工信部 Claude Code 後門警示:發生了什麼?完整時間軸與要點速覽
一句話行動建議:立即執行 claude --version;若在 2.1.91–2.1.196 區間且設定了非官方 ANTHROPIC_BASE_URL,請升級至 2.1.197+ 或解除安裝。
要點速覽:① NVDB 定性「安全後門隱患,危害嚴重」;② 受影響版本 2.1.91–2.1.196(2026/4/2–6/29);③ 僅走非官方 API 端點時觸發;④ Anthropic 7/1 承認並回滾;⑤ 阿里 7/10 起全員禁用;⑥ 修復版 v2.1.197(部分口徑 2.1.198)。
| 項目 | 內容 |
|---|---|
| 隱患性質 | 內建監控機制,未經使用者同意可回傳敏感資訊 |
| 回傳內容 | 使用者地域、身分識別等敏感資訊 |
| 受影響版本 | v2.1.91 至 v2.1.196 |
| 版本發布區間 | 2026 年 4 月 2 日 至 6 月 29 日 |
| 官方處置建議 | 立即解除安裝受影響版本 / 升級至最新安全版本;加強開發終端外聯管控與流量監測 |
| 企業動向 | 阿里巴巴等企業已限制或禁用,轉向內部替代工具 Qoder |
| 廠商回應 | Anthropic 承認為「實驗性」反濫用/反模型蒸餾措施,承諾後續版本移除 |
這則新聞表面是監管通報,背後是一條完整故事鏈:Anthropic 主動埋點識別中國使用者 → 開發者逆向曝光 → 廠商道歉回滾 → 阿里禁用 → 工信部定性為後門。
2026 年 2 月:Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等)。
2026 年 3 月:Claude Code 內部悄然上線隱蔽偵測機制(無公開披露)。
2026-04-02:Claude Code v2.1.91 發布,隱蔽偵測程式碼隨版本開始分發(近 20 個版本迭代,changelog 從未提及)。
2026-06-29:v2.1.196 發布(受影響區間最後版本)。
2026-06-30:Reddit 使用者 LegitMichel777 發文曝光隱寫術;Thereallo 發布技術分析;Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/195/196 均存在該邏輯。
2026-07-01:工程師 Thariq Shihipar 在 X 公開承認,稱為 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日版本回滾。
2026-07-02:Claude Code v2.1.197(部分報導稱 v2.1.198)發布,移除隱寫偵測程式碼,changelog 未明確提及。
2026-07-03/04:路透社、TechCrunch 報導:阿里巴巴 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型,轉用 Qoder。
2026-07-08:工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」。
2026-07-10:阿里巴巴內部禁令正式生效。
誤以為所有使用者都被監控:大量自媒體標題寫成「Claude Code 監控所有使用者」——不準確,損害可信度。
把「後門」當唯一技術定性:技術圈更精確的說法是隱寫術偵測機制或 covert channel;監管與搜尋習慣可用「後門」。
渲染成已證實資料外洩:公開報導未證實具體使用者遭受直接經濟損失;應聚焦未披露監控行為與合規風險。
忽視與正常遙測的邊界:Claude Code 確有 Datadog、OpenTelemetry 等常規收集;爭議在於隱寫術、未披露、針對性指紋。
修復版本號口徑不一:多數一手報導稱 v2.1.197,部分中文媒體稱 v2.1.198;建議統一寫「2.1.197 及以上」。
Claude Code 安全風險:誰會真正受影響?觸發條件與遙測邊界
關鍵限定語:隱蔽機制不是對所有使用者生效。只有當使用者設定了環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點(企業閘道、第三方代理、API 中轉/轉售服務)時才會啟動。使用官方 api.anthropic.com 的一般使用者不會觸發這條偵測路徑。
| 使用者場景 | 是否觸發偵測 | 主要風險 |
|---|---|---|
| 官方 api.anthropic.com 直連 | 否 | 常規遙測(隱私政策有概略披露) |
| ANTHROPIC_BASE_URL 指向第三方閘道 | 是 | 隱寫術指紋 + 帳號封禁風險 |
| 中國時區 + 代理端點 | 是(疊加訊號) | 地域與商業競爭對手指紋識別 |
| 企業合規敏感環境 | 視設定而定 | 未披露外聯 + 核心業務網段合規 |
本次爭議的問題不在於「收集資料」本身,而在於:① 使用隱寫術而非正規、可被使用者發現或關閉的 telemetry 通道;② 從未在任何版本 changelog 中披露,持續近 3 個月;③ 專門針對特定地域和特定商業競爭對手做指紋識別;④ 該工具同時擁有檔案系統讀寫、Shell 命令執行等高權限,使用者對「看不見的行為」容忍度理應更低。
該機制的直接後果是「帳號封禁風險」,而非已證實的「資料外洩事故」——行文應避免過度渲染。
Claude Code 隱寫術監控機制:技術三步拆解
這是整篇內容形成技術權威性的核心部分。機制被稱為「隱寫術(steganography)」而非普通「遙測(telemetry)」——它沒有走獨立資料上報通道,而是篡改了發給模型的 system prompt 本身。
第一步:環境偵察。觸發後程式碼做兩類判斷:① 系統時區是否為 Asia/Shanghai 或 Asia/Urumqi;② 將 ANTHROPIC_BASE_URL 的 hostname 與內建黑名單比對。黑名單據多方逆向(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等)共 147 個條目,涵蓋中國大型科技公司網域(阿里、百度、字節等)、中國 AI 實驗室關鍵字(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/轉售閘道。清單使用 XOR 加密(金鑰 91)+ Base64 編碼 雙重混淆。
第二步:隱寫編碼。命中中國時區時,system prompt 日期格式由 2026-06-30(連字號)變為 2026/06/30(斜線)。Today's date is 中的標準撇號 ' 被替換為 3 種視覺上幾乎無法分辨的 Unicode 撇號,編碼「時區命中 / 網域命中 / AI 實驗室關鍵字命中」三個布林旗標位。
第三步:隱蔽通道傳輸。用 1 個日期格式位 + 3 種撇號變體 編碼約 3 bit 環境資訊,藏在看似正常的英文句子裡,隨每次請求傳送給 Anthropic 伺服器解析。安全研究員 Adnane Khan 將其定義為 a covert information channel embedded in system prompts(嵌入系統提示詞中的隱蔽通道)。
| 類型 | 版本號 | 日期 |
|---|---|---|
| 首個含隱蔽機制版本 | v2.1.91 | 2026-04-02 |
| 最後受影響版本 | v2.1.196 | 2026-06-29 |
| 修復版本 | v2.1.197(部分口徑 2.1.198) | 2026-07-01/02 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
徹底解除安裝需清理:macOS/Linux:~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code;Windows:%USERPROFILE%\.claude 及相關快取。企業場景解除安裝後還應對開發終端做出站流量稽核。
Claude Code 後門風波:NVDB、Anthropic、阿里怎麼說?媒體用詞與蒸餾戰背景
工信部 / NVDB:定性「安全後門隱患,危害嚴重」;描述為內建監控機制,未經使用者同意向遠端伺服器回傳使用者地域、身分識別等敏感資訊;處置建議為全面排查開發終端 → 解除安裝或升級 → 加強核心業務網段外聯權限管控與流量監測。
Anthropic / Thariq Shihipar(X 原話):「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——定性為「實驗(experiment)」而非「後門(backdoor)」,強調反帳號轉售濫用、反模型蒸餾。補充背景:Anthropic 曾致信美國參議院銀行委員會,指控阿里巴巴 Qwen 團隊使用近 2.5 萬個欺詐帳號、產生 2880 萬次互動,試圖竊取 Claude 模型能力。
阿里巴巴:據 SCMP、Ars Technica 引述,內部通知將 Claude Code 列入「高風險軟體」;2026 年 7 月 10 日起全員禁用 Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等系列),轉向內部程式設計平台 Qoder。
| 來源 | 關鍵定性用詞 | 敘事側重 |
|---|---|---|
| NVDB / 工信部 | backdoor code / security backdoor risk / severe threat | 合規與資料外傳風險 |
| CNBC / Reuters / CBS | security backdoor / built-in monitoring mechanism | 中立轉述監管定性 + 企業連鎖反應 |
| The Register | covert code / secret steganography system | 技術揶揄 + 未披露更新的問責 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信任危機 + 政策分析 |
| Cybernews | a nothing burger(部分技術圈觀點) | 認為反應過度,實質是反蒸餾工程手段 |
| Anthropic 官方 | experiment / anti-abuse / anti-distillation measure | 強調正當防禦目的,非惡意監控 |
延伸背景:中美 AI 蒸餾戰。這不是孤立事件。Anthropic 長期禁止中國及「敵對地區」使用者直接存取其模型,但使用者可透過 VPN、境外手機號/信用卡、第三方代理規避。2026 年 2 月,北大與中國科學院研究者發表論文,稱偵測到多數主流中國大模型存在對海外模型的蒸餾痕跡。Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未經授權利用 Claude 輸出訓練自家模型。Claude Opus 4.8 曾被曝出在測試中「誤認自己是 Qwen / DeepSeek」,讓這次「埋點識別中國使用者」更顯尷尬。中國企業普遍轉向自研/開源模型體系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等),阿里 Qoder 是這一趨勢的具體體現。
Claude Code 怎麼解除安裝升級?個人開發者與企業 IT 合規處置清單
個人開發者 checklist:
查版本:執行 claude --version,確認是否在 2.1.91–2.1.196 區間。
查代理端點:執行 echo $ANTHROPIC_BASE_URL,檢查是否指向非官方閘道。
升級:npm install -g @anthropic-ai/claude-code@latest 或 claude update,確保 ≥ 2.1.197。
解除安裝(可選):全域解除安裝後清理 ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code。
評估替代:客觀對比 Qoder、通義靈碼、Cursor 等國產 AI 程式設計工具。
交叉驗證:閱讀 四大 AI 程式設計助手對比 做選型決策。
企業 IT checklist:
全面排查開發終端:清點所有安裝 Claude Code 的工作站與 CI 節點。
解除安裝或強制升級:參照 NVDB 建議,對受影響版本立即處置。
出站流量稽核:排查是否存在對非授權 AI 服務端點的持續外聯。
147 條黑名單規則:經 XOR(91)+Base64 混淆,逆向者在 2.1.193–2.1.196 三版均確認(Thereallo、Adnane Khan)。
2880 萬次互動指控:Anthropic 致信參議院稱阿里 Qwen 團隊用約 2.5 萬欺詐帳號進行大規模蒸餾。
7/10 阿里禁令生效:第二波熱度節點,企業應同步更新軟體白名單與採購政策。
參考來源:IT之家、新京報、36氪、騰訊雲開發者社群(簡體中文);CNBC、The Register、TechCrunch、Ars Technica、Thereallo、Vincent Schmalbach、Cybernews(英文)。
免責聲明:本文基於工業和信息化部 NVDB 公告及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或安全稽核結論。
攤開替代方案:在個人 Mac 上繼續執行受影響版本 Claude Code 意味著未披露指紋邏輯與合規風險難以稽核;完全依賴第三方 Claude 轉售閘道 長期暴露於地域與商業競爭對手指紋識別;虛擬機器跑 macOS Agent 違反 EULA 且 Xcode 簽章受限。對需要 iOS CI/CD、完整 Root 與 7×24 穩定性的 AI Agent 生產環境,KVMNODE 獨占 Mac Mini M4 雲端租用通常是更優解:100% 原裝實體機、開放 sudo、按天/週/月彈性,Agent 工作流可在隔離環境中稽核執行,出站流量可管控。詳情見 定價頁、雲端說明、訂購頁。