2026年7月8日、工業和信息化部サイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)がリスク警告を発表し、米国 Anthropic 社の AI プログラミングツール Claude Codev2.1.91 から v2.1.196安全バックドアの疑いがあり、危害が深刻であると指摘しました。組み込み監視機構により、ユーザー同意なしに地域・識別情報などの機微データが送信される可能性があります。本文はプロキシエンドポイントを利用する開発者と企業 IT 責任者向けに、完全なタイムライン、ステガノグラフィ技術の分解、各関係者の声明対照、米中 AI 蒸留戦争の背景、およびバージョン確認・アップグレード・アンインストールと企業コンプライアンス対処リストを提供します。技術詳細は Claude Code ステガノグラフィ深度解説も併読ください。
01

工信部 Claude Code バックドア警告:何が起きたか?タイムラインと要点

一言でのアクション:直ちに claude --version を実行してください。2.1.91–2.1.196 の範囲かつ非公式 ANTHROPIC_BASE_URL を設定している場合は 2.1.197 以上へアップグレードするかアンインストールしてください。

要点:① NVDB は「安全バックドアの疑い、危害深刻」と定性;② 影響バージョン 2.1.91–2.1.196(2026/4/2–6/29);③ 非公式 API エンドポイント利用時のみ発動;④ Anthropic は 7/1 に認めロールバック;⑤ 阿里巴巴 7/10 から全社禁止;⑥ 修正版 v2.1.197(一部報道 2.1.198)。

項目内容
隐患の性質組み込み監視機構、ユーザー同意なしに機微情報を送信可能
送信内容ユーザー地域、識別情報などの機微データ
影響バージョンv2.1.91 から v2.1.196
リリース期間2026年4月2日 から 6月29日
公式対処勧告該当バージョンの即時アンインストール / 最新安全版へアップグレード;開発端末の外部通信管理とトラフィック監視の強化
企業動向阿里巴巴などが制限・禁止、内部代替 Qoder へ移行
ベンダー回答Anthropic は「実験的」反悪用・反蒸留措置と認め、後続版で削除を約束

表向きは規制通報ですが、裏には一連のストーリーがあります:Anthropic が中国ユーザー識別のため埋め込み → 開発者が逆向き解析で暴露 → ベンダーが謝罪・ロールバック → 阿里巴巴が禁止 → 工信部がバックドアと定性

02

2026年2月:Anthropic が反モデル蒸留技術(分類器、行動指紋、情報共有等)への投資を公表しました。

03

2026年3月:Claude Code 内部に隠蔽検知機構が静かに投入されました(公開開示なし)。

04

2026-04-02:Claude Code v2.1.91 リリース、隠蔽検知コードが配布開始(約20バージョン、changelog 未記載)。

05

2026-06-29:v2.1.196 リリース(影響区間最終版)。

06

2026-06-30:Reddit ユーザー LegitMichel777 がステガノグラフィを暴露;Thereallo が技術分析を公開;Adnane Khan が GitHub で逆向きレポートを公開し v2.1.193/195/196 すべてに該当ロジックを確認しました。

07

2026-07-01:エンジニア Thariq Shihipar が X で公開認め、3月投入の「実験的」反悪用・反蒸留機構と称し、翌日版でロールバックを約束しました。

08

2026-07-02:Claude Code v2.1.197(一部報道 v2.1.198)リリース、ステガノグラフィ検知コード削除、changelog 明示記載なし。

09

2026-07-03/04:Reuters、TechCrunch が報道:阿里巴巴は7月10日から Claude Code および Anthropic 関連モデルを全社禁止、Qoder へ移行。

10

2026-07-08:工信部 NVDB が正式リスク警告を発表、「安全バックドアの疑い、危害深刻」と定性。

11

2026-07-10:阿里巴巴内部禁止令が正式発効しました。

01

全ユーザー監視と誤解:「Claude Code が全ユーザーを監視」という見出しは不正確で、信頼性を損ないます。

02

「バックドア」だけに限定:技術界ではステガノグラフィ検知機構や covert channel の方が正確;規制・検索用途では「バックドア」も使われます。

03

データ漏洩確定と誇張:公開報道は具体的な経済損害を証明していません;未開示監視行為とコンプライアンスリスクに焦点を当てるべきです。

04

通常テレメトリとの境界:Claude Code には Datadog、OpenTelemetry 等の通常収集もあります;争点はステガノグラフィ、未開示、標的型指紋です。

05

修正版番号の口径差:多くの一次報道は v2.1.197、一部中国メディアは v2.1.198;「2.1.197 以上」と統一するのが無難です。

02

Claude Code セキュリティリスク:誰が本当に影響を受けるか?発動条件とテレメトリ境界

重要な限定:隠蔽機構は全ユーザーに対して有効ではありません。環境変数 ANTHROPIC_BASE_URL で API リクエストを非公式エンドポイント(企業ゲートウェイ、第三者プロキシ、API 中継・転売サービス)に向けた場合のみ発動します。公式 api.anthropic.com を利用する一般ユーザーはこの検知経路をトリガーしません

利用シナリオ検知発動主なリスク
公式 api.anthropic.com 直結通常テレメトリ(プライバシーポリシーに概説)
ANTHROPIC_BASE_URL が第三者ゲートウェイステガノグラフィ指紋 + アカウント停止リスク
中国タイムゾーン + プロキシエンドポイント是(信号叠加)地域・競合他社フィンガープリント
コンプライアンス敏感な企業環境設定次第未開示外部通信 + コア業務ネットワークコンプライアンス

今回の論点は「データ収集」そのものではなく:① ステガノグラフィを用い、ユーザーが発見・停止できる正規 telemetry チャネルではないこと;② 約3か月間 changelog に一切開示されなかったこと;③ 特定地域と特定競合他社を標的としたフィンガープリント;④ 本ツールがファイルシステム読み書き、Shell コマンド実行など高権限を持つこと——ユーザーは「見えない行為」への許容度が本来低いはずです。

この機構の直接結果は「アカウント停止リスク」であり、証明済みの「データ漏洩事故」ではありません——過度な煽りは避けるべきです。

03

Claude Code ステガノグラフィ監視機構:技術3ステップ分解

本文の技術的権威性の核です。機構は通常の「テレメトリ(telemetry)」ではなく「ステガノグラフィ(steganography)」と呼ばれます——独立したデータ送信チャネルではなく、モデルへ送る system prompt 自体を改ざんします。

第一步:環境偵察。発動後、コードは二種類の判定を行います:① システムタイムゾーンが Asia/Shanghai または Asia/Urumqi か;② ANTHROPIC_BASE_URL の hostname を内蔵ブラックリストと照合。ブラックリストは LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等の逆向き解析により 147 エントリ、中国大手テック企業ドメイン(阿里、百度、字节等)、中国 AI ラボキーワード(DeepSeek、Moonshot、智谱、MiniMax、Baichuan、StepFun、01.AI 等)および既知 API プロキシ・転売ゲートウェイを含みます。リストは XOR 暗号化(キー 91)+ Base64 エンコードで二重に難読化されています。

第二步:ステガノグラフィ符号化。中国タイムゾーン命中時、system prompt の日付形式が 2026-06-30(ハイフン)から 2026/06/30(スラッシュ)に変わります。Today's date is の標準アポストロフィ ' が視覚的に区別困難な 3 種類の Unicode アポストロフィに置換され、「タイムゾーン命中 / ドメイン命中 / AI ラボキーワード命中」の3ビットフラグを符号化します。

第三步:隠蔽チャネル送信。1 ビットの日付形式 + 3 種類のアポストロフィ変体で約 3 bit の環境情報を、一見正常な英文の中に隠し、リクエストごとに Anthropic サーバーへ送り解析されます。セキュリティ研究者 Adnane Khan は a covert information channel embedded in system prompts(system prompt に埋め込まれた隠蔽情報チャネル)と定義しました。

種別バージョン日付
初回隠蔽機構含有版v2.1.912026-04-02
最終影響版v2.1.1962026-06-29
修正版v2.1.197(一部口径 2.1.198)2026-07-01/02
bash
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

完全アンインストール時の清理:macOS/Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code;Windows:%USERPROFILE%\.claude および関連キャッシュ。企業環境ではアンインストール後に開発端末の送信トラフィック監査も実施してください。

04

Claude Code バックドア騒動:NVDB、Anthropic、阿里巴巴の声明とメディア用語・蒸留戦背景

工信部 / NVDB:「安全バックドアの疑い、危害深刻」と定性;組み込み監視機構がユーザー同意なしにリモートサーバーへ地域・識別情報等を送信すると記述;対処は開発端末の全面確認 → アンインストールまたはアップグレード → コア業務ネットワークの外部通信権限管理とトラフィック監視の強化。

Anthropic / Thariq Shihipar(X 原文):「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——「バックドア(backdoor)」ではなく「実験(experiment)」と定性し、反アカウント転売悪用・反モデル蒸留を強調。背景として Anthropic は米上院銀行委員会に書簡を送り、阿里巴巴 Qwen チームが約2.5万の不正アカウントで2880万回の対話を行い Claude モデル能力の窃取を試みたと指控しました。

阿里巴巴:SCMP、Ars Technica 引用により、内部通知で Claude Code を「高リスクソフトウェア」に指定;2026年7月10日から Claude Code および Anthropic 関連モデル製品(Sonnet、Opus、Fable 等)を全社禁止、内部プログラミングプラットフォーム Qoder へ移行。

ソース主要定性用語叙事の重点
NVDB / 工信部backdoor code / security backdoor risk / severe threatコンプライアンスとデータ外部送信リスク
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanism規制定性の中立転載 + 企業連鎖反応
The Registercovert code / secret steganography system技術的揶揄 + 未開示更新への説明責任
Ars Technicaspyware-like tracking / secret Claude tracker信頼危機 + 政策分析
Cybernewsa nothing burger(一部技術界見解)過剰反応論、実質は反蒸留エンジニアリング手段
Anthropic 公式experiment / anti-abuse / anti-distillation measure正当な防御目的、悪意監視ではないと強調

延伸背景:米中 AI 蒸留戦。孤立事件ではありません。Anthropic は長期に中国および「敵対地域」ユーザーへの直接アクセスを禁止していますが、VPN、海外 SIM/クレジットカード、第三者プロキシで回避可能です。2026年2月、北京大学と中国科学院の研究者が論文を発表し、多数の中国大手モデルに海外モデル蒸留の痕跡があると報告しました。Anthropic は DeepSeek、Moonshot AI、MiniMax、阿里巴巴等が Claude 出力を無許可で自社モデル訓練に利用したと以前から指控しています。Claude Opus 4.8 はテストで「自分を Qwen / DeepSeek と誤認」した事例もあり、今回の「中国ユーザー識別埋め込み」はより尴尬です。中国企業は自研・オープンソースモデル体系(DeepSeek、通义 Qwen、Kimi/Moonshot、智谱、MiniMax 等)へ移行しており、阿里 Qoder はその具体例です。

05

Claude Code のアンインストールとアップグレード:個人開発者と企業 IT コンプライアンス対処リスト

個人開発者 checklist:

01

バージョン確認:claude --version を実行し 2.1.91–2.1.196 か確認します。

02

プロキシエンドポイント確認:echo $ANTHROPIC_BASE_URL で非公式ゲートウェイを指していないか確認します。

03

アップグレード:npm install -g @anthropic-ai/claude-code@latest または claude update で ≥ 2.1.197 を確保します。

04

アンインストール(任意):グローバル削除後 ~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code を清理します。

05

代替評価:Qoder、通义灵码、Cursor 等の国産 AI プログラミングツールを客観比較します。

06

クロス検証:四大 AI コーディングアシスタント比較を読み選定判断を行います。

企業 IT checklist:

A

開発端末の全面確認:Claude Code がインストールされた全ワークステーションと CI ノードを棚卸しします。

B

アンインストールまたは強制アップグレード:NVDB 勧告に従い該当バージョンを直ちに処置します。

C

送信トラフィック監査:非許可 AI サービスエンドポイントへの継続外部通信がないか確認します。

A

147 件ブラックリスト:XOR(91)+Base64 で難読化、逆向き解析者が 2.1.193–2.1.196 の3版すべてで確認(Thereallo、Adnane Khan)。

B

2880万回対話指控:Anthropic は上院へ阿里 Qwen チームが約2.5万不正アカウントで大規模蒸留を行ったと書簡しました。

C

7/10 阿里巴巴禁止発効:第二波の注目点、企業はソフトウェアホワイトリストと調達方針を同期更新すべきです。

参考ソース:IT之家、新京报、36氪、腾讯云开发者社区(中国語);CNBC、The Register、TechCrunch、Ars Technica、Thereallo、Vincent Schmalbach、Cybernews(英語)。

免責事項:本文は工信部 NVDB 公告および公開メディア報道に基づく整理・分析であり、法的助言やセキュリティ監査結論を構成するものではありません。

代替案を整理すると:個人 Mac で該当バージョン Claude Code を継続利用は未開示指紋ロジックとコンプライアンスリスクの監査困難を意味します;第三者 Claude 転売ゲートウェイへの完全依存は長期的に地域・競合他社フィンガープリントに晒されます;VM で macOS Agent を実行は EULA 違反かつ Xcode 署名制限があります。iOS CI/CD、完全 Root、7×24 安定性が必要な AI Agent 本番環境では、KVMNODE 専用 Mac Mini M4 クラウドレンタルが通常より優れた選択です:100% 純正物理機、sudo 開放、日/週/月の柔軟課金、Agent ワークフローを隔離環境で監査実行、送信トラフィック管理可能。詳細は 料金ページヘルプセンター注文ページをご覧ください。