工信部警示 Claude Code 存在後門風險
2.1.91–2.1.196 版本技術解析與開發者處置指南(2026)

TL;DR:2026 年 7 月 8 日,工業和信息化部網絡安全威脅和漏洞信息共享平台(NVDB)發布風險提示,指出美國 Anthropic 旗下 AI 程式設計工具 Claude Codev2.1.91 至 v2.1.196 版本存在安全後門隱患,危害嚴重——內建監控機制可未經使用者同意回傳地域、身分識別等敏感資訊。本文面向正在使用 Claude Code 的開發者與企業 IT 團隊,完整還原事件時間線、隱寫術技術機制、NVDB / Anthropic / 阿里巴巴三方表態、中美 AI 蒸餾戰背景,並給出版本自查、升級、解除安裝與企業合規處置六步清單。若你設定了 ANTHROPIC_BASE_URL 走代理端點,請立即執行 claude --version 排查。

01

工信部 Claude Code 後門警示:完整時間線與事件鏈

這則新聞表面是「監管通報」,背後是一條完整的故事鏈:Anthropic 主動埋點識別中國相關使用者 → 開發者逆向曝光 → 廠商道歉回滾 → 阿里禁用 → 工信部定性為後門。理解這條鏈條,是判斷「Claude Code 還能不能用」的前提。

時間事件
2026 年 2 月Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等)
2026 年 3 月Claude Code 內部悄然上線隱蔽檢測機制,無公開披露
2026-04-02Claude Code v2.1.91 發布,隱蔽檢測程式碼隨版本開始分發
2026-04 至 06近 20 個版本迭代,檢測邏輯持續存在,從未寫入 changelog
2026-06-29v2.1.196 發布(受影響區間最後一個版本)
2026-06-30Reddit 使用者 LegitMichel777 發文首次曝光隱寫術檢測;Thereallo 發布技術分析;Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯
2026-07-01工程師 Thariq Shihipar 在 X 承認係 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日回滾
2026-07-02v2.1.197(部分口徑 v2.1.198)發布,移除隱寫檢測程式碼,changelog 未明確提及
2026-07-03/04路透社、TechCrunch 報導:阿里巴巴 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型,轉用內部工具 Qoder
2026-07-08工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」
2026-07-10阿里巴巴內部禁令正式生效
warning

痛點拆解:Claude Code 擁有檔案系統讀寫、Shell 命令執行等高權限。開發者對「看不見的行為」容忍度理應更低——而本次機制持續近 3 個月未披露,直接後果是帳號封禁風險與合規隱患,而非已證實的「資料外洩醜聞」。行文應避免過度渲染,聚焦未披露監控行為本身。

02

誰會真正受影響?Claude Code 監控觸發條件說明

這是最容易誤解、也最需要講清楚的一點:隱蔽機制並非對所有使用者生效。許多中文自媒體標題寫成「Claude Code 監控所有使用者」——這不準確,會損害技術可信度。

使用者類型是否觸發檢測風險等級
官方 API 使用者
未設定 ANTHROPIC_BASE_URL,直連 api.anthropic.com
低(但仍建議升級至 v2.1.197+)
企業閘道 / 第三方代理使用者
設定了 ANTHROPIC_BASE_URL 指向非官方端點
高(v2.1.91–2.1.196 期間會被指紋識別)
中國時區 + 代理網域命中黑名單最高(隱寫編碼隨每次請求回傳)
企業員工(阿里等)已列入高風險軟體,7/10 起全面禁用

觸發後,程式碼會做兩類環境偵察:

  1. 1

    系統時區檢測:是否為 Asia/ShanghaiAsia/Urumqi

  2. 2

    代理網域黑名單比對:ANTHROPIC_BASE_URL 的 hostname 與內建 147 條規則比對,涵蓋阿里、百度、字節、DeepSeek、Moonshot、智譜、MiniMax 等中國科技公司與 AI 實驗室相關網域,以及已知 API 中轉/轉售閘道

info

黑名單混淆方式:列表使用 XOR 加密(金鑰 91)+ Base64 編碼雙重混淆,使 strings 命令無法直接提取,必須完整逆向二進位檔才能還原——這也是事件被稱為「隱寫術」而非普通遙測的關鍵證據之一。

03

Claude Code 隱寫術監控機制:技術三步拆解

安全研究員 Adnane Khan 將其定義為 「a covert information channel embedded in system prompts」(嵌入系統提示詞中的隱蔽通道)。它沒有走獨立資料上報通道,而是篡改了發給模型的 system prompt 本身

步驟一:日期分隔符變體

命中中國時區時,system prompt 中的日期格式由 2026-06-30(連字號)變為 2026/06/30(斜線),編碼 1 bit 環境資訊。

步驟二:Unicode 撇號替換

Today's date is 中的標準撇號 ' 被替換為 3 種視覺上幾乎無法分辨、但 Unicode 編碼不同的撇號字元,分別編碼「時區命中 / 網域命中 / AI 實驗室關鍵字命中」三個布林旗標位。

步驟三:隨請求靜默回傳

3 bit 環境資訊藏在一個看起來完全正常的英文句子裡,隨每次 API 請求發送給 Anthropic 伺服器解析。

維度本次隱寫術機制常規遙測(Datadog/OpenTelemetry 等)
披露方式近 3 個月零 changelog 披露通常在隱私政策中有籠統說明
傳輸通道嵌入 system prompt 隱寫編碼獨立 telemetry 通道,可被稽核發現
目標對象特定地域 + 商業競爭對手指紋識別通用使用統計與錯誤日誌
工具權限同時擁有檔案讀寫 + Shell 執行高權限同類 CLI/IDE Agent 亦有,但使用者可預期

受影響版本 vs 安全版本速查

類型版本號日期
首個含隱蔽機制版本v2.1.912026-04-02
最後受影響版本v2.1.1962026-06-29
修復版本v2.1.197(部分口徑 2.1.198)2026-07-01/02
bash
# 檢查目前版本
claude --version

# 檢查是否設定了觸發條件相關的代理端點
echo $ANTHROPIC_BASE_URL

# npm 方式升級到最新版
npm install -g @anthropic-ai/claude-code@latest

# 或使用內建命令
claude update
04

各方怎麼說?NVDB、Anthropic 與阿里巴巴表態對照

工信部 / NVDB

定性:安全後門隱患,危害嚴重。描述:內建監控機制,未經使用者同意向遠端伺服器回傳使用者地域、身分識別等敏感資訊。處置建議:全面排查開發終端機 → 解除安裝或升級 → 加強核心業務網段外聯權限管控與流量監測。

Anthropic / Thariq Shihipar(Claude Code 工程師)

「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.」

翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」,強調反帳號轉售濫用、反模型蒸餾目的。補充背景:Anthropic 曾致信美國參議院銀行委員會,指控阿里巴巴 Qwen 團隊使用約 2.5 萬欺詐帳號、產生 2880 萬次互動,試圖竊取 Claude 模型能力。

阿里巴巴

內部通知措辭(據 SCMP、Ars Technica 引述):「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」生效時間 2026 年 7 月 10 日,範圍涵蓋 Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列),替代方案為內部程式設計平台 Qoder

來源關鍵定性用詞敘事側重
NVDB / 工信部backdoor / security backdoor risk / severe threat合規與資料外傳風險
CNBC / Reuterssecurity backdoor / built-in monitoring mechanism中立轉述監管定性 + 企業連鎖反應
The Registercovert code / secret steganography system技術問責 + 未披露更新
Ars Technicaspyware-like tracking / secret Claude tracker信任危機 + 政策分析
Cybernews「a nothing burger」(部分技術圈觀點)認為反應過度,實質是反蒸餾工程手段
Anthropic 官方experiment / anti-abuse / anti-distillation強調正當防禦目的,非惡意監控
05

背景延伸:中美 AI 模型蒸餾之爭

這不是孤立事件,而是 2026 年中美 AI 競爭的一個縮影:

  • Anthropic 長期禁止中國及「敵對地區」使用者直接存取其模型,但使用者可透過 VPN、境外手機號/信用卡、第三方代理規避
  • 2026 年 2 月,北大與中國科學院研究者發表論文,稱檢測到多數主流中國大模型存在對海外模型的蒸餾痕跡
  • Anthropic 此前指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未經授權利用 Claude 輸出訓練自家模型
  • Claude Opus 4.8 曾被曝出在測試中「誤認自己是 Qwen / DeepSeek」,被部分評論認為是雙重標準的證據
  • 中國企業普遍轉向自研/開源模型體系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等),阿里內部工具 Qoder 是這一趨勢的具體體現

理解這條背景線,有助於判斷 Anthropic 為何對「蒸餾」如此緊張,以及為何本次埋點事件在技術圈引發「正當防禦 vs 越界監控」的激烈爭論。

06

Claude Code 後門風波怎麼辦?六步自查與處置清單

  1. 01

    版本自查:執行 claude --version,確認是否在 v2.1.91–2.1.196 區間

  2. 02

    端點檢查:執行 echo $ANTHROPIC_BASE_URL,確認是否走非官方代理/閘道

  3. 03

    立即升級:執行 npm install -g @anthropic-ai/claude-code@latestclaude update,升級至 v2.1.197+

  4. 04

    徹底解除安裝(可選):清理 macOS/Linux 殘留路徑 ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code

  5. 05

    企業出站稽核:對開發終端機做出站流量稽核,排查是否存在對非授權 AI 服務端點的持續外聯;加強核心業務網段 egress filtering

  6. 06

    替代方案評估:客觀對比 Qoder、通義靈碼、Cursor 等國產/自託管方案,結合團隊合規政策選型

可引用硬核資料(EEAT)

  • 受影響版本區間:v2.1.91(2026-04-02)至 v2.1.196(2026-06-29),持續約 3 個月未在 changelog 披露
  • 代理網域黑名單:據多方逆向分析共 147 條條目(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等獨立復現)
  • 隱寫編碼容量:1 個日期格式位 + 3 種 Unicode 撇號變體 ≈ 3 bit 環境指紋,嵌入 system prompt 隨每次請求回傳
  • 阿里蒸餾指控規模:Anthropic 致信美國參議院,指控 Qwen 團隊約 2.5 萬欺詐帳號、2880 萬次互動

轉向國產替代工具(如通義靈碼、Qoder)或繼續在本地 Mac 上執行 Claude Code,往往面臨模型能力差距、企業合規審批週期長、以及本地算力在多 Agent 並行場景下的瓶頸。對於需要穩定 iOS CI/CD 流水線、AI Agent 自動化編排、且希望將高風險 CLI 工具隔離在受控環境中的生產團隊,NodeMini 的 Mac Mini 雲端租賃——提供獨占硬體、SSH 接入與出站流量可稽核的遠端節點——通常是更穩妥的落地路徑。詳見 Mac Mini 雲端租賃方案

免責聲明:本文基於工業和信息化部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全稽核結論。請在採取解除安裝、封禁或流量管控措施前,結合本機構安全政策自行評估。

FAQ

常見問題

在 v2.1.91–2.1.196 中,Anthropic 內建了未披露的隱寫術檢測程式碼。工信部 NVDB 定性為安全後門隱患;Anthropic 稱為反蒸餾實驗,已在 v2.1.197 移除。技術圈更精確的說法是「隱寫術檢測機制」或 covert channel。

不會。該機制僅在 ANTHROPIC_BASE_URL 指向非官方代理或閘道時啟動。直連 api.anthropic.com 的一般使用者不會觸發這條檢測路徑。

執行 npm uninstall -g @anthropic-ai/claude-code,並清理 ~/.claude~/.claude.json 等殘留目錄。企業場景解除安裝後還應做出站流量稽核。如需隔離 Agent 開發環境,可參考 NodeMini 租賃方案

阿里在後門風險曝光後將其列入高風險軟體清單,2026 年 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型,轉向內部工具 Qoder。這與 Anthropic 此前指控 Qwen 團隊大規模蒸餾 Claude 的背景密切相關。

沒有。受影響版本區間的任何 changelog 均未提及該機制。v2.1.197 移除時同樣未明確說明此項變更——這是 The Register 等外媒問責的焦點。

Anthropic 已在 v2.1.197+ 移除隱寫程式碼。但持續信任取決於組織風險容忍度與合規政策。部分技術圈(如 Cybernews)認為實質是反蒸餾工程手段、反應過度;企業使用者應結合自身稽核結論決策。

蒸餾指用另一模型的輸出訓練自家模型。Anthropic 稱本次機制針對未授權轉售商與蒸餾管道。這是理解 Anthropic 埋點動機與中美 AI 競爭背景的關鍵。更多 Agent 工具合規實踐見 說明中心

多數一手報導稱 v2.1.197(7 月 1 日),部分中文技術媒體稱 v2.1.198。建議統一採用「2.1.197 及以上版本」表述,升級前可用 claude --version 確認。

國內可選 Qoder(阿里內部)、通義靈碼、Cursor 等;海外可選 Codex CLI、Gemini CLI 等。選型需權衡模型能力、合規審批與算力需求。詳見本站 四大 AI 程式設計助手橫評

公開報導未證實有具體使用者因此遭受直接經濟損失或資料濫用。該機制的直接後果是帳號封禁風險與合規隱患,而非已證實的「資料外洩事故」。行文應聚焦未披露監控行為與合規風險本身。