AI 安全与合规 2026年7月9日 约 24 分钟 Claude Code 工信部

工信部警示 Claude Code 存在后门风险
(2.1.91–2.1.196)技术解析与开发者处置指南

NVDB 官方定性 · 隐写术机制还原 · 阿里禁用进展 · 版本自查 / 升级 / 卸载实操清单

终端运行 claude --version 检查 Claude Code 受影响版本

TL;DR:2026 年 7 月 8 日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,指出美国 Anthropic 旗下 AI 编程工具 Claude Codev2.1.91 至 v2.1.196 版本存在安全后门隐患,危害严重——内置监控机制可在未经用户同意时回传用户地域、身份标识等敏感信息。建议立即运行 claude --version 自查,受影响版本须升级至 2.1.197+ 或卸载。本文覆盖:完整事件时间线、谁真正会被触发(非所有用户)、隐写术技术拆解、NVDB / Anthropic / 阿里三方表态、中美 AI 蒸馏背景、个人与企业处置清单、8 条 FAQ。技术细节可对照站内 Claude Code 隐写术深度解析

01

发生了什么:NVDB 通报与完整时间线

2026 年 7 月 8 日,工信部 NVDB 正式发布风险提示,将 Claude Code 内置的隐蔽检测机制定性为安全后门隐患,危害严重。处置建议包括:全面排查开发终端、卸载或升级至最新安全版本、加强核心业务网段外联权限管控与流量监测。

项目内容
隐患性质内置监控机制,未经用户同意可回传敏感信息
回传内容用户地域、身份标识等敏感信息
受影响版本v2.1.91 至 v2.1.196
版本发布区间2026 年 4 月 2 日 至 6 月 29 日
修复版本v2.1.197(部分口径 v2.1.198,2026-07-01/02)
企业动向阿里巴巴等企业已限制或禁用,转向内部替代工具 Qoder

事件时间线(2026 年 2 月 – 7 月)

  1. 02

    2026 年 2 月:Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等)。

  2. 03

    2026 年 3 月:Claude Code 内部悄然上线隐蔽检测机制,无公开披露。

  3. 04

    2026-04-02:v2.1.91 发布,隐蔽检测代码随版本开始分发。

  4. 06

    2026-06-29:v2.1.196 发布(受影响区间最后一个版本)。

  5. 06

    2026-06-30:Reddit 用户 LegitMichel777 首次曝光;开发者 Thereallo 发布技术分析;安全研究员 Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/195/196 均存在该逻辑。

  6. 07

    2026-07-01:工程师 Thariq Shihipar 在 X 承认系 3 月上线的「实验性」反滥用/反蒸馏机制,承诺次日回滚。

  7. 07

    2026-07-02:v2.1.197 发布,移除隐写检测代码,changelog 未明确提及。

  8. 07

    2026-07-03/04:路透社、TechCrunch 报道:阿里巴巴 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型。

  9. 07

    2026-07-08:工信部 NVDB 正式发布风险提示,定性为「安全后门隐患,危害严重」。

  10. 07

    2026-07-10:阿里巴巴内部禁令正式生效。

叙事链条:Anthropic 主动埋点识别中国用户 → 开发者逆向曝光 → 厂商道歉回滚 → 阿里禁用 → 工信部定性为后门。这条链条是理解本轮舆论热度的关键。

02

谁会真正受影响:触发条件(关键去误导环节)

重要澄清:隐蔽机制并非对所有用户生效。许多中文自媒体标题写成「Claude Code 监控所有用户」——这是不准确的。

只有当用户设置了环境变量 ANTHROPIC_BASE_URL,将 API 请求指向非官方端点(企业网关、第三方代理、API 中转/转售服务)时才会激活。使用官方 api.anthropic.com 的普通用户不会触发这条检测路径。

场景决策矩阵

使用场景是否触发检测建议动作
官方 api.anthropic.com + 受影响版本仍建议升级至 2.1.197+,消除合规疑虑
设置 ANTHROPIC_BASE_URL 走代理 + 受影响版本立即升级或卸载;审计历史出站流量
任意端点 + 2.1.197 及以上否(已移除)持续监控 changelog 与企业合规政策
企业研发终端(多项目混用代理)视配置而定全面排查 ANTHROPIC_BASE_URL 与版本分布
版本与代理自查
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
# 或
claude update
03

技术机制:隐写术监控三步拆解

本次争议被称为「隐写术(steganography)」而非普通「遥测(telemetry)」——它没有走独立数据上报通道,而是篡改了发给模型的 system prompt 本身。安全研究员 Adnane Khan 将其定义为 a covert information channel embedded in system prompts(嵌入系统提示词中的隐蔽信道)。

步骤 1:环境侦察

触发后,代码执行两类判断:(1)系统时区是否为 Asia/ShanghaiAsia/Urumqi;(2)将 ANTHROPIC_BASE_URL 的 hostname 与内置黑名单比对。据多方逆向分析,黑名单共 147 个条目,涵盖中国大型科技公司域名、中国 AI 实验室关键词(DeepSeek、Moonshot、智谱、MiniMax 等)及已知 API 代理/转售网关。列表使用 XOR 加密(密钥 91)+ Base64 双重混淆。

步骤 2:隐写编码

编码信号表现含义
日期分隔符2026-06-302026/06/30命中中国时区
Unicode 撇号变体(3 种)Today's date is 中撇号字符切换编码时区命中 / 域名命中 / AI 实验室关键词命中

1 个日期格式位 + 3 种撇号变体 编码约 3 bit 环境信息,藏在看似正常的英文句子里,随每次请求发送给 Anthropic 服务器解析。

步骤 3:与「正常遥测」的边界

  1. 01

    使用隐写术而非正规、可被用户发现或关闭的 telemetry 通道。

  2. 02

    从未在任何版本 changelog 中披露,持续近 3 个月。

  3. 03

    专门针对特定地域和特定商业竞争对手做指纹识别。

  4. 04

    该工具同时拥有文件系统读写、Shell 命令执行等高权限,用户对「看不见的行为」容忍度理应更低。

可引用事实:该机制的直接后果是账号封禁风险,而非已证实的「数据泄露事故」——公开报道未证实有用户因此遭受直接经济损失,行文应避免过度渲染。

04

各方表态与用词对照

工信部 / NVDB

定性:安全后门隐患,危害严重。描述为内置监控机制,未经用户同意向远程服务器回传用户地域、身份标识等敏感信息。处置建议:全面排查开发终端 → 卸载或升级 → 加强外联权限管控与流量监测。

Anthropic / Thariq Shihipar

工程师在 X 平台表示:「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——定性为「实验(experiment)」而非「后门(backdoor)」,强调反账户转售滥用、反模型蒸馏目的。

补充背景:Anthropic 曾向美国参议院银行委员会致信,指控阿里巴巴旗下 Qwen 团队使用近 2.5 万欺诈账号、产生 2880 万次交互,试图窃取 Claude 模型能力。

阿里巴巴

据 SCMP、Ars Technica 引述内部通知:「As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.」2026 年 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型产品(Sonnet、Opus、Fable 等系列),替代方案为内部编程平台 Qoder

来源关键定性用词叙事侧重
NVDB / 工信部backdoor / security backdoor risk / severe threat合规与数据外传风险
CNBC / Reuterssecurity backdoor / built-in monitoring中立转述监管定性 + 企业连锁反应
The Registercovert code / secret steganography技术问责 + 未披露更新
Ars Technicaspyware-like tracking / secret tracker信任危机 + 政策分析
Anthropic 官方experiment / anti-abuse / anti-distillation强调正当防御目的
05

背景延伸:中美 AI 模型蒸馏之争

这不是孤立事件,而是 2026 年中美 AI 竞争的一个缩影:

  • Anthropic 长期禁止中国及「敌对地区」用户直接访问,但用户可通过 VPN、境外手机号/信用卡、第三方代理规避。
  • 2026 年 2 月,北大与中国科学院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹。
  • Anthropic 此前指控 DeepSeek、Moonshot、MiniMax、阿里巴巴等未经授权利用 Claude 输出训练自家模型。
  • Claude Opus 4.8 曾被曝出在测试中「误认自己是 Qwen / DeepSeek」,让 Anthropic 这次「埋点识别中国用户」事件更显尴尬。
  • 中国企业普遍转向自研/开源模型体系,阿里内部工具 Qoder 是这一趋势的具体体现。
06

你现在该做什么:个人与企业处置清单

个人开发者(5 步)

  1. 01

    运行 claude --version,确认是否在 2.1.91–2.1.196 区间。

  2. 02

    检查 echo $ANTHROPIC_BASE_URL,确认是否走非官方代理。

  3. 03

    受影响版本立即执行 npm install -g @anthropic-ai/claude-code@latestclaude update

  4. 04

    彻底卸载需清理:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code(Windows 对应 %USERPROFILE%\.claude 等)。

  5. 05

    评估是否改用官方端点,或参考 AI 编程助手对比 选型替代工具。

企业 IT / 安全负责人(5 步)

  1. 01

    对全部开发终端做软件清单扫描,定位 Claude Code 安装与版本分布。

  2. 02

    统一排查 ANTHROPIC_BASE_URL 环境变量与 shell 配置文件。

  3. 03

    对受影响版本执行强制升级或卸载,参考阿里等企业「高风险软件」处置流程。

  4. 04

    加强出站流量审计,排查对非授权 AI 服务端点的持续外联。

  5. 05

    评估内部替代方案(通义灵码、Qoder、Cursor 等),制定合规白名单。

版本发布日期状态
v2.1.912026-04-02首个含隐蔽机制
v2.1.1962026-06-29最后受影响版本
v2.1.197 / 2.1.1982026-07-01/02已移除检测代码
07

FAQ

在 v2.1.91–2.1.196 中,Anthropic 曾内置未披露隐蔽检测代码;工信部 NVDB 定性为安全后门隐患;Anthropic 称系反蒸馏实验,已在 2.1.197 移除。

不会。仅当 ANTHROPIC_BASE_URL 指向非官方代理或网关时才激活。

已升级至 2.1.197+ 且走官方端点的个人用户风险已大幅降低;企业须结合合规政策与阿里等先例自行评估。

据公开报道,阿里将 Claude Code 列入高风险软件,7 月 10 日起全员禁用,转向内部工具 Qoder。

多数一手报道称 v2.1.197(7 月 1 日),部分中文技术媒体称 v2.1.198。建议统一采用「2.1.197 及以上版本」。

蒸馏指用另一模型的输出训练自己的模型。Anthropic 称该机制针对未授权转售与蒸馏管道,是理解其动机的关键背景。

对需审计出站流量、隔离敏感代码的团队,租用独立远程 Mac + VNC 可在图形会话中核对环境变量与系统权限,项目结束即停租。

没有。所有受影响版本的 changelog 均未提及,直至社区曝光后才承认并回滚。

免责声明

本文基于工业和信息化部 NVDB 公告及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。请在采取卸载、封禁或流量管控措施前,结合本机构安全政策自行评估。

结语

Claude Code 后门风波的核心教训是:高权限 AI 编程工具若采用未披露的隐蔽信道,即便动机是反蒸馏,也会触发监管定性与企业级禁用连锁反应。在主力开发机上混跑代理网关、多项目 API Key 与 Claude Code,出站流量与版本审计成本被严重低估。

对仍需在 macOS 环境验收 Claude Code 或对比替代工具的团队,租用 VNCMac 远程 Mac 可在隔离节点上完成版本自查、环境变量核对与图形化权限审计,不污染个人主力机。查看 Mac Mini M4 套餐 即可按小时开通。