2026 NVDB
CLAUDE_CODE_
BACKDOOR_
SAFETY_GUIDE.

Claude Code ターミナル バージョン確認 NVDB バックドア警告

導入:Mac ターミナルで Claude Code をお使いで、バージョンが v2.1.91–v2.1.196 の範囲にある場合は、ただちに claude --version でご確認ください。2026年7月8日、中国工业和信息化部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)がリスク提示を発表し、Anthropic の AI プログラミングツールに安全バックドア隐患があり、危害が深刻であると指摘しました——ユーザー同意なしに地域・身元識別子などの機微情報を送信できる組み込み監視機構が存在します。本記事では、タイムライン、ステガノグラフィ技術機構、NVDB / Anthropic / アリババの三方回答、米中 AI 蒸留争いの背景、個人開発者・企業 IT 向け5ステップ対処リスト + FAQ 10問を敬体で詳しく解説いたします。

要点速覧 TL;DR

  • 規制定性:NVDB 7月8日警告、影響バージョン v2.1.91–2.1.196(2026-04-02〜06-29 リリース)
  • トリガー条件ANTHROPIC_BASE_URL が非公式エンドポイントの場合のみ発動——公式 api.anthropic.com ユーザーは影響なし
  • 技術手段:system prompt のステガノグラフィ改変(日付形式 + Unicode アポストロフィ変体)、独立テレメトリチャネルではない
  • 企業連鎖:アリババ 7月10日から全社員 Claude Code 使用禁止、内部ツール Qoder へ移行
  • 即時対応:v2.1.197+ へアップグレード、開発端末の出站制御とトラフィック監視を強化

1. 痛点の分解:なぜ今回は「普通の telemetry 騒ぎ」ではないのか

  1. 高権限ツール + 隠蔽行動:Claude Code はファイルシステム読み書き、Shell コマンド実行などの高権限を持ち、「見えない行動」への許容度は本来低いはずです。
  2. 未開示 + 意図的難読化:機構は約3か月継続し、いずれのバージョン changelog にも記載なし。ドメイン黒名单は XOR(鍵 91)+ Base64 の二重難読化で、標準 strings では直接抽出できません。
  3. 規制が既に定性:NVDB の表現は「安全バックドア隐患、危害深刻」——メディアの釣りタイトルではなく、公式コンプライアンスシグナルです。

⚠️ 執筆・閲覧時は必ず区別してください:Claude Code には通常のデータ収集(イベントログ、Datadog、OpenTelemetry 等)もあり、同種 CLI ツールでは珍しくありません。今回の論点はステガノグラフィチャネル、未開示、特定地域・商業競合相手のフィンガープリントです。

2. 何が起きたか:NVDB 公告と完全タイムライン

項目内容
公告日2026年7月8日
発表機関工业和信息化部 サイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)
隐患の性質組み込み監視機構、ユーザー同意なしに機微情報を送信可能
送信内容ユーザー地域、身元識別子等の機微情報
影響バージョンv2.1.91 〜 v2.1.196
リリース期間2026年4月2日 〜 6月29日
公式処置勧告影響バージョンの直ちにアンインストール / 最新安全版へアップグレード;開発端末の出站制御とトラフィック監視を強化

2.1 事件ナラティブ(Anthropic 埋め込み → 暴露 → ロールバック → アリ禁止 → 工信部定性)

時期出来事
2026年2月Anthropic が反モデル蒸留技術への投資を公表(分類器、行動フィンガープリント、情報共有等)
2026年3月Claude Code 内部で隠蔽検出機構を静かに投入(公開開示なし)
2026-04-02Claude Code v2.1.91 リリース、検出コードが配布開始
2026-04〜06約20バージョン反復、検出ロジック継続、changelog 未記載
2026-06-29v2.1.196 リリース(影響区間最終版)
2026-06-30Reddit ユーザー LegitMichel777 が初報;開発者 Thereallo が技術分析公開;Adnane Khan が GitHub で逆コンパイル報告、v2.1.193/195/196 を検証
2026-07-01Anthropic エンジニア Thariq Shihipar が X で公認、「3月投入の実験的」反悪用/反蒸留機構、翌日版でロールバック約束
2026-07-02v2.1.197(一部 v2.1.198)リリース、ステガノグラフィコード削除、changelog 未明記
2026-07-03/04ロイター、TechCrunch:アリ内部通知、7月10日から Claude Code 及び Anthropic 関連モデル全社禁止、Qoder
2026-07-08工信部 NVDB 正式リスク提示、「安全バックドア隐患、危害深刻」と定性
2026-07-10アリババ内部禁止令が正式発効

3. 誰が本当に影響を受けるか:トリガー条件(誤解防止)

⚠️ 全ユーザーが監視されているわけではありません。隠蔽機構は、環境変数 ANTHROPIC_BASE_URL で API リクエストを非公式エンドポイント(企業ゲートウェイ、第三者プロキシ、API 中継/転売サービス)に向けた場合のみ発動します。公式 api.anthropic.com をお使いの一般ユーザーはこの検出パスをトリガーしません

4. 技術解説:ステガノグラフィ機構の3段階分解

4.1 環境偵察:「中国関連ユーザー」かどうかの判定

トリガー成立後、コードは2種類の判定を実行します:

  1. システムタイムゾーン検出Asia/Shanghai または Asia/Urumqi
  2. プロキシドメイン黒名单マッチANTHROPIC_BASE_URL の hostname を内蔵リストと照合

LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等の独立再現によると、黒名单は147エントリで、中国大手テックドメイン(アリ、支付宝、アント、百度、字节跳动等)、中国 AI ラボキーワード(DeepSeek、Moonshot AI、智譜、MiniMax、Baichuan、StepFun、01.AI 等)、既知 API プロキシ/転売/中継ゲートウェイを含みます。リストは XOR 暗号化(鍵 91)+ Base64 エンコード の二重難読化です。

4.2 ステガノグラフィエンコード:結果を「密かに」送り返す方法

エンコード位置正常値命中後の変体意味
日付区切り2026-06-30(ハイフン)2026/06/30(スラッシュ)中国タイムゾーン命中フラグ
Unicode アポストロフィ ×3標準 ASCII '視覚的にほぼ区別不能な Unicode アポストロフィ3種タイムゾーン / ドメイン / AIラボキーワード命中

日付形式1ビット + アポストロフィ変体3種で約3ビットの環境情報を、一見正常な英文文に隠し、毎リクエスト Anthropic サーバーへ送信します。Adnane Khan は "a covert information channel embedded in system prompts"(system prompt に埋め込まれた隠蔽情報チャネル)と定義しました。

4.3 バージョンと自查コマンド

種別バージョン日付
初の隠蔽機構含有版v2.1.912026-04-02
最終影響版v2.1.1962026-06-29
修正版v2.1.197(一部 2.1.198)2026-07-01/02
# 現在のバージョン確認 claude --version # トリガー条件に関連するプロキシエンドポイント設定の確認 echo $ANTHROPIC_BASE_URL # npm で最新版へアップグレード npm install -g @anthropic-ai/claude-code@latest # または組み込みコマンド claude update

完全アンインストール時に削除すべき残留パス

  • macOS / Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code
  • Windows:%USERPROFILE%\.claude%USERPROFILE%\.claude.json 及び関連キャッシュ

5. 各方の見解:NVDB / Anthropic / アリババ

5.1 工信部 / NVDB

  • 定性:安全バックドア隐患、危害深刻
  • 説明:組み込み監視機構、ユーザー同意なしに地域・身元識別子等をリモートサーバーへ送信
  • 処置勧告:開発端末の全面排查 → アンインストールまたはアップグレード → 核心业务网段の出站権限制御とトラフィック監視強化

5.2 Anthropic / Thariq Shihipar

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

「実験(experiment)」と定性し、「バックドア(backdoor)」ではないと強調。背景として、Anthropic は米上院銀行委員会に書簡を送り、アリババ傘下 Qwen チームが約2.5万の不正アカウント2880万回のインタラクションで Claude モデル能力の窃取を試みたと主張しています。

5.3 アリババ

  • 内部通知(SCMP、Ars Technica 引用):"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
  • 発効:2026年7月10日
  • 範囲:Claude Code 及び Anthropic 関連モデル(Sonnet、Opus、Fable 等)
  • 代替:Qoder

5.4 国際メディア定性対照表

ソースキー定性ナラティブ重点
NVDB / 工信部backdoor code / security backdoor risk / severe threatコンプライアンスとデータ外传リスク
CNBC / Reuters / CBS / CNAsecurity backdoor / built-in monitoring mechanism中立転載 + 企業連鎖反応
The Registercovert code / secret steganography system技術皮肉 + 未開示更新の説明責任
Ars Technicaspyware-like tracking / secret Claude tracker信頼危機 + 政策分析
Cybernews"a nothing burger"(一部技術圏の見解)過剰反応論、反蒸留エンジニアリング手段
Anthropic 公式experiment / anti-abuse / anti-distillation measure正当な防御目的、悪意監視ではない

6. 背景:米中 AI モデル蒸留争い

  • Anthropic は長年、中国及び「敵対地域」ユーザーへの直接アクセスを禁止——VPN、海外電話/クレカ、第三者プロキシで回避可能
  • 2026年2月、北大・中国科学院の論文が主流中国大モデルに海外モデル蒸留痕跡を検出と報告
  • Anthropic は DeepSeek、Moonshot AI、MiniMax、アリババ等の無許可利用を以前から主張
  • Claude Opus 4.8 がテストで「自分は Qwen / DeepSeek」と誤認——二重基準の証拠と一部で評される
  • 中国企業は自研/オープンソース体系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等)へ加速、アリ内部ツール Qoder がその具体化

7. ファクトチェックと執筆リスク(公開前必読)

  1. ⚠️ 全ユーザーが監視されているわけではない——ANTHROPIC_BASE_URL が非公式エンドポイントの場合のみ
  2. ⚠️ 修正バージョン号に二つの口径:v2.1.197(7月1日)と v2.1.198;「2.1.197 以上」で統一推奨
  3. ⚠️ 「バックドア」は規制定性、唯一の定性ではない——技術圏では「ステガノグラフィ検出機構」;Anthropic は「実験」
  4. ⚠️ 直接の帰結はアカウント停止リスク、データ漏洩事故は未確認——過度な煽りは避ける
  5. ⚠️ リリース日にメディア口径の微差(6月29日/30日)あり、Anthropic 公式 changelog と交叉確認推奨

8. 今すぐやること:5ステップ対処リスト

8.1 個人開発者 Checklist

  1. claude --version で v2.1.91–2.1.196 か確認
  2. echo $ANTHROPIC_BASE_URL——非公式エンドポイントなら高リスクトリガー層
  3. npm install -g @anthropic-ai/claude-code@latest または claude update を即実行
  4. アンインストールする場合、~/.claude 等を上記パスで清理
  5. Anthropic 継続利用か Cursor、通義灵码、Qoder 等への移行を評価

8.2 企業 IT Checklist

  1. MDM / 資産管理で全開発端末の Claude Code バージョンを全面排查
  2. v2.1.197+ へ強制アップグレード、またはコンプライアンス方針に従い統一アンインストール
  3. 核心业务网段の出站権限制御:非認可 AI サービスエンドポイントへの接続制限
  4. トラフィック監視api.anthropic.com 及びプロキシゲートウェイへの DNS/HTTPS 監査
  5. 内部代替ツール(Qoder、通義灵码、プライベートモデル)評価とソフトウェアホワイトリスト更新

9. 深度洞察:規制定性後の AI プログラミングツール選定の転換点

7月8日 NVDB 定性と7月10日アリ禁止発効は、本ラウンドの二波の熱度ピークです。Mac 開発者にとって三つの意味があります:コンプライアンスコストが「任意」から「必須」へ;プロキシ経由の節約ルートのリスク急増;国産代替が「性能追従」から「コンプライアンスデフォルト」段階へ。

10. FAQ(10問)

Q1:Claude Code にバックドアはありますか?

v2.1.91–2.1.196 では未開示のステガノグラフィ指紋が組み込まれていました。NVDB は安全バックドア隐患と定性;Anthropic は反蒸留実験と呼び、v2.1.197 で削除しました。

Q2:影響バージョンは?

v2.1.91(2026-04-02)〜 v2.1.196(2026-06-29)。v2.1.197 以上へアップグレードしてください。

Q3:公式 API なら影響は?

ありません。ANTHROPIC_BASE_URL が非公式プロキシ/ゲートウェイの場合のみ発動します。

Q4:バージョン確認方法は?

ターミナルで claude --version を実行してください。

Q5:アンインストールは必要?

影響版は直ちにアップグレード;コンプライアンス要件のある企業は追加でアンインストールと出站監査を検討できます。

Q6:ステガノグラフィの実装は?

system prompt の日付区切りと Unicode アポストロフィ変体で環境フィンガープリントをエンコードします。

Q7:アリが禁止した理由は?

高リスクソフトウェアに指定、7月10日から全社禁止、Qoder へ移行。

Q8:changelog に開示?

いいえ。約3か月の影響版いずれにも言及なし。

Q9:現在は安全?

v2.1.197+ で削除済み;継続利用は組織のリスク許容度次第です。

Q10:蒸留と事件の関係は?

Anthropic は未承認転売業者と蒸留パイプラインを標的とし、中国 AI ラボとの広範な争いの一部と位置づけています。

11. 免責事項

本記事は工信部 NVDB 公告及び公開メディア報道に基づく技術・コンプライアンス参考であり、法的意見やセキュリティ監査結論ではありません。

12. 参考ソース

  • IT之家、新京报(中国語報道)
  • CNBC、The Register、Ars Technica、TechCrunch、Reuters
  • Thereallo、Adnane Khan GitHub 逆コンパイル報告、Vincent Schmalbach 独立再現

13. まとめ:コンプライアンス時代、AI 開発を専用 Mac ノードに隔離

Claude Code バックドア騒動は、高権限 AI プログラミングツールを本番コードベース・API Key と同一マシンで裸走させるべきではないことを示しています。隔離環境で AI プログラミングワークフローを検証したい場合は、MACGPU リモート Mac mini M4 ノード——按需启停、SSH アクセス、スナップショット再構築——のご検討をお勧めいたします。