工信部警示 Claude Code 存在後門風險(2.1.91–2.1.196):技術解析與開發者處置指南
2026 年 7 月 8 日,工信部網路安全威脅和漏洞資訊共享平台(NVDB)警示 Anthropic Claude Code 在 v2.1.91–2.1.196 存在安全後門隱患,危害嚴重。若你正在使用 AI 編程工具,請立即執行 claude --version 自查版本。本文按監管定性主線,完整還原時間線、隱寫術技術機制、NVDB/Anthropic/阿里三方表態、中美模型蒸餾背景,並提供個人與企業雙軌處置清單、五步 Runbook 與十條 FAQ。
- 監管定性:NVDB 指出內建監控機制可未經用戶同意回傳地域、身份標識等敏感資訊。
- 受影響版本:v2.1.91(4月2日)至 v2.1.196(6月29日);修復版為 v2.1.197+。
- 觸發條件:僅當
ANTHROPIC_BASE_URL指向非官方端點時啟動——官方 API 用戶不受影響。 - 企業連鎖:阿里巴巴 7 月 10 日起禁用 Claude Code,轉向內部工具 Qoder。
- 立即行動:升級或卸載 → 清理本地殘留 → 審計開發終端出站流量。
內容目錄
一、痛點:監管定性 vs 技術細節被混淆,錯誤表述會傷可信度
- 標題黨誤導:不少中文自媒體寫成「Claude Code 監控所有用戶」——實際上只有設定了非官方
ANTHROPIC_BASE_URL的代理用戶才會觸發,技術讀者會據此質疑整篇文章。 - 「後門」與「實驗」定性衝突:NVDB 用「安全後門隱患」;Anthropic 稱「反濫用/反蒸餾實驗」;技術圈更精確的說法是「隱寫術隱蔽信道」——不呈現多方張力會顯得像單方面宣傳。
- 合規窗口緊迫:7 月 8 日官方定性是第一波熱度高峰,7 月 10 日阿里禁令生效是第二波——企業 IT 需要在極短時間內完成版本排查與外聯審計。
這則新聞表面是監管通報,背後是一條完整故事鏈:Anthropic 主動埋點識別中國用戶 → 開發者逆向曝光 → 廠商道歉回滾 → 阿里禁用 → 工信部定性為後門。理解這條鏈,才能做出正確的技術與管理決策。
二、事件調研摘要
2026 年 7 月 8 日,工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB)發布風險提示,指出美國 Anthropic 公司旗下 AI 編程工具 Claude Code 存在安全後門隱患,危害嚴重。
| 項目 | 內容 |
|---|---|
| 隱患性質 | 內建監控機制,未經用戶同意可回傳敏感資訊 |
| 回傳內容 | 用戶地域、身份標識等敏感資訊 |
| 受影響版本 | v2.1.91 至 v2.1.196 |
| 版本發布區間 | 2026 年 4 月 2 日 至 6 月 29 日 |
| 官方處置建議 | 立即卸載受影響版本 / 升級至最新安全版本;加強開發終端外聯管控與流量監測 |
| 企業動向 | 阿里巴巴等企業已限制或禁用,轉向內部替代工具 |
| 廠商回應 | Anthropic 承認為「實驗性」反濫用/反模型蒸餾措施,承諾後續版本移除 |
三、完整時間線
| 時間 | 事件 |
|---|---|
| 2026 年 2 月 | Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等) |
| 2026 年 3 月 | Claude Code 內部悄然上線隱蔽檢測機制(無公開披露) |
| 2026-04-02 | Claude Code v2.1.91 發布,隱蔽檢測程式碼隨版本開始分發 |
| 2026-04 至 06 | 近 20 個版本迭代,檢測邏輯持續存在,從未寫入 changelog |
| 2026-06-29 | v2.1.196 發布(受影響區間最後一個版本) |
| 2026-06-30 | Reddit 用戶 LegitMichel777 發帖首次曝光隱寫術檢測邏輯;Thereallo 發布技術分析;Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯 |
| 2026-07-01 | Anthropic 工程師 Thariq Shihipar 在 X 公開承認,稱為 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日版本回滾 |
| 2026-07-02 | Claude Code v2.1.197(部分媒體稱 v2.1.198)發布,移除隱寫檢測程式碼,changelog 未明確提及 |
| 2026-07-03/04 | 路透社、TechCrunch 報導:阿里巴巴內部通知 7 月 10 日起全員禁止使用 Claude Code 及 Anthropic 相關模型,轉用內部工具 Qoder |
| 2026-07-08 | 工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」 |
| 2026-07-10 | 阿里巴巴內部禁令正式生效 |
四、誰會真正受影響:觸發條件說明(關鍵去誤導環節)
隱蔽機制不是對所有用戶生效。只有當用戶設定了環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點(企業閘道、第三方代理、API 中轉/轉售服務)時才會啟動。使用官方 api.anthropic.com 的普通用戶不會觸發這條檢測路徑。
該機制的直接後果更可能是帳號封禁風險,而非已證實的「資料外洩事故」——公開報導未證實有具體用戶因此遭受直接經濟損失或資料濫用。行文應聚焦「未披露的監控行為」與「合規風險」本身,避免過度渲染。
五、技術機制深度還原
5.1 環境偵察:機器判斷你是不是「中國相關用戶」
一旦觸發條件成立,程式碼會做兩類判斷:
- 系統時區檢測:是否為
Asia/Shanghai或Asia/Urumqi - 代理域名黑名單匹配:將
ANTHROPIC_BASE_URL的 hostname 與內建清單比對
黑名單據多方逆向分析(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等)共 147 個條目,涵蓋中國大型科技公司域名(阿里、百度、位元組等)、中國 AI 實驗室關鍵詞(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/轉售閘道域名。清單使用 XOR 加密(金鑰 91)+ Base64 編碼 雙重混淆,標準 strings 搜尋無法直接提取。
5.2 隱寫編碼:篡改 system prompt 偷偷傳回結果
這是本事件被稱為「隱寫術(steganography)」而非普通「遙測(telemetry)」的關鍵——它沒有走獨立資料上報通道,而是篡改了發給模型的 system prompt 本身:
- 日期分隔符:命中中國時區時,日期格式由
2026-06-30(連字元)變為2026/06/30(斜線) - Unicode 撇號替換:
Today's date is中的標準撇號'被替換為 3 種視覺上幾乎無法分辨、但 Unicode 編碼不同的撇號字元,編碼「時區命中 / 域名命中 / AI 實驗室關鍵詞命中」三個布林旗標位
這套機制用 1 個日期格式位 + 3 種撇號變體 編碼約 3 bit 環境資訊,藏在一句看起來完全正常的英文句子裡。安全研究員 Adnane Khan 將其定義為 "a covert information channel embedded in system prompts"(嵌入系統提示詞中的隱蔽信道)。
5.3 與「正常遙測」的邊界
Claude Code 本身確有常規資料收集(事件日誌、Datadog、OpenTelemetry 等),同類 CLI/IDE Agent 工具中並不罕見。本次爭議的問題在於:
- 使用隱寫術而非正規、可被用戶發現或關閉的 telemetry 通道
- 從未在任何版本 changelog 中披露,持續近 3 個月
- 專門針對特定地域和特定商業競爭對手做指紋識別
- 該工具同時擁有檔案系統讀寫、Shell 命令執行等高權限,用戶對「看不見的行為」容忍度理應更低
5.4 版本與自查命令速查
| 類型 | 版本號 | 日期 |
|---|---|---|
| 首個含隱蔽機制版本 | v2.1.91 | 2026-04-02 |
| 最後受影響版本 | v2.1.196 | 2026-06-29 |
| 修復版本 | v2.1.197(部分口徑 v2.1.198) | 2026-07-01/02 |
徹底卸載需清理的殘留路徑:macOS/Linux — ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code;Windows — %USERPROFILE%\.claude 及相關快取目錄。企業場景:卸載不是終點,還應對開發終端做出站流量審計。
可引用硬數據:147 個黑名單域名條目;近 20 個版本持續攜帶未披露邏輯;3 bit 隱寫編碼(1 日期位 + 3 撇號變體)。
六、各方表態與用詞對照
6.1 工信部 / NVDB
- 定性:安全後門隱患,危害嚴重
- 描述:內建監控機制,未經用戶同意向遠端伺服器回傳用戶地域、身份標識等敏感資訊
- 處置建議:全面排查開發終端 → 卸載或升級 → 加強核心業務網段外聯權限管控與流量監測
6.2 Anthropic / Thariq Shihipar
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」,強調反帳戶轉售濫用、反模型蒸餾目的。補充背景:Anthropic 曾向美國參議院銀行委員會致信,指控阿里巴巴 Qwen 團隊使用近 2.5 萬詐欺帳號、產生 2880 萬次互動,試圖竊取 Claude 模型能力。
6.3 阿里巴巴
- 內部通知措辭(據 SCMP、Ars Technica):"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
- 生效時間:2026 年 7 月 10 日
- 範圍:Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列)
- 替代方案:內部編程平台 Qoder
6.4 國際媒體定性用詞對照表
| 來源 | 關鍵定性用詞 | 敘事側重 |
|---|---|---|
| NVDB / 工信部 | backdoor code / security backdoor risk / severe threat | 合規與資料外傳風險 |
| CNBC / Reuters / CBS | security backdoor / built-in monitoring mechanism | 中立轉述監管定性 + 企業連鎖反應 |
| The Register | covert code / secret steganography system | 技術揶揄 + 未披露更新的問責 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信任危機 + 政策分析 |
| Cybernews | "a nothing burger"(部分技術圈觀點) | 認為反應過度,實質是反蒸餾工程手段 |
| Anthropic 官方 | experiment / anti-abuse / anti-distillation measure | 強調正當防禦目的,非惡意監控 |
七、延伸背景:中美 AI 蒸餾戰
這不是孤立事件,而是 2026 年中美 AI 競爭的一個縮影:
- Anthropic 長期禁止中國及「敵對地區」用戶直接存取其模型,但用戶可透過 VPN、境外手機號/信用卡、第三方代理規避
- 2026 年 2 月,北大與中國科學院研究者發表論文,稱偵測到多數主流中國大模型存在對海外模型的蒸餾痕跡
- Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未經授權利用 Claude 輸出訓練自家模型
- Claude Opus 4.8 曾被曝出在測試中「誤認自己是 Qwen / DeepSeek」,被部分評論認為是雙重標準的證據
- 中國企業普遍轉向自研/開源模型體系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等),阿里內部工具 Qoder 是這一趨勢的具體體現
八、事實核查與寫作風險點
- ⚠️ 不是所有用戶都被監控——只有設定了
ANTHROPIC_BASE_URL走非官方端點的用戶才會觸發 - ⚠️ 修復版本號存在兩種口徑:多數一手報導稱 v2.1.197,部分中文技術媒體稱 v2.1.198;建議統一採用「2.1.197 及以上版本」
- ⚠️ 「後門」是監管定性,不是唯一定性——技術圈更精確的說法是「隱寫術檢測機制」或 covert channel
- ⚠️ 直接後果是帳號封禁風險,而非已證實的資料外洩事故
- ⚠️ 版本發布日期存在細微差異(6 月 29 日 / 6 月 30 日),建議以官方 GitHub changelog 為準
九、版本對照與決策矩陣
| 用戶場景 | 是否觸發檢測 | 建議動作 | 風險等級 |
|---|---|---|---|
| 官方 api.anthropic.com,未設 BASE_URL | 否 | 若在受影響版本,仍建議升級至 2.1.197+ | 低 |
| 企業閘道 / 第三方代理(已設 BASE_URL) | 是 | 立即升級或卸載;審計出站流量 | 高 |
| 中國時區 + 代理端點 | 是(雙重信號) | 升級 + 評估替代工具(Qoder/Cursor/通義靈碼等) | 高 |
| 企業員工(阿里等已禁用) | — | 遵守內部禁令,遷移至 Qoder 或合規替代方案 | 合規強制 |
| 已升級 v2.1.197+ | 否(程式碼已移除) | 持續監控 changelog 透明度;按組織政策評估是否繼續使用 | 中 |
十、個人開發者與企業 IT 處置清單
個人開發者 Checklist
- ☐ 執行
claude --version確認是否在 2.1.91–2.1.196 區間 - ☐ 檢查
echo $ANTHROPIC_BASE_URL是否指向非官方端點 - ☐ 升級至 v2.1.197+ 或徹底卸載並清理殘留目錄
- ☐ 評估是否繼續使用 Claude Code,或轉向 Cursor、通義靈碼等替代工具
企業 IT Checklist
- ☐ 全面排查開發終端 Claude Code 安裝與版本分佈
- ☐ 加強核心業務網段外聯權限管控與流量監測(egress filtering)
- ☐ 將 Claude Code 納入軟體白名單/黑名單政策評估
- ☐ 評估內部替代方案(Qoder、自研 Agent 平台、Mac 雲隔離節點)
- ☐ 記錄處置過程以備合規審計
十一、五步自查與處置 Runbook
- 版本檢查:執行
claude --version或npm list -g @anthropic-ai/claude-code,對照上表判斷是否在受影響區間。 - 端點檢查:執行
echo $ANTHROPIC_BASE_URL;若指向非api.anthropic.com,你屬於高關注人群。 - 升級或卸載:
npm install -g @anthropic-ai/claude-code@latest或claude update;徹底卸載則刪除~/.claude等殘留路徑。 - 出站流量審計(企業):檢查開發終端是否存在對非授權 AI 服務端點的持續外聯;設定 egress filtering。
- 替代方案評估:根據個人/企業場景,評估 Qoder、Cursor、通義靈碼或隔離 Mac 雲節點執行 Agent 工作流。
十二、常見問題 FAQ
Q1:Claude Code 有後門嗎?
在 v2.1.91–2.1.196 中,Anthropic 內建了未披露的隱寫術檢測機制。工信部 NVDB 定性為安全後門隱患;Anthropic 稱為反蒸餾實驗,已在 v2.1.197 移除。
Q2:哪些版本受影響?
v2.1.91(2026年4月2日)至 v2.1.196(2026年6月29日)。請升級至 v2.1.197 或更高版本。
Q3:使用官方 API 會被監控嗎?
不會。該機制僅在 ANTHROPIC_BASE_URL 指向非官方代理/閘道時啟動。
Q4:怎麼檢查版本?
終端執行 claude --version。
Q5:應該卸載嗎?
受影響版本請立即升級;有合規要求的企業可額外卸載並審計出站流量。
Q6:隱寫術怎麼運作?
透過修改 system prompt 日期分隔符和 Unicode 撇號變體,編碼時區/域名/AI 實驗室命中旗標。
Q7:阿里為什麼禁用?
阿里將 Claude Code 列為高風險軟體,7 月 10 日起禁止員工使用,轉向 Qoder。
Q8:changelog 披露了嗎?
沒有。所有受影響版本及移除版本的 changelog 均未明確提及。
Q9:現在安全嗎?
v2.1.197+ 已移除相關程式碼;是否繼續使用取決於組織風險容忍度。
Q10:模型蒸餾與事件有何關係?
Anthropic 稱機制針對未授權轉售與蒸餾;其曾指控阿里 Qwen 團隊使用約 2.5 萬詐欺帳號大規模蒸餾 Claude。
十三、總結與免責聲明
這次事件的部落格價值不在於複述一則監管新聞,而在於把三條線擰成一股:監管定性 + 技術隱寫機制 + 中美 AI 競爭背景。無論你是個人開發者還是企業 IT,當前最務實的動作是:先查版本,再查端點,然後升級或卸載,最後審計出站流量。
在個人 PC 或未經隔離的 Linux VPS上繼續執行 Claude Code 或同類 AI Agent,雖可完成基礎開發,但面臨三項長期隱患:廠商透明度不可控、出站流量難以審計、與生產程式碼庫/金鑰共處同一環境。當團隊進入合規敏感或 7×24 Agent 生產場景時,租賃 VPSMAC M4 Mac 雲節點可將 AI 編程工作流隔離在專用 Apple Silicon 環境中——SSH 是唯一入口、API 金鑰與生產資產物理分段、launchd 保障程序穩定,同時保留完整 Xcode/Apple 工具鏈相容性。對於需要替代 Claude Code 又不願犧牲 macOS 原生體驗的團隊,這比在普通 VPS 上硬湊環境更省心、更可審計。
免責聲明:本文基於工業和信息化部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全審計結論。請在採取卸載、封禁或流量管控措施前,結合本機構安全政策自行評估。
十四、參考來源
- IT之家:《工信部發布風險提示:Claude Code 存在安全後門》
- 新京報:《工信部:Claude Code存在安全後門隱患,危害嚴重》
- 36氪:《工信部首次定調:Claude Code危害嚴重》
- 騰訊雲開發者社群:《Claude Code 被爆暗藏「木馬」程式碼,Anthropic 官方出面承認並承諾回滾》
- CNBC — China warns about AI risks with Anthropic's Claude Code
- The Register — China: Ditch older Claude versions with backdoor code
- The Register — Anthropic is removing its covert code for catching Chinese competitors
- TechCrunch — Alibaba reportedly bans employees from using Claude Code
- Ars Technica — Secret Claude tracker shocks users after Anthropic's anti-surveillance stance
- The Decoder — Hidden code in Claude Code secretly flagged Chinese users
- Thereallo — Claude Code Is Steganographically Marking Requests
- Vincent Schmalbach — Claude Code Is Quietly Fingerprinting China-Linked API Routers
- Cybernews — Claude Code attempts to detect Chinese users: Fair?