NVDB 公式定性 · 隠語術メカニズムの復元 · Alibaba 全社禁止 · バージョン自査 / アップグレード / 削除チェックリスト
要点:2026 年 7 月 8 日、中国工业和信息化部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)がリスク警告を発表し、米 Anthropic 社の AI プログラミングツール Claude Code の v2.1.91 から v2.1.196 に安全バックドアリスクがあり、危害が深刻であると指摘しました。ユーザー同意なしに地域・識別情報などを送信できる監視機構が内蔵されています。今すぐ claude --version で自査し、該当バージョンは 2.1.197 以降へアップグレードするかアンインストールしてください。本記事では、事件の全タイムライン、実際に発動するユーザー層(全員ではありません)、隠語術の技術分解、NVDB / Anthropic / Alibaba の各声明、中美 AI 蒸留争いの背景、個人・企業向け処置チェックリスト、FAQ 8 問を網羅します。技術詳細は Claude Code 隠語術事件の深掘り解説も参照してください。
2026 年 7 月 8 日、工信部 NVDB は正式なリスク警告を発表し、Claude Code に内蔵された隠蔽検知機構を安全バックドアリスクであり危害が深刻と定性しました。処置勧告には、開発端末の全面調査、最新安全版へのアップグレードまたはアンインストール、コア業務ネットワークの外部通信権限管理とトラフィック監視の強化が含まれます。
| 項目 | 内容 |
|---|---|
| リスクの性質 | 内蔵監視機構。ユーザー同意なしに機密情報を送信可能 |
| 送信内容 | ユーザーの地域、識別子などの機微情報 |
| 影響バージョン | v2.1.91 から v2.1.196 |
| 配布期間 | 2026 年 4 月 2 日 〜 6 月 29 日 |
| 修正版 | v2.1.197(一部報道では v2.1.198、2026-07-01/02) |
| 企業動向 | Alibaba 等が制限・禁止、内部代替 Qoder へ移行 |
2026 年 2 月:Anthropic が反モデル蒸留技術(分類器、行動指紋、情報共有等)への投資を公表。
2026 年 3 月:Claude Code 内部に隠蔽検知機構が静かに投入。公開開示なし。
2026-04-02:v2.1.91 リリース。隠蔽検知コードの配布開始。
2026-06-29:v2.1.196 リリース(影響区間の最終版)。
2026-06-30:Reddit ユーザー LegitMichel777 が初暴露。開発者 Thereallo が技術分析を公開。セキュリティ研究者 Adnane Khan が GitHub で逆解析レポートを発表し、v2.1.193/195/196 すべてに該当ロジックがあることを検証。
2026-07-01:エンジニア Thariq Shihipar が X で 3 月投入の「実験的」反悪用・反蒸留機構と認め、翌日ロールバックを約束。
2026-07-02:v2.1.197 リリース。隠語検知コードを削除。changelog には明記なし。
2026-07-03/04:Reuters、TechCrunch が報道:Alibaba は 7 月 10 日から Claude Code と Anthropic 関連モデルを全社禁止。
2026-07-08:工信部 NVDB が正式警告を発表。「安全バックドアリスク、危害深刻」と定性。
2026-07-10:Alibaba 内部禁止令が正式発効。
物語の流れ:Anthropic が中国ユーザー識別のための埋め込み → 開発者が逆解析で暴露 → ベンダーが謝罪・ロールバック → Alibaba が禁止 → 工信部がバックドアと定性。この連鎖が今回の世論の熱量を理解する鍵です。
重要な整理:隠蔽機構はすべてのユーザーに対して有効ではありません。「Claude Code が全ユーザーを監視する」という見出しは不正確です。
環境変数 ANTHROPIC_BASE_URL を設定し、API リクエストを非公式エンドポイント(企業ゲートウェイ、第三者プロキシ、API 中継・転売サービス)に向けた場合にのみ発動します。公式 api.anthropic.com を使う一般ユーザーはこの検知経路を通りません。
| 利用シナリオ | 検知発動 | 推奨アクション |
|---|---|---|
公式 api.anthropic.com + 影響バージョン | いいえ | コンプライアンス上、2.1.197 以降へのアップグレードを推奨 |
ANTHROPIC_BASE_URL でプロキシ経由 + 影響バージョン | はい | 直ちにアップグレードまたはアンインストール。過去の外部通信を監査 |
| 任意エンドポイント + 2.1.197 以降 | いいえ(削除済み) | changelog と企業コンプライアンス方針を継続監視 |
| 企業開発端末(複数プロジェクトでプロキシ混在) | 設定次第 | ANTHROPIC_BASE_URL とバージョン分布を全面調査 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest # または claude update
今回の論点は通常の「テレメトリ(telemetry)」ではなく隠語術(steganography)と呼ばれています。独立したデータ送信チャネルは使わず、モデルへ送る system prompt 自体を改ざんしていました。セキュリティ研究者 Adnane Khan は a covert information channel embedded in system prompts(システムプロンプトに埋め込まれた隠蔽情報チャネル)と定義しています。
発動後、コードは 2 種類の判定を実行します:(1)システムタイムゾーンが Asia/Shanghai または Asia/Urumqi か;(2)ANTHROPIC_BASE_URL のホスト名が内蔵ブラックリストと一致するか。複数の逆解析によると、ブラックリストは 147 エントリで、中国大手テック企業ドメイン、DeepSeek・Moonshot・智譜・MiniMax 等の AI ラボキーワード、既知の API プロキシ・転売ゲートウェイを網羅しています。リストは XOR 暗号(キー 91)+ Base64 で二重に難読化されています。
| エンコード信号 | 表現 | 意味 |
|---|---|---|
| 日付区切り | 2026-06-30 → 2026/06/30 | 中国タイムゾーン命中 |
| Unicode 撇号バリアント(3 種) | Today's date is 内の撇号文字を切替 | タイムゾーン命中 / ドメイン命中 / AI ラボキーワード命中を符号化 |
日付フォーマット 1 bit + 撇号バリアント 3 種で約 3 bit の環境情報を、一見正常な英文の中に隠し、リクエストのたびに Anthropic サーバーへ送信して解析されます。
ユーザーが発見・無効化できる正規 telemetry ではなく、隠語術を使用。
約 3 か月間、changelog に一切開示なし。
特定地域と特定の商業競合を標的としたフィンガープリンティング。
本ツールはファイルシステム読み書き、Shell コマンド実行など高権限を持つため、「見えない挙動」への許容度は本来より低いはずです。
引用可能な事実:この機構の直接結果はアカウント停止リスクであり、確認済みの「データ漏洩事故」ではありません。公開報道で直接的な経済損害が証明されたケースはなく、過度な煽りは避けるべきです。
定性:安全バックドアリスク、危害深刻。内蔵監視機構がユーザー同意なしにリモートサーバーへ地域・識別情報等を送信すると説明。処置勧告:開発端末の全面調査 → アンインストールまたはアップグレード → 外部通信権限管理とトラフィック監視の強化。
エンジニアは X で次のように述べました:「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——「実験(experiment)」と定性し、「バックドア(backdoor)」ではないと主張。未承認転売悪用防止とモデル蒸留対策が目的と説明しています。
背景として、Anthropic は米上院銀行委員会に書簡を送り、Alibaba 傘下 Qwen チームが約 2.5 万の不正アカウントで 2880 万回のインタラクションを生成し、Claude の能力を窃取しようとしたと非難しています。
SCMP、Ars Technica 等が引用した内部通知:「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」2026 年 7 月 10 日から Claude Code および Anthropic 関連モデル製品(Sonnet、Opus、Fable 等)を全社員禁止。代替は内部プログラミングプラットフォーム Qoder。
| 情報源 | 主要な定性用語 | 叙事の焦点 |
|---|---|---|
| NVDB / 工信部 | backdoor / security backdoor risk / severe threat | コンプライアンスとデータ外部送信リスク |
| CNBC / Reuters | security backdoor / built-in monitoring | 規制定性の中立転載 + 企業連鎖反応 |
| The Register | covert code / secret steganography | 技術的説明責任 + 未開示アップデート |
| Ars Technica | spyware-like tracking / secret tracker | 信頼危機 + 政策分析 |
| Anthropic 公式 | experiment / anti-abuse / anti-distillation | 正当な防御目的の強調 |
これは孤立事件ではなく、2026 年の中美 AI 競争の縮図です。
claude --version を実行し、2.1.91–2.1.196 の範囲内か確認します。
echo $ANTHROPIC_BASE_URL で非公式プロキシ経由か確認します。
該当バージョンは直ちに npm install -g @anthropic-ai/claude-code@latest または claude update を実行します。
完全削除時は ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code をクリーンアップ(Windows は %USERPROFILE%\.claude 等)。
公式エンドポイントへの切替、または代替ツールの検討を行います。
全開発端末でソフトウェアインベントリを実施し、Claude Code のインストール状況とバージョン分布を特定します。
ANTHROPIC_BASE_URL 環境変数と shell 設定ファイルを統一調査します。
影響バージョンは強制アップグレードまたはアンインストール。Alibaba 等の「高リスクソフトウェア」処置フローを参考にします。
外部通信監査を強化し、非認可 AI サービスエンドポイントへの継続的な外部通信を調査します。
内部代替案(Cursor 等)を評価し、コンプライアンスホワイトリストを策定します。
| バージョン | リリース日 | 状態 |
|---|---|---|
| v2.1.91 | 2026-04-02 | 隠蔽機構を含む最初の版 |
| v2.1.196 | 2026-06-29 | 影響区間の最終版 |
| v2.1.197 / 2.1.198 | 2026-07-01/02 | 検知コード削除済み |
v2.1.91–2.1.196 では Anthropic が未開示の隠蔽検知コードを同梱していました。工信部 NVDB は安全バックドアリスクと定性。Anthropic は反蒸留実験と説明し、2.1.197 で削除済みです。
いいえ。ANTHROPIC_BASE_URL が非公式プロキシやゲートウェイを指している場合にのみ発動します。
2.1.197 以降かつ公式エンドポイントの個人ユーザーはリスクが大幅に低減。企業は Alibaba 等の先例と自社コンプライアンスを踏まえ判断が必要です。
公開報道によると、Alibaba は Claude Code を高リスクソフトウェアに指定し、7 月 10 日から全社禁止、内部ツール Qoder へ移行しました。
多くの一次情報源は v2.1.197(7 月 1 日)を指します。一部中国語メディアは v2.1.198 と報じています。「2.1.197 以降」で統一するのが安全です。
蒸留とは、別モデルの出力で自モデルを訓練することです。Anthropic は本機構が未承認転売と蒸留パイプライン向けだと説明しており、動機理解の鍵となります。
外部通信監査や機密コードの隔離が必要なチームには、独立したリモート Mac + VNC で環境変数とシステム権限をグラフィカルに確認し、プロジェクト終了後に即解約する方法が有効です。
いいえ。影響バージョンすべての changelog に言及がなく、コミュニティ暴露後に初めて認めてロールバックしました。
本記事は工信部 NVDB 公告および公開報道に基づく技術・コンプライアンス参考情報であり、法的助言やセキュリティ監査結論ではありません。アンインストール、禁止、トラフィック制御を実施する前に、自組織のセキュリティ方針に基づきご判断ください。
Claude Code バックドア騒動の核心教訓は、高権限 AI プログラミングツールが未開示の隠蔽チャネルを使えば、たとえ反蒸留が動機でも規制定性と企業レベルの禁止連鎖を招く、という点です。主力開発機でプロキシゲートウェイ、複数プロジェクトの API Key、Claude Code を混在させると、外部通信とバージョン監査のコストは想像以上に見落とされがちです。
macOS 環境で Claude Code の検収や代替ツール比較が必要なチームには、VNCMac リモート Mac のレンタルで隔離ノード上のバージョン自査、環境変数確認、グラフィカル権限監査が可能です。主力機を汚染せずに済みます。Mac Mini M4 プランから時間単位で開通できます。