code / secret steganography system技术揶揄 + 未披露更新的问责
Ars Technicaspyware-like tracking / secret Claude tracker信任危机 + 政策分析
Cybernews"a nothing burger"(部分技术圈观点)认为反应过度,实质是反蒸馏工程手段
Anthropic 官方experiment / anti-abuse / anti-distillation measure强调正当防御目的,非恶意监控

06 事件延伸:中美 AI 模型蒸馏之争

这不是孤立事件,而是 2026 年中美 AI 竞争的一个缩影:

  • Anthropic 长期禁止中国及「敌对地区」用户直接访问其模型,但用户可通过 VPN、境外手机号/信用卡、第三方代理规避
  • 2026 年 2 月,北大与中国科学院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹
  • Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未经授权利用 Claude 输出训练自家模型
  • Claude Opus 4.8 曾被曝出在测试中「误认自己是 Qwen / DeepSeek」,被部分评论认为是双重标准的证据
  • 中国企业普遍转向自研/开源模型体系(DeepSeek、通义 Qwen、Kimi/Moonshot、智谱、MiniMax 等),阿里内部工具 Qoder 是这一趋势的具体体现

理解这条背景线,有助于在技术圈「后门 vs 实验」「反应过度 vs 合理防御」的争论中保持客观:目的(反蒸馏)与手段(隐写、不披露)应分开评价。

07 Claude Code 后门风波怎么办?个人与企业处置清单

个人开发者 Checklist

  1. 检查版本:运行 claude --version,确认是否在 v2.1.91–2.1.196 区间内。
  2. 检查代理配置:运行 echo $ANTHROPIC_BASE_URL,确认是否指向非官方端点。
  3. 立即升级:执行 npm install -g @anthropic-ai/claude-code@latestclaude update,升级至 v2.1.197+。
  4. 审查系统时区:确认是否为 Asia/Shanghai / Asia/Urumqi(走代理时尤需关注)。
  5. 按需彻底卸载:清理 ~/.claude~/.claude.json 等残留目录后重装最新版。
  6. 评估替代工具:结合场景考虑通义灵码、Cursor、Qoder 等替代方案,把「遥测透明度」纳入选型权重。

企业 IT Checklist

  1. 全面排查开发终端:清点所有安装 Claude Code 的工作站与 CI 节点。
  2. 强制升级或封禁:对 v2.1.91–2.1.196 版本强制升级;有合规要求的企业可参考阿里做法禁用。
  3. 出站流量审计:排查是否存在对非授权 AI 服务端点的持续外联。
  4. 外联权限管控:加强核心业务网段出站过滤(egress filtering)。
  5. 替代方案评估:评估内部工具(如 Qoder)或国产 AI 编程助手迁移路径。
  6. 制度文档更新:将第三方 AI 工具纳入软件白名单/黑名单管理流程。

08 Claude Code 后门事件可引用技术数据

  • 受影响版本区间:v2.1.91(2026-04-02)至 v2.1.196(2026-06-29),共近 20 个版本迭代。
  • 修复版本:v2.1.197(部分口径 v2.1.198,2026-07-01/02),changelog 未明确提及移除项。
  • 域名黑名单条目:约 147 条,XOR(91) + Base64 混淆存储。
  • 编码信道容量:1 个日期格式位 + 3 种撇号变体 ≈ 3 bit 环境信息。
  • Anthropic 反蒸馏指控规模:指控阿里 Qwen 团队约 2.5 万欺诈账号、2880 万次交互(致美国参议院银行委员会信函)。
  • 阿里禁令生效日:2026 年 7 月 10 日,覆盖 Claude Code 及 Anthropic 全系模型产品。

参考来源:IT之家新京报CNBCThe RegisterThereallo、TechCrunch(阿里禁用报道)、Ars Technica。

免责声明:本文基于工业和信息化部 NVDB 公告及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。请在采取卸载、封禁或流量管控措施前,结合本机构安全政策自行评估。

09 Claude Code 后门与工信部警示 FAQ

Q:Claude Code 有后门吗?
A:在 v2.1.91–2.1.196 中,Anthropic 内置了未披露的隐写术指纹机制;工信部 NVDB 定性为安全后门隐患,危害严重。Anthropic 称系反蒸馏实验,已在 v2.1.197 移除。

Q:哪些版本受影响?
A:v2.1.91(2026 年 4 月 2 日)至 v2.1.196(2026 年 6 月 29 日)。请升级至 v2.1.197 及以上。

Q:使用官方 Anthropic API 会受影响吗?
A:不会。机制仅在 ANTHROPIC_BASE_URL 指向非官方代理或网关时激活。

Q:怎么查 Claude Code 版本?
A:在终端运行 claude --version,或通过 npm list -g @anthropic-ai/claude-code 查看。

Q:Claude Code 还能用吗?
A:升级至 v2.1.197+ 后技术风险已修复;企业有合规要求可额外选择卸载并审计出站流量。走官方 API 且非受影响版本的用户可继续使用。

Q:用了什么隐写术技术?
A:篡改 system prompt 的日期分隔符,并将 Today's 中的撇号替换为不同 Unicode 变体,编码时区/代理信号。

Q:阿里巴巴为什么禁用 Claude Code?
A:阿里在发现后门风险报告后,将其列入高风险软件清单,2026 年 7 月 10 日起要求员工改用内部工具 Qoder。

Q:Anthropic 在 release notes 里披露了吗?
A:没有。所有受影响版本的 changelog 均未提及该机制。

Q:Claude Code 现在安全吗?
A:Anthropic 已在 v2.1.197+ 移除相关代码;持续信任取决于你所在组织的风险容忍度与合规政策。

Q:模型蒸馏和这件事有什么关系?
A:蒸馏指用一家模型的输出训练另一家模型。Anthropic 称该机制针对未授权转售商和蒸馏管道,是中美 AI 竞争大背景下的防御手段,但实现方式引发广泛争议。

10 结语:合规风险、技术信任与 JEXCLOUD 收束

这次事件的博客价值不在于「复述一条监管新闻」,而在于把三条线拧成一股:监管定性(工信部警示)+ 技术隐写机制(可验证的逆向证据)+ 中美 AI 竞争背景(蒸馏战)。「后门」是监管定性,技术圈更精确的说法是「隐写术检测机制」或「covert channel」——呈现这种张力,比单方面渲染恐慌更有说服力。

对于需要在隔离环境中运行 Claude Code 或替代 AI 编程工具的生产团队,纯本地开发机有三个真实短板:家用宽带抖动导致 SSH/API 长连接中断笔记本合盖 Agent 任务挂起多开发者共享环境难以审计权限边界。对于更稳定、更适合 AI Agent 自动化的生产环境,JEXCLOUD 多区域裸金属 Mac 是更优解:独占 Apple Silicon 算力、7×24 在线、按月弹性扩缩,120 秒交付——在云端 Mac 上跑重型 AI 编码任务,本地只做交互,同时用独立网络与时区配置做合规隔离。具体节点与价格请见 JEXCLOUD 定价页