NVDB 官方定性 · 隱寫術機制還原 · 阿里禁用進展 · 版本自查 / 升級 / 卸載實操清單
TL;DR:2026 年 7 月 8 日,工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB)發布風險提示,指出美國 Anthropic 旗下 AI 程式設計工具 Claude Code 在 v2.1.91 至 v2.1.196 版本存在安全後門隱患,危害嚴重——內建監控機制可在未經使用者同意時回傳使用者地域、身分識別等敏感資訊。建議立即執行 claude --version 自查,受影響版本須升級至 2.1.197+ 或卸載。本文涵蓋:完整事件時間線、誰真正會被觸發(非所有使用者)、隱寫術技術拆解、NVDB / Anthropic / 阿里三方表態、中美 AI 蒸餾背景、個人與企業處置清單、8 則 FAQ。技術細節可對照站內 Claude Code 隱寫術深度解析。
2026 年 7 月 8 日,工信部 NVDB 正式發布風險提示,將 Claude Code 內建的隱蔽偵測機制定性為安全後門隱患,危害嚴重。處置建議包括:全面排查開發終端、卸載或升級至最新安全版本、加強核心業務網段外連權限管控與流量監測。
| 項目 | 內容 |
|---|---|
| 隱患性質 | 內建監控機制,未經使用者同意可回傳敏感資訊 |
| 回傳內容 | 使用者地域、身分識別等敏感資訊 |
| 受影響版本 | v2.1.91 至 v2.1.196 |
| 版本發布區間 | 2026 年 4 月 2 日 至 6 月 29 日 |
| 修復版本 | v2.1.197(部分口徑 v2.1.198,2026-07-01/02) |
| 企業動向 | 阿里巴巴等企業已限制或禁用,轉向內部替代工具 Qoder |
2026 年 2 月:Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等)。
2026 年 3 月:Claude Code 內部悄然上線隱蔽偵測機制,無公開披露。
2026-04-02:v2.1.91 發布,隱蔽偵測程式碼隨版本開始分發。
2026-06-29:v2.1.196 發布(受影響區間最後一個版本)。
2026-06-30:Reddit 使用者 LegitMichel777 首次曝光;開發者 Thereallo 發布技術分析;安全研究員 Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯。
2026-07-01:工程師 Thariq Shihipar 在 X 承認係 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日回滾。
2026-07-02:v2.1.197 發布,移除隱寫偵測程式碼,changelog 未明確提及。
2026-07-03/04:路透社、TechCrunch 報導:阿里巴巴 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型。
2026-07-08:工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」。
2026-07-10:阿里巴巴內部禁令正式生效。
敘事鏈條:Anthropic 主動埋點識別中國使用者 → 開發者逆向曝光 → 廠商道歉回滾 → 阿里禁用 → 工信部定性為後門。這條鏈條是理解本輪輿論熱度的關鍵。
重要釐清:隱蔽機制並非對所有使用者生效。許多中文自媒體標題寫成「Claude Code 監控所有使用者」——這是不準確的。
只有當使用者設定了環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點(企業閘道、第三方代理、API 中轉/轉售服務)時才會啟動。使用官方 api.anthropic.com 的一般使用者不會觸發這條偵測路徑。
| 使用場景 | 是否觸發偵測 | 建議動作 |
|---|---|---|
官方 api.anthropic.com + 受影響版本 | 否 | 仍建議升級至 2.1.197+,消除合規疑慮 |
設定 ANTHROPIC_BASE_URL 走代理 + 受影響版本 | 是 | 立即升級或卸載;稽核歷史出站流量 |
| 任意端點 + 2.1.197 及以上 | 否(已移除) | 持續監控 changelog 與企業合規政策 |
| 企業研發終端(多專案混用代理) | 視設定而定 | 全面排查 ANTHROPIC_BASE_URL 與版本分布 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest # 或 claude update
本次爭議被稱為「隱寫術(steganography)」而非普通「遙測(telemetry)」——它沒有走獨立資料上報通道,而是篡改了發給模型的 system prompt 本身。安全研究員 Adnane Khan 將其定義為 a covert information channel embedded in system prompts(嵌入系統提示詞中的隱蔽通道)。
觸發後,程式碼執行兩類判斷:(1)系統時區是否為 Asia/Shanghai 或 Asia/Urumqi;(2)將 ANTHROPIC_BASE_URL 的 hostname 與內建黑名單比對。據多方逆向分析,黑名單共 147 個條目,涵蓋中國大型科技公司網域、中國 AI 實驗室關鍵字(DeepSeek、Moonshot、智譜、MiniMax 等)及已知 API 代理/轉售閘道。清單使用 XOR 加密(金鑰 91)+ Base64 雙重混淆。
| 編碼訊號 | 表現 | 含義 |
|---|---|---|
| 日期分隔符 | 2026-06-30 → 2026/06/30 | 命中中國時區 |
| Unicode 撇號變體(3 種) | Today's date is 中撇號字元切換 | 編碼時區命中 / 網域命中 / AI 實驗室關鍵字命中 |
用 1 個日期格式位 + 3 種撇號變體 編碼約 3 bit 環境資訊,藏在看似正常的英文句子裡,隨每次請求發送給 Anthropic 伺服器解析。
使用隱寫術而非正規、可被使用者發現或關閉的 telemetry 通道。
從未在任何版本 changelog 中披露,持續近 3 個月。
專門針對特定地域和特定商業競爭對手做指紋識別。
該工具同時擁有檔案系統讀寫、Shell 命令執行等高權限,使用者對「看不見的行為」容忍度理應更低。
可引用事實:該機制的直接後果是帳號封禁風險,而非已證實的「資料外洩事故」——公開報導未證實有使用者因此遭受直接經濟損失,行文應避免過度渲染。
定性:安全後門隱患,危害嚴重。描述為內建監控機制,未經使用者同意向遠端伺服器回傳使用者地域、身分識別等敏感資訊。處置建議:全面排查開發終端 → 卸載或升級 → 加強外連權限管控與流量監測。
工程師在 X 平台表示:「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——定性為「實驗(experiment)」而非「後門(backdoor)」,強調反帳戶轉售濫用、反模型蒸餾目的。
補充背景:Anthropic 曾向美國參議院銀行委員會致信,指控阿里巴巴旗下 Qwen 團隊使用近 2.5 萬欺詐帳號、產生 2880 萬次互動,試圖竊取 Claude 模型能力。
據 SCMP、Ars Technica 引述內部通知:「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」2026 年 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列),替代方案為內部程式設計平台 Qoder。
| 來源 | 關鍵定性用詞 | 敘事側重 |
|---|---|---|
| NVDB / 工信部 | backdoor / security backdoor risk / severe threat | 合規與資料外傳風險 |
| CNBC / Reuters | security backdoor / built-in monitoring | 中立轉述監管定性 + 企業連鎖反應 |
| The Register | covert code / secret steganography | 技術問責 + 未披露更新 |
| Ars Technica | spyware-like tracking / secret tracker | 信任危機 + 政策分析 |
| Anthropic 官方 | experiment / anti-abuse / anti-distillation | 強調正當防禦目的 |
這不是孤立事件,而是 2026 年中美 AI 競爭的一個縮影:
執行 claude --version,確認是否在 2.1.91–2.1.196 區間。
檢查 echo $ANTHROPIC_BASE_URL,確認是否走非官方代理。
受影響版本立即執行 npm install -g @anthropic-ai/claude-code@latest 或 claude update。
徹底卸載需清理:~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code(Windows 對應 %USERPROFILE%\.claude 等)。
評估是否改用官方端點,或參考 AI 程式設計助手對比 選型替代工具。
對全部開發終端做軟體清單掃描,定位 Claude Code 安裝與版本分布。
統一排查 ANTHROPIC_BASE_URL 環境變數與 shell 設定檔。
對受影響版本執行強制升級或卸載,參考阿里等企業「高風險軟體」處置流程。
加強出站流量稽核,排查對非授權 AI 服務端點的持續外連。
評估內部替代方案(通義靈碼、Qoder、Cursor 等),制定合規白名單。
| 版本 | 發布日期 | 狀態 |
|---|---|---|
| v2.1.91 | 2026-04-02 | 首個含隱蔽機制 |
| v2.1.196 | 2026-06-29 | 最後受影響版本 |
| v2.1.197 / 2.1.198 | 2026-07-01/02 | 已移除偵測程式碼 |
在 v2.1.91–2.1.196 中,Anthropic 曾內建未披露隱蔽偵測程式碼;工信部 NVDB 定性為安全後門隱患;Anthropic 稱係反蒸餾實驗,已在 2.1.197 移除。
不會。僅當 ANTHROPIC_BASE_URL 指向非官方代理或閘道時才啟動。
已升級至 2.1.197+ 且走官方端點的個人使用者風險已大幅降低;企業須結合合規政策與阿里等先例自行評估。
據公開報導,阿里將 Claude Code 列入高風險軟體,7 月 10 日起全員禁用,轉向內部工具 Qoder。
多數一手報導稱 v2.1.197(7 月 1 日),部分中文技術媒體稱 v2.1.198。建議統一採用「2.1.197 及以上版本」。
蒸餾指用另一模型的輸出訓練自己的模型。Anthropic 稱該機制針對未授權轉售與蒸餾管道,是理解其動機的關鍵背景。
對需稽核出站流量、隔離敏感程式碼的團隊,租用獨立遠端 Mac + VNC 可在圖形工作階段中核對環境變數與系統權限,專案結束即停租。
沒有。所有受影響版本的 changelog 均未提及,直至社群曝光後才承認並回滾。
本文基於工業和信息化部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全稽核結論。請在採取卸載、封禁或流量管控措施前,結合本機構安全政策自行評估。
Claude Code 後門風波的核心教訓是:高權限 AI 程式設計工具若採用未披露的隱蔽通道,即便動機是反蒸餾,也會觸發監管定性與企業級禁用連鎖反應。在主力開發機上混跑代理閘道、多專案 API Key 與 Claude Code,出站流量與版本稽核成本被嚴重低估。
對仍需在 macOS 環境驗收 Claude Code 或對比替代工具的團隊,租用 VNCMac 遠端 Mac 可在隔離節點上完成版本自查、環境變數核對與圖形化權限稽核,不污染個人主力機。查看 Mac Mini M4 方案 即可按小時開通。