TL;DR:2026年7月8日、中国工業和信息化部(MIIT)傘下のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)がリスク警告を発表し、米国 Anthropic 社の AI プログラミングツール Claude Code の v2.1.91 から v2.1.196 に深刻なセキュリティバックドアリスクがあると指摘しました。組み込み監視機構がユーザーの同意なく地域情報や識別子をリモートサーバーへ送信する可能性があるとされています。本記事では、Claude Code を利用中の開発者と企業 IT チーム向けに、イベントのタイムライン、システムプロンプト内ステガノグラフィの技術機構、NVDB・Anthropic・阿里巴巴の三方声明、米中 AI 蒸留戦争の背景を整理し、バージョン確認・アップグレード・アンインストール・企業コンプライアンス対応の6ステップチェックリストを提示します。ANTHROPIC_BASE_URL でプロキシエンドポイントを設定している場合は、直ちに claude --version でバージョンを確認してください。
今回のニュースは単なる「規制当局の通報」ではなく、一連の出来事の帰結です。Anthropic が中国関連ユーザーの識別コードを埋め込む → 開発者がリバースエンジニアリングで暴露 → ベンダーが謝罪してロールバック → 阿里巴巴が禁止 → MIIT がバックドアと定性という流れを理解することが、「Claude Code は今も使えるか」を判断する前提となります。
| 時期 | 出来事 |
|---|---|
| 2026年2月 | Anthropic が反モデル蒸留技術(分類器、行動フィンガープリント、情報共有など)への投資を公表 |
| 2026年3月 | Claude Code 内部に隠蔽検出機構が静かに導入され、公開開示なし |
| 2026-04-02 | Claude Code v2.1.91 リリース。隠蔽検出コードがバージョン配布に含まれる |
| 2026年4月〜6月 | 約20バージョンの反復で検出ロジックが継続存在。changelog に一度も記載なし |
| 2026-06-29 | v2.1.196 リリース(影響範囲の最終バージョン) |
| 2026-06-30 | Reddit ユーザー LegitMichel777 がステガノグラフィ検出を初公開。Thereallo が技術分析を発表。Adnane Khan が GitHub でリバースエンジニアリング報告を公開し、v2.1.193/195/196 に該当ロジックがあることを検証 |
| 2026-07-01 | エンジニア Thariq Shihipar が X で3月導入の「実験的」反悪用・反蒸留機構であることを認め、翌日のロールバックを約束 |
| 2026-07-02 | v2.1.197(一部報道では v2.1.198)リリース。ステガノグラフィ検出コードを削除。changelog には明記なし |
| 2026-07-03/04 | ロイター、TechCrunch が報道:阿里巴巴は7月10日から Claude Code および Anthropic 関連モデルを全面禁止し、社内ツール Qoder へ移行 |
| 2026-07-08 | MIIT NVDB が正式リスク警告を発表。「セキュリティバックドアリスク、危害深刻」と定性 |
| 2026-07-10 | 阿里巴巴の社内禁止令が正式発効 |
論点の整理:Claude Code はファイルシステムの読み書きや Shell コマンド実行など高権限を持ちます。開発者は「見えない動作」に対してより低い許容度を持つべきです。今回の機構は約3ヶ月間未開示のまま存在し、直接の帰結はアカウント停止リスクとコンプライアンス上の懸念であり、現時点で確認された「データ漏洩事件」ではありません。過度な煽りを避け、未開示の監視行為そのものに焦点を当てて説明します。
最も誤解されやすく、かつ正確に説明すべき点です。隠蔽機構はすべてのユーザーに発動するわけではありません。「Claude Code が全ユーザーを監視する」という見出しは不正確であり、技術記事としての信頼性を損ないます。
| ユーザータイプ | 検出の発動 | リスクレベル |
|---|---|---|
公式 API ユーザーANTHROPIC_BASE_URL 未設定、api.anthropic.com へ直接接続 | いいえ | 低(ただし v2.1.197 以降へのアップグレードを推奨) |
企業ゲートウェイ / サードパーティプロキシユーザーANTHROPIC_BASE_URL が非公式エンドポイントを指す | はい | 高(v2.1.91–2.1.196 期間中にフィンガープリントされる) |
| 中国タイムゾーン + プロキシドメインがブラックリストに命中 | はい | 最高(ステガノグラフィ符号が毎リクエストで送信される) |
| 企業従業員(阿里巴巴など) | — | 高リスクソフトウェアに指定。7/10 から全面禁止 |
トリガー後、コードは2種類の環境偵察を行います。
システムタイムゾーン検出:Asia/Shanghai または Asia/Urumqi かどうかを確認します
プロキシドメインのブラックリスト照合:ANTHROPIC_BASE_URL の hostname を内蔵の 147 件のルールと照合します。阿里巴巴、百度、バイトダンス、DeepSeek、Moonshot、智谱、MiniMax など中国のテック企業・AI ラボ関連ドメイン、および既知の API 中継・転売ゲートウェイが含まれます
ブラックリストの難読化方式:リストは XOR 暗号化(キー 91)+ Base64 エンコードの二重難読化が施されており、strings コマンドでは直接抽出できません。バイナリの完全なリバースエンジニアリングが必要です。これが本事件が「ステガノグラフィ」と呼ばれる根拠の一つです。
セキュリティ研究者 Adnane Khan はこれを 「a covert information channel embedded in system prompts」(システムプロンプトに埋め込まれた隠蔽情報チャネル)と定義しました。独立したデータ送信チャネルは使わず、モデルへ送る system prompt 自体を改変しています。
中国タイムゾーンに命中した場合、system prompt 内の日付形式が 2026-06-30(ハイフン)から 2026/06/30(スラッシュ)に変わり、1 bit の環境情報をエンコードします。
Today's date is の標準アポストロフィ ' が、視覚的にはほぼ判別不能だが Unicode コードポイントが異なる3種類のアポストロフィ文字に置き換えられます。それぞれ「タイムゾーン命中」「ドメイン命中」「AI ラボキーワード命中」の3つのブールフラグをエンコードします。
約 3 bit の環境情報が、一見正常な英文の1文の中に隠され、毎回の API リクエストとともに Anthropic サーバーへ送信されます。
| 観点 | 今回のステガノグラフィ機構 | 通常のテレメトリ(Datadog/OpenTelemetry 等) |
|---|---|---|
| 開示方法 | 約3ヶ月間 changelog に一切記載なし | 通常はプライバシーポリシーに概説あり |
| 送信チャネル | system prompt 内のステガノグラフィ符号 | 独立したテレメトリチャネル。監査で発見可能 |
| 対象 | 特定地域 + 商業競合のフィンガープリント | 一般的な利用統計とエラーログ |
| ツール権限 | ファイル読み書き + Shell 実行の高権限を併用 | 同種の CLI/IDE Agent にもあるが、ユーザーは予期可能 |
| 区分 | バージョン | 日付 |
|---|---|---|
| 隠蔽機構を含む最初のバージョン | v2.1.91 | 2026-04-02 |
| 最後の影響バージョン | v2.1.196 | 2026-06-29 |
| 修正バージョン | v2.1.197(一部報道では 2.1.198) | 2026-07-01/02 |
# 現在のバージョンを確認 claude --version # トリガー条件に関連するプロキシエンドポイントの設定を確認 echo $ANTHROPIC_BASE_URL # npm で最新版へアップグレード npm install -g @anthropic-ai/claude-code@latest # または組み込みコマンドを使用 claude update
定性:セキュリティバックドアリスク、危害深刻。内容:組み込み監視機構がユーザーの同意なくリモートサーバーへ地域情報や識別子などの機微情報を送信する可能性がある。処置勧告:開発端末の全面調査、アンインストールまたはアップグレード、コア業務ネットワークの外向き通信権限管理とトラフィック監視の強化。
「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.」
要約すると、「バックドア(backdoor)」ではなく「実験(experiment)」と位置づけ、未許可アカウント転売の悪用防止とモデル蒸留対策を強調しています。背景として、Anthropic は米国上院銀行委員会に書簡を送り、阿里巴巴 Qwen チームが約 2.5 万の不正アカウントで 2,880 万回のインタラクションを行い、Claude モデルの能力窃取を試みたと主張しています。
社内通知の文言(SCMP、Ars Technica 引用):「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」発効日は 2026年7月10日。対象は Claude Code および Anthropic 関連モデル製品(Sonnet、Opus、Fable シリーズなど)。代替手段は社内プログラミングプラットフォーム Qoder です。
| 情報源 | 主要な定性用語 | 報道の焦点 |
|---|---|---|
| NVDB / MIIT | backdoor / security backdoor risk / severe threat | コンプライアンスとデータ外部送信リスク |
| CNBC / Reuters | security backdoor / built-in monitoring mechanism | 規制当局の定性と企業の連鎖反応を中立的に伝達 |
| The Register | covert code / secret steganography system | 技術的説明責任と未開示アップデート |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信頼危機と政策分析 |
| Cybernews | 「a nothing burger」(一部技術コミュニティの見解) | 過剰反応と見なし、実質は反蒸留のエンジニアリング手段 |
| Anthropic 公式 | experiment / anti-abuse / anti-distillation | 正当な防御目的を強調。悪意の監視ではないと主張 |
これは孤立した事件ではなく、2026年の米中 AI 競争の縮図です。
この背景を理解することで、Anthropic が「蒸留」に対してなぜこれほど神経質だったのか、そして今回の埋め込みコード事件が技術コミュニティで「正当な防御 vs 越境した監視」という激しい議論を引き起こした理由が見えてきます。
バージョン確認:claude --version を実行し、v2.1.91–2.1.196 の範囲内かどうかを確認します
エンドポイント確認:echo $ANTHROPIC_BASE_URL を実行し、非公式プロキシやゲートウェイ経由かどうかを確認します
直ちにアップグレード:npm install -g @anthropic-ai/claude-code@latest または claude update で v2.1.197 以降へ更新します
完全アンインストール(任意):macOS/Linux の残留パス ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code を削除します
企業の外向き通信監査:開発端末の外向きトラフィックを監査し、非許可 AI サービスエンドポイントへの継続的な外部接続がないか確認します。コア業務ネットワークの egress filtering を強化します
代替案の評価:Qoder、通義灵码、Cursor などの国産・セルフホスト型ソリューションを客観的に比較し、チームのコンプライアンス方針に合わせて選定します
国産代替ツール(通義灵码、Qoder など)への移行や、ローカル Mac 上での Claude Code 継続利用には、モデル能力の差、企業コンプライアンス承認の長期化、マルチ Agent 並列シナリオでのローカル算力ボトルネックが伴います。安定した iOS CI/CD パイプライン、AI Agent の自動化オーケストレーション、高リスク CLI ツールを管理された環境に隔離したい本番チームにとって、NodeMini の Mac Mini クラウドレンタルは有力な選択肢です。専用ハードウェア、SSH アクセス、監査可能な外向きトラフィックを備えたリモートノードで、より安全な運用が可能です。料金体系は Mac Mini レンタル価格ページ、Agent ツールの隔離運用ガイドは クラウド Mac ヘルプセンターをご参照ください。
免責事項:本記事は MIIT NVDB 公告および公開報道に基づく技術・コンプライアンス参考情報であり、法的助言やセキュリティ監査の結論を構成しません。アンインストール、禁止、トラフィック制御の実施前に、各組織のセキュリティ方針に基づき独自に評価してください。
v2.1.91–2.1.196 では、Anthropic が未開示のステガノグラフィ検出コードを組み込んでいました。MIIT NVDB はセキュリティバックドアリスクと定性し、Anthropic は反蒸留実験と呼び v2.1.197 で削除しました。技術コミュニティではより正確に「ステガノグラフィ検出機構」または covert channel と表現します。関連技術の深掘りは ステガノグラフィ詳細解説記事をご覧ください。
いいえ。本機構は ANTHROPIC_BASE_URL が非公式プロキシやゲートウェイを指す場合にのみ発動します。api.anthropic.com へ直接接続する一般ユーザーはこの検出パスをトリガーしません。
npm uninstall -g @anthropic-ai/claude-code を実行し、~/.claude、~/.claude.json などの残留ディレクトリを削除します。企業環境ではアンインストール後に外向きトラフィック監査も行うべきです。Agent 開発環境を隔離したい場合は NodeMini レンタルプランをご検討ください。
バックドアリスクが暴露された後、阿里巴巴は Claude Code を高リスクソフトウェアリストに追加し、2026年7月10日から社員全員の利用を禁止しました。Anthropic 関連モデルも対象です。社内ツール Qoder へ移行します。これは Anthropic が以前 Qwen チームの大規模蒸留を主張した背景と密接に関連しています。
いいえ。影響バージョン範囲の changelog には本機構への言及がありません。v2.1.197 での削除時も明示的な記載はありませんでした。The Register など海外メディアが説明責任の焦点としています。
Anthropic は v2.1.197 以降でステガノグラフィコードを削除しました。ただし継続利用は組織のリスク許容度とコンプライアンス方針に依存します。一部の技術コミュニティ(Cybernews など)は実質的に反蒸留のエンジニアリング手段であり過剰反応と見ています。企業ユーザーは自社の監査結果に基づいて判断すべきです。
蒸留とは、他モデルの出力を使って自社モデルを訓練することです。Anthropic は今回の機構が未許可転売業者と蒸留パイプラインへの対策であると説明しています。Anthropic の埋め込み動機と米中 AI 競争の背景を理解する鍵となります。Agent ツールのコンプライアンス運用は ヘルプセンターもご参照ください。
多くの一次報道では v2.1.197(7月1日)とされています。一部の中国語技術メディアでは v2.1.198 と報じています。「v2.1.197 以降」という表現を統一し、アップグレード前に claude --version で確認することを推奨します。
国内では Qoder(阿里巴巴社内)、通義灵码、Cursor などがあります。海外では Codex CLI、Gemini CLI などが選択肢です。選定にはモデル能力、コンプライアンス承認、算力要件のバランスが必要です。詳細は 4大 AI プログラミングアシスタント比較記事をご覧ください。
公開報道では、本機構により具体的なユーザーが直接的な経済損失やデータ悪用を受けた事例は確認されていません。直接の帰結はアカウント停止リスクとコンプライアンス上の懸念であり、確認された「データ漏洩事故」ではありません。未開示の監視行為とコンプライアンスリスクそのものに焦点を当てるべきです。