TL;DR:2026 年 7 月 8 日,工業和信息化部網絡安全威脅和漏洞信息共享平台(NVDB)發布風險提示,指出美國 Anthropic 旗下 AI 程式設計工具 Claude Code 在 v2.1.91 至 v2.1.196 版本存在安全後門隱患,危害嚴重——內建監控機制可未經使用者同意回傳地域、身分識別等敏感資訊。本文面向正在使用 Claude Code 的開發者與企業 IT 團隊,完整還原事件時間線、隱寫術技術機制、NVDB / Anthropic / 阿里巴巴三方表態、中美 AI 蒸餾戰背景,並給出版本自查、升級、解除安裝與企業合規處置六步清單。若你設定了 ANTHROPIC_BASE_URL 走代理端點,請立即執行 claude --version 排查。
這則新聞表面是「監管通報」,背後是一條完整的故事鏈:Anthropic 主動埋點識別中國相關使用者 → 開發者逆向曝光 → 廠商道歉回滾 → 阿里禁用 → 工信部定性為後門。理解這條鏈條,是判斷「Claude Code 還能不能用」的前提。
| 時間 | 事件 |
|---|---|
| 2026 年 2 月 | Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等) |
| 2026 年 3 月 | Claude Code 內部悄然上線隱蔽檢測機制,無公開披露 |
| 2026-04-02 | Claude Code v2.1.91 發布,隱蔽檢測程式碼隨版本開始分發 |
| 2026-04 至 06 | 近 20 個版本迭代,檢測邏輯持續存在,從未寫入 changelog |
| 2026-06-29 | v2.1.196 發布(受影響區間最後一個版本) |
| 2026-06-30 | Reddit 使用者 LegitMichel777 發文首次曝光隱寫術檢測;Thereallo 發布技術分析;Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯 |
| 2026-07-01 | 工程師 Thariq Shihipar 在 X 承認係 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日回滾 |
| 2026-07-02 | v2.1.197(部分口徑 v2.1.198)發布,移除隱寫檢測程式碼,changelog 未明確提及 |
| 2026-07-03/04 | 路透社、TechCrunch 報導:阿里巴巴 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型,轉用內部工具 Qoder |
| 2026-07-08 | 工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」 |
| 2026-07-10 | 阿里巴巴內部禁令正式生效 |
痛點拆解:Claude Code 擁有檔案系統讀寫、Shell 命令執行等高權限。開發者對「看不見的行為」容忍度理應更低——而本次機制持續近 3 個月未披露,直接後果是帳號封禁風險與合規隱患,而非已證實的「資料外洩醜聞」。行文應避免過度渲染,聚焦未披露監控行為本身。
這是最容易誤解、也最需要講清楚的一點:隱蔽機制並非對所有使用者生效。許多中文自媒體標題寫成「Claude Code 監控所有使用者」——這不準確,會損害技術可信度。
| 使用者類型 | 是否觸發檢測 | 風險等級 |
|---|---|---|
| 官方 API 使用者 未設定 ANTHROPIC_BASE_URL,直連 api.anthropic.com | 否 | 低(但仍建議升級至 v2.1.197+) |
| 企業閘道 / 第三方代理使用者 設定了 ANTHROPIC_BASE_URL 指向非官方端點 | 是 | 高(v2.1.91–2.1.196 期間會被指紋識別) |
| 中國時區 + 代理網域命中黑名單 | 是 | 最高(隱寫編碼隨每次請求回傳) |
| 企業員工(阿里等) | — | 已列入高風險軟體,7/10 起全面禁用 |
觸發後,程式碼會做兩類環境偵察:
系統時區檢測:是否為 Asia/Shanghai 或 Asia/Urumqi
代理網域黑名單比對:將 ANTHROPIC_BASE_URL 的 hostname 與內建 147 條規則比對,涵蓋阿里、百度、字節、DeepSeek、Moonshot、智譜、MiniMax 等中國科技公司與 AI 實驗室相關網域,以及已知 API 中轉/轉售閘道
黑名單混淆方式:列表使用 XOR 加密(金鑰 91)+ Base64 編碼雙重混淆,使 strings 命令無法直接提取,必須完整逆向二進位檔才能還原——這也是事件被稱為「隱寫術」而非普通遙測的關鍵證據之一。
安全研究員 Adnane Khan 將其定義為 「a covert information channel embedded in system prompts」(嵌入系統提示詞中的隱蔽通道)。它沒有走獨立資料上報通道,而是篡改了發給模型的 system prompt 本身:
命中中國時區時,system prompt 中的日期格式由 2026-06-30(連字號)變為 2026/06/30(斜線),編碼 1 bit 環境資訊。
Today's date is 中的標準撇號 ' 被替換為 3 種視覺上幾乎無法分辨、但 Unicode 編碼不同的撇號字元,分別編碼「時區命中 / 網域命中 / AI 實驗室關鍵字命中」三個布林旗標位。
約 3 bit 環境資訊藏在一個看起來完全正常的英文句子裡,隨每次 API 請求發送給 Anthropic 伺服器解析。
| 維度 | 本次隱寫術機制 | 常規遙測(Datadog/OpenTelemetry 等) |
|---|---|---|
| 披露方式 | 近 3 個月零 changelog 披露 | 通常在隱私政策中有籠統說明 |
| 傳輸通道 | 嵌入 system prompt 隱寫編碼 | 獨立 telemetry 通道,可被稽核發現 |
| 目標對象 | 特定地域 + 商業競爭對手指紋識別 | 通用使用統計與錯誤日誌 |
| 工具權限 | 同時擁有檔案讀寫 + Shell 執行高權限 | 同類 CLI/IDE Agent 亦有,但使用者可預期 |
| 類型 | 版本號 | 日期 |
|---|---|---|
| 首個含隱蔽機制版本 | v2.1.91 | 2026-04-02 |
| 最後受影響版本 | v2.1.196 | 2026-06-29 |
| 修復版本 | v2.1.197(部分口徑 2.1.198) | 2026-07-01/02 |
# 檢查目前版本 claude --version # 檢查是否設定了觸發條件相關的代理端點 echo $ANTHROPIC_BASE_URL # npm 方式升級到最新版 npm install -g @anthropic-ai/claude-code@latest # 或使用內建命令 claude update
定性:安全後門隱患,危害嚴重。描述:內建監控機制,未經使用者同意向遠端伺服器回傳使用者地域、身分識別等敏感資訊。處置建議:全面排查開發終端機 → 解除安裝或升級 → 加強核心業務網段外聯權限管控與流量監測。
「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.」
翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」,強調反帳號轉售濫用、反模型蒸餾目的。補充背景:Anthropic 曾致信美國參議院銀行委員會,指控阿里巴巴 Qwen 團隊使用約 2.5 萬欺詐帳號、產生 2880 萬次互動,試圖竊取 Claude 模型能力。
內部通知措辭(據 SCMP、Ars Technica 引述):「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」生效時間 2026 年 7 月 10 日,範圍涵蓋 Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列),替代方案為內部程式設計平台 Qoder。
| 來源 | 關鍵定性用詞 | 敘事側重 |
|---|---|---|
| NVDB / 工信部 | backdoor / security backdoor risk / severe threat | 合規與資料外傳風險 |
| CNBC / Reuters | security backdoor / built-in monitoring mechanism | 中立轉述監管定性 + 企業連鎖反應 |
| The Register | covert code / secret steganography system | 技術問責 + 未披露更新 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信任危機 + 政策分析 |
| Cybernews | 「a nothing burger」(部分技術圈觀點) | 認為反應過度,實質是反蒸餾工程手段 |
| Anthropic 官方 | experiment / anti-abuse / anti-distillation | 強調正當防禦目的,非惡意監控 |
這不是孤立事件,而是 2026 年中美 AI 競爭的一個縮影:
理解這條背景線,有助於判斷 Anthropic 為何對「蒸餾」如此緊張,以及為何本次埋點事件在技術圈引發「正當防禦 vs 越界監控」的激烈爭論。
版本自查:執行 claude --version,確認是否在 v2.1.91–2.1.196 區間
端點檢查:執行 echo $ANTHROPIC_BASE_URL,確認是否走非官方代理/閘道
立即升級:執行 npm install -g @anthropic-ai/claude-code@latest 或 claude update,升級至 v2.1.197+
徹底解除安裝(可選):清理 macOS/Linux 殘留路徑 ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code
企業出站稽核:對開發終端機做出站流量稽核,排查是否存在對非授權 AI 服務端點的持續外聯;加強核心業務網段 egress filtering
替代方案評估:客觀對比 Qoder、通義靈碼、Cursor 等國產/自託管方案,結合團隊合規政策選型
轉向國產替代工具(如通義靈碼、Qoder)或繼續在本地 Mac 上執行 Claude Code,往往面臨模型能力差距、企業合規審批週期長、以及本地算力在多 Agent 並行場景下的瓶頸。對於需要穩定 iOS CI/CD 流水線、AI Agent 自動化編排、且希望將高風險 CLI 工具隔離在受控環境中的生產團隊,NodeMini 的 Mac Mini 雲端租賃——提供獨占硬體、SSH 接入與出站流量可稽核的遠端節點——通常是更穩妥的落地路徑。詳見 Mac Mini 雲端租賃方案。
免責聲明:本文基於工業和信息化部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全稽核結論。請在採取解除安裝、封禁或流量管控措施前,結合本機構安全政策自行評估。
在 v2.1.91–2.1.196 中,Anthropic 內建了未披露的隱寫術檢測程式碼。工信部 NVDB 定性為安全後門隱患;Anthropic 稱為反蒸餾實驗,已在 v2.1.197 移除。技術圈更精確的說法是「隱寫術檢測機制」或 covert channel。
不會。該機制僅在 ANTHROPIC_BASE_URL 指向非官方代理或閘道時啟動。直連 api.anthropic.com 的一般使用者不會觸發這條檢測路徑。
執行 npm uninstall -g @anthropic-ai/claude-code,並清理 ~/.claude、~/.claude.json 等殘留目錄。企業場景解除安裝後還應做出站流量稽核。如需隔離 Agent 開發環境,可參考 NodeMini 租賃方案。
阿里在後門風險曝光後將其列入高風險軟體清單,2026 年 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型,轉向內部工具 Qoder。這與 Anthropic 此前指控 Qwen 團隊大規模蒸餾 Claude 的背景密切相關。
沒有。受影響版本區間的任何 changelog 均未提及該機制。v2.1.197 移除時同樣未明確說明此項變更——這是 The Register 等外媒問責的焦點。
Anthropic 已在 v2.1.197+ 移除隱寫程式碼。但持續信任取決於組織風險容忍度與合規政策。部分技術圈(如 Cybernews)認為實質是反蒸餾工程手段、反應過度;企業使用者應結合自身稽核結論決策。
蒸餾指用另一模型的輸出訓練自家模型。Anthropic 稱本次機制針對未授權轉售商與蒸餾管道。這是理解 Anthropic 埋點動機與中美 AI 競爭背景的關鍵。更多 Agent 工具合規實踐見 說明中心。
多數一手報導稱 v2.1.197(7 月 1 日),部分中文技術媒體稱 v2.1.198。建議統一採用「2.1.197 及以上版本」表述,升級前可用 claude --version 確認。
國內可選 Qoder(阿里內部)、通義靈碼、Cursor 等;海外可選 Codex CLI、Gemini CLI 等。選型需權衡模型能力、合規審批與算力需求。詳見本站 四大 AI 程式設計助手橫評。
公開報導未證實有具體使用者因此遭受直接經濟損失或資料濫用。該機制的直接後果是帳號封禁風險與合規隱患,而非已證實的「資料外洩事故」。行文應聚焦未披露監控行為與合規風險本身。