2026 MIIT
CLAUDE_
CODE_
BACKDOOR.
TL;DR:2026 年 7 月 8 日,工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB)正式發布風險提示,指出美國 Anthropic 公司 AI 程式設計工具 Claude Code 在 v2.1.91 至 v2.1.196 版本存在安全後門隱患,危害嚴重——內建監控機制可在未經使用者同意下,向遠端伺服器回傳使用者地域、身分識別等敏感資訊。這不是孤立新聞:Anthropic 3 月埋點 → 4 月隨版本分發 → 6 月 Reddit/逆向社群曝光 → 7 月 1 日廠商回滾 → 7 月 8 日監管定性 → 7 月 10 日阿里巴巴內部禁令生效。本文按 NVDB 公告與多方一手來源,還原完整時間線、隱寫術技術機制、NVDB/Anthropic/阿里三方表態、中美 AI 蒸餾戰背景、六項事實核查、個人與企業處置 Runbook、10 條 FAQ 與 Mac 隔離選型建議。
1. 痛點拆解:誰該立刻行動?
若你在 Mac 終端機跑 Claude Code,且符合以下任一條件,本文的處置清單與你直接相關:
- 版本落在 2.1.91–2.1.196:隱蔽檢測邏輯隨版本分發近三個月,從未寫入 changelog。
- 設定了非官方
ANTHROPIC_BASE_URL:走企業閘道、LiteLLM、OpenRouter、API 轉售/中轉——這才是觸發隱寫指紋的關鍵條件,非所有使用者都會被監控。 - 企業 IT/合規負責人:NVDB 建議全面排查開發終端、加強外聯權限管控與流量監測;阿里已將 Claude Code 列為高風險軟體。
- 高權限本機 Agent 使用者:Claude Code 具檔案系統讀寫與 Shell 執行權限,「看不見的分類訊號」比常規 telemetry 更難被接受。
2. NVDB 公告核心要點
| 維度 | 詳情 |
|---|---|
| 發布機構 | 工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB) |
| 發布日期 | 2026 年 7 月 8 日 |
| 涉及產品 | Anthropic Claude Code(CLI AI 程式設計工具) |
| 監管定性 | 安全後門隱患,危害嚴重 |
| 隱患描述 | 內建監控機制,未經使用者同意可向遠端伺服器回傳使用者地域、身分識別等敏感資訊 |
| 受影響版本 | v2.1.91 至 v2.1.196(2026-04-02 至 2026-06-29 發布區間) |
| 官方處置建議 | 立即卸載受影響版本或升級至最新安全版本;加強開發終端外聯權限管控與流量監測 |
NVDB 定性把一條早已在技術社群發酵的故事鏈收束為監管結論:Anthropic 主動埋點識別中國相關使用者 → 開發者逆向曝光 → 廠商承認並回滾 → 阿里禁用 → 工信部定為後門。
3. 完整時間線
| 時間 | 事件 |
|---|---|
| 2026 年 2 月 | Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等) |
| 2026 年 3 月 | Claude Code 內部悄然上線隱蔽檢測機制(無公開披露) |
| 2026-04-02 | Claude Code v2.1.91 發布,隱蔽檢測程式碼隨版本開始分發 |
| 2026-04 至 06 | 中間近 20 個版本迭代,檢測邏輯持續存在,從未寫入 changelog |
| 2026-06-29 | v2.1.196 發布(受影響區間最後一版) |
| 2026-06-30 | Reddit 用戶 LegitMichel777 發文首次曝光;開發者 Thereallo 發布技術分析;Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在 |
| 2026-07-01 | Anthropic 工程師 Thariq Shihipar 在 X 公開承認,稱為 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日版本回滾 |
| 2026-07-02 | Claude Code v2.1.197(部分口徑為 2.1.198)發布,移除隱寫檢測程式碼,changelog 未明確提及 |
| 2026-07-03/04 | 路透社、TechCrunch 報導:阿里巴巴內部通知,7 月 10 日起禁止員工使用 Claude Code 及 Anthropic 相關模型,改以內部工具 Qoder |
| 2026-07-08 | 工信部 NVDB 正式發布風險提示,定性為安全後門隱患,危害嚴重 |
| 2026-07-10 | 阿里巴巴內部禁令正式生效 |
4. 技術機制深度還原:隱寫術而非普通遙測
4.1 觸發條件(最易被誤解的關鍵)
隱蔽機制不是對所有使用者生效。只有當環境變數 ANTHROPIC_BASE_URL 將 API 請求指向非官方端點(企業閘道、第三方代理、API 中轉/轉售服務)時才會啟動。使用官方 api.anthropic.com 的普通使用者不會觸發這條檢測路徑——寫作與自查時務必加此限定,避免被技術讀者指出失實。
4.2 環境偵察:判斷是否為「中國相關使用者」
觸發後,程式做兩類判斷:
- 系統時區檢測:是否為
Asia/Shanghai或Asia/Urumqi - 代理域名黑名單匹配:將
ANTHROPIC_BASE_URL的 hostname 與內建列表比對
據 LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等獨立復現,黑名單共 147 個條目,涵蓋中國大型科技公司域名(阿里、支付寶、螞蟻、百度、字節等)、中國 AI 實驗室關鍵字(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/轉售閘道。列表使用 XOR 加密(金鑰 91)+ Base64 編碼 雙重混淆,strings 無法直接提取,須完整逆向二進位才能還原。
4.3 隱寫編碼:如何把結果「偷偷」傳回去
本事件被稱為「隱寫術(steganography)」而非普通 telemetry 的關鍵——它沒有走獨立資料上報通道,而是篡改了發給模型的 system prompt 本身:
- 日期分隔符:命中中國時區時,日期由
2026-06-30(連字號)變為2026/06/30(斜線) - Unicode 撇號替換:
Today's date is中的標準撇號'被替換為 3 種視覺幾乎無法分辨、Unicode 編碼不同的撇號,編碼「時區命中/域名命中/AI 實驗室關鍵字命中」三個布林旗標
| 檢測到的情況 | 日期格式 | 撇號字元 | Unicode |
|---|---|---|---|
| 預設(無命中) | 2026-06-30 | 標準撇號 | U+0027 |
| 命中中國機構/經銷商域名 | 2026-06-30 | 右單引號 | U+2019 |
| 命中中國 AI 實驗室關鍵字 | 2026-06-30 | 修飾符撇號 | U+02BC |
| 域名 + 實驗室皆命中 | 2026-06-30 | 修飾符角分號 | U+02B9 |
| 疊加中國時區 | 2026/06/30 | (同上規則) | — |
安全研究員 Adnane Khan 將其定義為 「a covert information channel embedded in system prompts」(嵌入 system prompt 的隱蔽資訊通道)。用 1 個日期格式位 + 3 種撇號變體 編碼約 3 bit 環境資訊,藏在一行看似正常的英文句子裡,隨每次請求送交 Anthropic 伺服器解析。
4.4 與「正常遙測」的邊界
Claude Code 本身確有大量已知常規資料收集(事件日誌、Datadog、OpenTelemetry 等),同類 CLI/IDE Agent 並不罕見。本次爭議在於:
- 使用隱寫術而非可被使用者發現或關閉的正規 telemetry 通道
- 從未在任何版本 changelog 中披露,持續近 3 個月
- 專門針對特定地域與特定商業競爭對手做指紋識別
- 工具同時擁有檔案系統讀寫、Shell 命令執行等高權限
4.5 版本與自查命令
| 類型 | 版本號 | 日期 |
|---|---|---|
| 首個含隱蔽機制版本 | v2.1.91 | 2026-04-02 |
| 最後受影響版本 | v2.1.196 | 2026-06-29 |
| 修復版本 | v2.1.197(部分口徑 2.1.198) | 2026-07-01/02 |
徹底卸載需清理的殘留路徑(macOS/Linux):~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code。企業場景:卸載不是終點,還應對開發終端做出站流量審計,排查對非授權 AI 服務端點的持續外聯。
5. 各方表態與用詞對照
5.1 工信部/NVDB
- 定性:安全後門隱患,危害嚴重
- 描述:內建監控機制,未經使用者同意向遠端伺服器回傳使用者地域、身分識別等敏感資訊
- 處置:全面排查開發終端 → 卸載或升級 → 加強核心業務網段外聯權限管控與流量監測
5.2 Anthropic/Thariq Shihipar(Claude Code 團隊工程師,X 平台原話)
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」,強調目的是反帳戶轉售濫用、反模型蒸餾,且團隊本就計劃下線。補充背景:Anthropic 曾向美國參議院銀行委員會致信,指控阿里巴巴旗下 Qwen 團隊使用近 2.5 萬個欺詐帳號、產生 2880 萬次互動,試圖竊取 Claude 模型能力——這是理解 Anthropic 為何對「蒸餾」如此緊張的關鍵脈絡。
5.3 阿里巴巴
| 維度 | 詳情 |
|---|---|
| 內部措辭(據 SCMP、Ars Technica 引述) | "As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." |
| 生效時間 | 2026 年 7 月 10 日 |
| 範圍 | Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列) |
| 替代方案 | 內部程式設計平台 Qoder |
5.4 國際媒體/技術社群定性對照
| 來源 | 關鍵定性用詞 | 敘事側重 |
|---|---|---|
| NVDB/工信部 | backdoor code / security backdoor risk / severe threat | 合規與資料外傳風險 |
| CNBC/Reuters/CBS/CNA | security backdoor / built-in monitoring mechanism | 中立轉述監管定性 + 企業連鎖反應 |
| The Register | covert code / secret steganography system | 技術揶揄 + 未披露更新的問責 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信任危機 + 政策分析 |
| Cybernews | "a nothing burger"(部分技術圈觀點) | 認為反應過度,實質是反蒸餾工程手段 |
| Anthropic 官方 | experiment / anti-abuse / anti-distillation measure | 強調正當防禦目的,非惡意監控 |
6. 事件延伸背景:中美 AI 蒸餾戰
這不是孤立事件,而是 2026 年中美 AI 競爭的縮影:
- Anthropic 長期禁止中國及「敵對地區」使用者直接存取其模型,但使用者可透過 VPN、境外手機號/信用卡、第三方代理規避
- 2026 年 2 月,北大與中國科學院研究者發表論文,稱檢測到多數主流中國大模型存在對海外模型的蒸餾痕跡
- Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未經授權利用 Claude 輸出訓練自家模型;致參議院銀行委員會信中具體指控阿里 Qwen 團隊以約 2.5 萬欺詐帳號大規模蒸餾
- Claude Opus 4.8 曾在測試中「誤認自己是 Qwen/DeepSeek」,被部分評論視為雙重標準的證據,讓 Anthropic 這次「埋點識別中國使用者」更顯尷尬
- 中國企業普遍轉向自研/開源模型體系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等),阿里內部工具 Qoder 是這一趨勢的具體體現
7. 事實核查與寫作風險點
- 不是所有使用者都被監控——只有設定了
ANTHROPIC_BASE_URL走非官方端點的使用者才會觸發,標題式表述前務必加限定語 - 修復版本號存在兩種口徑:多數一手報導稱 v2.1.197(7 月 1 日),部分中文技術媒體稱 v2.1.198;建議統一採用「2.1.197 及以上版本」
- 「後門」是監管定性,不是唯一定性——技術圈更精確的說法是「隱寫術檢測機制」或 covert channel;Anthropic 自稱「實驗」
- 直接後果是「帳號封禁風險」,而非已證實的「資料外洩事故」——公開報導未證實有使用者因此遭受直接經濟損失,應聚焦「未披露的監控行為」與「合規風險」本身
- 目的(反蒸餾)與手段(隱寫)要分開評價——合規寫作宜用「據爆料/據逆向報告/被指控(alleged)」等措辭
- 版本發布日期:媒體對 v2.1.196 發布日有 6 月 29 日/30 日細微差異,以 Anthropic 官方 changelog 為準
8. 個人開發者處置 Runbook
- 立即查版本:執行
claude --version;若在 2.1.91–2.1.196,升級至 2.1.197+ - 檢查 ANTHROPIC_BASE_URL:未設定或指向官方端點 → 事件 B 邏輯不觸發;若走 LiteLLM/OpenRouter/企業閘道,2.1.197 前已被分類
- 升級並保留記錄:
npm install -g @anthropic-ai/claude-code@latest或claude update;Anthropic 已移除隱寫邏輯,但 changelog 未披露——建議保留升級記錄 - 評估是否卸載:對合規敏感或不再信任廠商披露的使用者,可徹底卸載並清理
~/.claude*殘留 - 檢查時區設定:
Asia/Shanghai/Asia/Urumqi會疊加日期分隔符訊號(僅走代理時)
9. 企業 IT 合規處置清單
- 全面盤點開發終端:掃描所有安裝 Claude Code 的工作站與 CI 節點版本
- 封禁或升級受影響版本:參考阿里做法,將 2.1.91–2.1.196 列為高風險;強制升級 2.1.197+ 或統一卸載
- 出站流量審計:監控對非授權 AI 服務端點(含
ANTHROPIC_BASE_URL自訂閘道)的持續外聯 - 外聯權限管控:NVDB 建議加強核心業務網段 egress filtering;開發子網與生產網段隔離
- 替代方案評估:內部工具(如 Qoder)、國產 AI 程式設計助手、或經審批的官方 API 直連
- 政策更新:將「未披露隱蔽通道」納入第三方 AI 工具准入審查;要求供應商 changelog 透明
10. 部署決策矩陣:Mac 開發者如何選型
| 部署方式 | 觸發風險 | 憑證/代理隔離 | 適合場景 | 本事件關聯 |
|---|---|---|---|---|
| 本機 Mac 裸跑 + 自訂 Base URL | 高(2.1.197 前) | 差(.env 明文) | 僅個人實驗 | 隱寫指紋典型觸發 |
| 官方 API 直連、無自訂 URL | 無(此機制路徑) | 中 | 一般開發 | 不受本次隱寫邏輯影響 |
| 企業 LiteLLM 閘道 + 舊版 Claude Code | 高 | 中 | 多模型路由 | 合法場景也會被分類 |
| 隔離遠端 Mac 節點 + SSH 隧道 | 低 | 良 | Agent 開發/測試 | API Key 與本機分離,可快照回滾 |
11. FAQ(10 條)
Q1:Claude Code 真的有後門嗎?
A:在 v2.1.91–2.1.196 中,Anthropic 內建了未披露的隱寫術指紋機制。工信部 NVDB 將其定性為「安全後門隱患,危害嚴重」;Anthropic 則稱為反濫用/反蒸餾實驗,並在 2.1.197 移除。
Q2:哪些版本受影響?
A:v2.1.91(2026-04-02)至 v2.1.196(2026-06-29)。請升級至 v2.1.197 或更新版本。
Q3:使用官方 Anthropic API 會受影響嗎?
A:不會。機制僅在 ANTHROPIC_BASE_URL 指向非官方代理或閘道時啟動。
Q4:如何檢查版本?
A:終端機執行 claude --version,或 npm list -g @anthropic-ai/claude-code。
Q5:我應該卸載 Claude Code 嗎?
A:受影響版本請立即升級;有合規要求的企業可額外卸載並審計出站流量。
Q6:用了什麼隱寫術?
A:篡改 system prompt 日期分隔符,並以 Unicode 撇號變體(U+0027/U+2019/U+02BC/U+02B9)編碼環境訊號。
Q7:阿里巴巴為什麼禁用?
A:內部通知將 Claude Code 列為高風險軟體,7 月 10 日起禁止員工使用,改以 Qoder 替代。
Q8:Anthropic 有在 release notes 披露嗎?
A:沒有。所有受影響版本 changelog 均未提及,持續近三個月。
Q9:現在 Claude Code 安全嗎?
A:2.1.197+ 已移除相關程式碼;是否繼續使用取決於組織風險容忍度與合規政策。
Q10:什麼是模型蒸餾?與此事件有何關聯?
A:蒸餾指用一個模型的輸出訓練另一個模型。Anthropic 稱機制針對未授權轉售與蒸餾管線;此前曾指控阿里 Qwen 等以大量欺詐帳號竊取 Claude 能力,是理解「為何埋點」的關鍵背景。
12. 參考信源
- 工信部 NVDB 風險提示(2026-07-08)
- IT之家:《工信部發布風險提示:Claude Code 存在安全後門,可能洩露使用者敏感資訊》
- 新京報:《工信部:Claude Code 存在安全後門隱患,危害嚴重》
- 36氪:《工信部首次定調:Claude Code 危害嚴重》
- 騰訊雲開發者社群:《Claude Code 被爆暗藏「木馬」程式碼,Anthropic 官方出面承認並承諾回滾》
- CNBC:China warns about AI risks with Anthropic's Claude Code
- The Register:China: Ditch older Claude versions with backdoor code;Anthropic is removing its covert code for catching Chinese competitors
- TechCrunch:Alibaba reportedly bans employees from using Claude Code
- Ars Technica:Secret Claude tracker shocks users after Anthropic's anti-surveillance stance
- Thereallo:Claude Code Is Steganographically Marking Requests(技術逆向一手來源)
- Vincent Schmalbach:Claude Code Is Quietly Fingerprinting China-Linked API Routers
- Cybernews:Claude Code attempts to detect Chinese users: Fair?
- Thariq Shihipar(Anthropic)X 平台公開回應(2026-07-01)
免責聲明:本文基於工信部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全審計結論。請在採取卸載、封禁或流量管控措施前,結合本機構安全政策自行評估。
13. 收束:高權限 AI Agent,隔離 Mac 節點是更穩的選型
工信部 NVDB 定性把 Claude Code 後門風波推上合規議程:未披露的隱寫指紋 + 檔案系統/Shell 高權限,對 Mac 終端開發者而言已是 2026 年必須正視的架構風險。Windows/Linux 雲主機可以跑 Claude Code,卻在 Xcode 工具鏈、Cursor/Claude Code 協同、Apple Silicon 本地推理場景不如 Mac 順手。關鍵不是「換平台」,而是把 Agent 實驗與真實 API Key/生產資料分層——用一台不存生產金鑰、不映射公網端口的隔離 Mac 跑 Claude Code,透過 SSH 隧道存取;被攻破時可一鍵快照回滾,記憶體與頻寬在租賃節點上獨立管控,而不污染本機。
若你需要在隔離環境中繼續驗證 Claude Code/OpenClaw Agent 工作流、同時滿足企業外聯審計要求,可考慮 MACGPU 遠端 Mac mini M4 節點:不映射公網埠、按需啟停、可快照重建——把 NVDB 警示變成可管理的架構決策,而非被動等待下一個未披露的「標點符號秘密」。