2026 工信部
CLAUDE_CODE_
BACKDOOR_
NVDB_ALERT.

Claude Code terminal version check command cybersecurity

导语:如果你在 Mac 终端用 Claude Code 写代码,且版本落在 v2.1.91–v2.1.196,请立刻运行 claude --version 自查。2026 年 7 月 8 日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,指出 Anthropic 旗下 AI 编程工具存在安全后门隐患,危害严重——内置监控机制可在未经用户同意时回传地域、身份标识等敏感信息。本文按监管定性主线,完整还原时间线、隐写术技术机制、NVDB / Anthropic / 阿里三方回应、中美 AI 蒸馏战背景,并提供个人开发者与企业 IT 的五步处置清单 + 10 条 FAQ

要点速览 TL;DR

  • 监管定性:NVDB 7 月 8 日警示,受影响版本 v2.1.91–2.1.196(2026-04-02 至 06-29 发布)
  • 触发条件:仅当设置 ANTHROPIC_BASE_URL 走非官方端点时激活——官方 api.anthropic.com 用户不受影响
  • 技术手段:隐写术改写 system prompt(日期格式 + Unicode 撇号变体),非独立遥测通道
  • 企业连锁:阿里 7 月 10 日起全员禁用 Claude Code,转向内部工具 Qoder
  • 立即行动:升级至 v2.1.197+,企业加强开发终端外联管控与流量监测

1. 痛点拆解:为什么这次不是「普通 telemetry 小题大做」

  1. 高权限工具 + 隐蔽行为:Claude Code 拥有文件系统读写、Shell 命令执行等高权限,用户对「看不见的行为」容忍度理应更低。
  2. 未披露 + 刻意混淆:机制持续近 3 个月,从未写入任何版本 changelog;域名黑名单经 XOR(密钥 91)+ Base64 双重混淆,标准 strings 无法直接提取。
  3. 监管已定性:NVDB 用词为「安全后门隐患,危害严重」——这不是自媒体标题党,而是官方合规信号。

⚠️ 写作与阅读时务必区分:Claude Code 确有常规数据收集(事件日志、Datadog、OpenTelemetry 等),同类 CLI 工具并不罕见。本次争议在于隐写术通道、未披露、针对特定地域与商业竞争对手指纹识别——若混为一谈,资深开发者会在评论区反驳你。

2. 发生了什么:NVDB 公告与完整时间线

项目内容
公告日期2026 年 7 月 8 日
发布机构工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)
隐患性质内置监控机制,未经用户同意可回传敏感信息
回传内容用户地域、身份标识等敏感信息
受影响版本v2.1.91 至 v2.1.196
版本发布区间2026 年 4 月 2 日 至 6 月 29 日
官方处置建议立即卸载受影响版本 / 升级至最新安全版本;加强开发终端外联管控与流量监测

2.1 事件叙事链(Anthropic 埋点 → 曝光 → 回滚 → 阿里禁用 → 工信部定性)

时间事件
2026 年 2 月Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等)
2026 年 3 月Claude Code 内部悄然上线隐蔽检测机制(无公开披露)
2026-04-02Claude Code v2.1.91 发布,隐蔽检测代码随版本开始分发
2026-04 至 06近 20 个版本迭代,检测逻辑持续存在,从未写入 changelog
2026-06-29v2.1.196 发布(受影响区间最后一个版本)
2026-06-30Reddit 用户 LegitMichel777 首发曝光;开发者 Thereallo 发布技术分析;安全研究员 Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/195/196 均存在该逻辑
2026-07-01Anthropic 工程师 Thariq Shihipar 在 X 公开承认,称为 3 月上线的「实验性」反滥用/反蒸馏机制,承诺次日版本回滚
2026-07-02v2.1.197(部分口径 v2.1.198)发布,移除隐写检测代码,changelog 未明确提及
2026-07-03/04路透社、TechCrunch 报道:阿里内部通知 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型,转用 Qoder
2026-07-08工信部 NVDB 正式发布风险提示,定性「安全后门隐患,危害严重」
2026-07-10阿里巴巴内部禁令正式生效

3. 谁会真正受影响:触发条件(关键去误导环节)

⚠️ 不是所有用户都被监控。隐蔽机制仅当用户设置了环境变量 ANTHROPIC_BASE_URL,将 API 请求指向非官方端点(企业网关、第三方代理、API 中转/转售服务)时才会激活。使用官方 api.anthropic.com 的普通用户不会触发这条检测路径。

很多中文自媒体标题写成「Claude Code 监控所有用户」——这是不准确的,容易被技术读者指出错误,损害内容可信度。本文所有结论均加此限定语。

4. 技术怎么回事:隐写术机制三步拆解

4.1 环境侦察:判断你是不是「中国相关用户」

触发条件成立后,代码执行两类判断:

  1. 系统时区检测:是否为 Asia/ShanghaiAsia/Urumqi
  2. 代理域名黑名单匹配:将 ANTHROPIC_BASE_URL 的 hostname 与内置列表比对

据多方逆向分析(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等独立复现),黑名单共 147 个条目,涵盖:

  • 中国大型科技公司域名(阿里、支付宝、蚂蚁、百度、字节跳动等)
  • 中国 AI 实验室关键词(DeepSeek、Moonshot AI、智谱、MiniMax、Baichuan、StepFun、01.AI 等)
  • 已知 API 代理/转售/中转网关域名

列表使用 XOR 加密(密钥 91)+ Base64 编码 双重混淆,必须完整逆向二进制才能还原。

4.2 隐写编码:怎么把结果「偷偷」传回去

本事件被称为「隐写术(steganography)」而非普通「遥测(telemetry)」的关键——它没有走独立数据上报通道,而是篡改了发给模型的 system prompt 本身

编码位正常值命中后变体含义
日期分隔符2026-06-30(连字符)2026/06/30(斜杠)中国时区命中标志
Unicode 撇号 ×3标准 ASCII '3 种视觉几乎无法分辨的 Unicode 撇号时区命中 / 域名命中 / AI 实验室关键词命中

1 个日期格式位 + 3 种撇号变体 编码约 3 bit 环境信息,藏在一句看起来完全正常的英文句子里,随每次请求发送给 Anthropic 服务器解析。安全研究员 Adnane Khan 将其定义为 "a covert information channel embedded in system prompts"(嵌入系统提示词中的隐蔽信道)。

4.3 版本与自查命令速查

类型版本号日期
首个含隐蔽机制版本v2.1.912026-04-02
最后受影响版本v2.1.1962026-06-29
修复版本v2.1.197(部分口径 2.1.198)2026-07-01/02
# 检查当前版本 claude --version # 检查是否配置了触发条件相关的代理端点 echo $ANTHROPIC_BASE_URL # npm 方式升级到最新版 npm install -g @anthropic-ai/claude-code@latest # 或使用内置命令 claude update

彻底卸载需清理的残留路径

  • macOS / Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code
  • Windows:%USERPROFILE%\.claude%USERPROFILE%\.claude.json 及相关本地缓存目录

企业场景:卸载不是终点,还应对开发终端做出站流量审计,排查是否存在对非授权 AI 服务端点的持续外联。

5. 各方怎么说:NVDB / Anthropic / 阿里 三方引述

5.1 工信部 / NVDB

  • 定性:安全后门隐患,危害严重
  • 描述:内置监控机制,未经用户同意向远程服务器回传用户地域、身份标识等敏感信息
  • 处置建议:全面排查开发终端 → 卸载或升级 → 加强核心业务网段外联权限管控与流量监测

5.2 Anthropic / Thariq Shihipar(Claude Code 团队工程师)

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻译要点:定性为「实验(experiment)」而非「后门(backdoor)」,强调目的是反账户转售滥用、反模型蒸馏。补充背景:Anthropic 曾向美国参议院银行委员会致信,指控阿里巴巴旗下 Qwen 团队使用近 2.5 万个欺诈账号、产生 2880 万次交互,试图窃取 Claude 模型能力。

5.3 阿里巴巴

  • 内部通知措辞(据 SCMP、Ars Technica 引述):"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
  • 生效时间:2026 年 7 月 10 日
  • 范围:Claude Code 及 Anthropic 相关模型产品(Sonnet、Opus、Fable 等系列)
  • 替代方案:内部编程平台 Qoder

5.4 国际媒体定性用词对照

来源关键定性用词叙事侧重
NVDB / 工信部backdoor code / security backdoor risk / severe threat合规与数据外传风险
CNBC / Reuters / CBS / CNAsecurity backdoor / built-in monitoring mechanism中立转述监管定性 + 企业连锁反应
The Registercovert code / secret steganography system技术揶揄 + 未披露更新的问责
Ars Technicaspyware-like tracking / secret Claude tracker信任危机 + 政策分析
Cybernews"a nothing burger"(部分技术圈观点)认为反应过度,实质是反蒸馏工程手段
Anthropic 官方experiment / anti-abuse / anti-distillation measure强调正当防御目的,非恶意监控

6. 背景延伸:中美 AI 模型蒸馏之争

这不是孤立事件,而是 2026 年中美 AI 竞争的一个缩影:

  • Anthropic 长期禁止中国及「敌对地区」用户直接访问其模型,但用户可通过 VPN、境外手机号/信用卡、第三方代理规避
  • 2026 年 2 月,北大与中国科学院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹
  • Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未经授权利用 Claude 输出训练自家模型
  • Claude Opus 4.8 曾被曝出在测试中「误认自己是 Qwen / DeepSeek」,被部分评论认为是双重标准的证据
  • 中国企业普遍转向自研/开源模型体系(DeepSeek、通义 Qwen、Kimi/Moonshot、智谱、MiniMax 等),阿里内部工具 Qoder 是这一趋势的具体体现

7. 事实核查与写作风险点(发稿前必读)

  1. ⚠️ 不是所有用户都被监控——只有设置了 ANTHROPIC_BASE_URL 走非官方端点的用户才会触发
  2. ⚠️ 修复版本号存在两种口径:多数一手报道称 v2.1.197(7 月 1 日),部分中文技术媒体称 v2.1.198;建议统一采用「2.1.197 及以上版本」
  3. ⚠️ 「后门」是监管定性,不是唯一定性——技术圈更精确说法是「隐写术检测机制」或 covert channel;Anthropic 自称「实验」
  4. ⚠️ 直接后果是账号封禁风险,而非已证实的数据泄露事故——公开报道未证实有用户因此遭受直接经济损失,行文避免过度渲染
  5. ⚠️ 版本发布日期存在媒体口径细微差异(6 月 29 日 / 6 月 30 日),建议与 Anthropic 官方 GitHub changelog 交叉核对

8. 你现在该做什么:五步处置清单

8.1 个人开发者 Checklist

  1. 运行 claude --version,确认是否在 v2.1.91–2.1.196 区间
  2. 检查 echo $ANTHROPIC_BASE_URL——若指向非官方端点,你属于高风险触发人群
  3. 立即执行 npm install -g @anthropic-ai/claude-code@latestclaude update
  4. 若决定卸载,按上文路径清理 ~/.claude 等残留目录
  5. 评估是否继续使用 Anthropic 产品,或转向 Cursor、通义灵码、Qoder 等替代方案

8.2 企业 IT Checklist

  1. 全面排查研发终端已安装 Claude Code 版本(可用 MDM / 资产管理系统批量扫描)
  2. 强制升级至 v2.1.197+ 或按合规政策统一卸载
  3. 加强核心业务网段外联权限管控:限制对非授权 AI 服务端点的出站连接
  4. 部署流量监测:审计开发机对 api.anthropic.com 及代理网关的 DNS/HTTPS 请求
  5. 评估内部替代工具(Qoder、通义灵码、私有化部署模型)并更新软件白名单

9. 深度洞察:监管定性后的 AI 编程工具选型拐点

7 月 8 日 NVDB 定性与 7 月 10 日阿里禁令生效,构成本轮事件的两波热度高峰。对 Mac 开发者而言,这意味着三件事:

第一,合规成本正在从「可选」变「必选」。以往个人开发者可以「装个 CLI 先试试」,企业采购则开始要求供应商提供安全审计报告、出站流量白名单与版本锁定策略。Claude Code 事件加速了「AI 编程工具 = 高权限终端软件」的认知——与 IDE 插件、SSH 密钥管理同级对待。

第二,「走代理省钱」的路径风险陡增。设置 ANTHROPIC_BASE_URL 指向第三方中转,不仅可能触发厂商反滥用检测(本次隐写术正是为此设计),还可能被监管视为敏感数据外传通道。2880 万次交互的蒸馏指控与 147 个域名黑名单,说明 Anthropic 对中国 AI 生态的警惕已写入产品代码——这不是公关话术,是工程决策。

第三,国产替代从「性能追赶」进入「合规默认」阶段。阿里 Qoder、通义灵码、DeepSeek API、Cursor 多模型路由——企业不再只问「哪个模型更强」,而是问「哪个工具不会被下周的监管公告点名」。对仍在 Mac 上混用 Claude Code + 本地 MLX + OpenClaw Agent 的开发者,建议把开发环境隔离写进架构:敏感代码库与 API Key 不与实验性 AI 工具同机。

10. FAQ(10 条)

Q1:Claude Code 有后门吗?

在 v2.1.91–2.1.196 中,Anthropic 内置了未披露的隐写术指纹。NVDB 定性为安全后门隐患;Anthropic 称为反蒸馏实验,已在 v2.1.197 移除。

Q2:哪些版本受影响?

v2.1.91(2026-04-02)至 v2.1.196(2026-06-29)。升级至 v2.1.197 及以上。

Q3:我用官方 API 会受影响吗?

不会。仅当 ANTHROPIC_BASE_URL 指向非官方代理或网关时激活。

Q4:怎么查版本?

终端运行 claude --version

Q5:需要卸载吗?

受影响版本应立即升级;有合规要求的企业可额外卸载并审计出站流量。

Q6:隐写术怎么实现的?

篡改 system prompt 日期分隔符与 Unicode 撇号变体,编码环境指纹。

Q7:阿里为什么禁用?

列为高风险软件,7 月 10 日起全员禁用,转向 Qoder。

Q8:changelog 披露了吗?

没有。近 3 个月受影响版本均未提及。

Q9:现在安全吗?

v2.1.197+ 已移除;是否继续使用取决于组织风险容忍度。

Q10:蒸馏与事件有何关系?

Anthropic 称机制针对未授权转售商与蒸馏管道,是与中国 AI 实验室更广泛争议的一部分。

11. 免责声明

本文基于工业和信息化部 NVDB 公告及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。请在采取卸载、封禁或流量管控措施前,结合本机构安全政策自行评估。

12. 参考来源

  • IT之家:《工信部发布风险提示:Claude Code 存在安全后门》
  • 新京报:《工信部:Claude Code存在安全后门隐患,危害严重》
  • CNBC:China warns about AI risks with Anthropic's Claude Code
  • The Register:China: Ditch older Claude versions with backdoor code
  • Ars Technica:Secret Claude tracker shocks users
  • TechCrunch:Alibaba reportedly bans employees from using Claude Code
  • Thereallo:Claude Code Is Steganographically Marking Requests
  • Adnane Khan GitHub 逆向报告;Vincent Schmalbach 独立复现

13. 收束:合规时代,把 AI 开发隔离到专用 Mac 节点

Claude Code 后门风波说明:高权限 AI 编程工具不应与生产代码库、API Key 同机裸奔。Windows/Linux 云主机可以跑 Claude Code,却在 Apple Silicon 本地 MLX 推理、终端工具链协同、快照隔离回滚方面不如 Mac 可控。若你需要在隔离环境中验证 AI 编程工作流、避免本机凭证与敏感项目同池,可考虑 MACGPU 远程 Mac mini M4 节点:按需启停、SSH 访问、被攻破时可快照重建——把监管合规要求变成可管理的架构决策。