工信部 Claude Code 后门警示:发生了什么?完整时间线与要点速览
一句话行动建议:立即运行 claude --version;若在 2.1.91–2.1.196 区间且配置了非官方 ANTHROPIC_BASE_URL,请升级至 2.1.197+ 或卸载。
要点速览:① NVDB 定性「安全后门隐患,危害严重」;② 受影响版本 2.1.91–2.1.196(2026/4/2–6/29);③ 仅走非官方 API 端点时触发;④ Anthropic 7/1 承认并回滚;⑤ 阿里 7/10 起全员禁用;⑥ 修复版 v2.1.197(部分口径 2.1.198)。
| 项目 | 内容 |
|---|---|
| 隐患性质 | 内置监控机制,未经用户同意可回传敏感信息 |
| 回传内容 | 用户地域、身份标识等敏感信息 |
| 受影响版本 | v2.1.91 至 v2.1.196 |
| 版本发布区间 | 2026 年 4 月 2 日 至 6 月 29 日 |
| 官方处置建议 | 立即卸载受影响版本 / 升级至最新安全版本;加强开发终端外联管控与流量监测 |
| 企业动向 | 阿里巴巴等企业已限制或禁用,转向内部替代工具 Qoder |
| 厂商回应 | Anthropic 承认为「实验性」反滥用/反模型蒸馏措施,承诺后续版本移除 |
这条新闻表面是监管通报,背后是一条完整故事链:Anthropic 主动埋点识别中国用户 → 开发者逆向曝光 → 厂商道歉回滚 → 阿里禁用 → 工信部定性为后门。
2026 年 2 月:Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等)。
2026 年 3 月:Claude Code 内部悄然上线隐蔽检测机制(无公开披露)。
2026-04-02:Claude Code v2.1.91 发布,隐蔽检测代码随版本开始分发(近 20 个版本迭代,changelog 从未提及)。
2026-06-29:v2.1.196 发布(受影响区间最后版本)。
2026-06-30:Reddit 用户 LegitMichel777 发帖曝光隐写术;Thereallo 发布技术分析;Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/195/196 均存在该逻辑。
2026-07-01:工程师 Thariq Shihipar 在 X 公开承认,称为 3 月上线的「实验性」反滥用/反蒸馏机制,承诺次日版本回滚。
2026-07-02:Claude Code v2.1.197(部分报道称 v2.1.198)发布,移除隐写检测代码,changelog 未明确提及。
2026-07-03/04:路透社、TechCrunch 报道:阿里巴巴 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型,转用 Qoder。
2026-07-08:工信部 NVDB 正式发布风险提示,定性为「安全后门隐患,危害严重」。
2026-07-10:阿里巴巴内部禁令正式生效。
误以为所有用户都被监控:大量自媒体标题写成「Claude Code 监控所有用户」——不准确,损害可信度。
把「后门」当唯一技术定性:技术圈更精确的说法是隐写术检测机制或 covert channel;监管与搜索习惯可用「后门」。
渲染成已证实数据泄露:公开报道未证实具体用户遭受直接经济损失;应聚焦未披露监控行为与合规风险。
忽视与正常遥测的边界:Claude Code 确有 Datadog、OpenTelemetry 等常规收集;争议在于隐写术、未披露、针对性指纹。
修复版本号口径不一:多数一手报道称 v2.1.197,部分中文媒体称 v2.1.198;建议统一写「2.1.197 及以上」。
Claude Code 安全风险:谁会真正受影响?触发条件与遥测边界
关键限定语:隐蔽机制不是对所有用户生效。只有当用户设置了环境变量 ANTHROPIC_BASE_URL,将 API 请求指向非官方端点(企业网关、第三方代理、API 中转/转售服务)时才会激活。使用官方 api.anthropic.com 的普通用户不会触发这条检测路径。
| 用户场景 | 是否触发检测 | 主要风险 |
|---|---|---|
| 官方 api.anthropic.com 直连 | 否 | 常规遥测(隐私政策有笼统披露) |
| ANTHROPIC_BASE_URL 指向第三方网关 | 是 | 隐写术指纹 + 账号封禁风险 |
| 中国时区 + 代理端点 | 是(叠加信号) | 地域与商业竞争对手指纹识别 |
| 企业合规敏感环境 | 视配置而定 | 未披露外联 + 核心业务网段合规 |
本次争议的问题不在于「收集数据」本身,而在于:① 使用隐写术而非正规、可被用户发现或关闭的 telemetry 通道;② 从未在任何版本 changelog 中披露,持续近 3 个月;③ 专门针对特定地域和特定商业竞争对手做指纹识别;④ 该工具同时拥有文件系统读写、Shell 命令执行等高权限,用户对「看不见的行为」容忍度理应更低。
该机制的直接后果是「账号封禁风险」,而非已证实的「数据泄露事故」——行文应避免过度渲染。
Claude Code 隐写术监控机制:技术三步拆解
这是整篇内容形成技术权威性的核心部分。机制被称为「隐写术(steganography)」而非普通「遥测(telemetry)」——它没有走独立数据上报通道,而是篡改了发给模型的 system prompt 本身。
第一步:环境侦察。触发后代码做两类判断:① 系统时区是否为 Asia/Shanghai 或 Asia/Urumqi;② 将 ANTHROPIC_BASE_URL 的 hostname 与内置黑名单比对。黑名单据多方逆向(LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等)共 147 个条目,涵盖中国大型科技公司域名(阿里、百度、字节等)、中国 AI 实验室关键词(DeepSeek、Moonshot、智谱、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/转售网关。列表使用 XOR 加密(密钥 91)+ Base64 编码 双重混淆。
第二步:隐写编码。命中中国时区时,system prompt 日期格式由 2026-06-30(连字符)变为 2026/06/30(斜杠)。Today's date is 中的标准撇号 ' 被替换为 3 种视觉上几乎无法分辨的 Unicode 撇号,编码「时区命中 / 域名命中 / AI 实验室关键词命中」三个布尔标志位。
第三步:隐蔽信道传输。用 1 个日期格式位 + 3 种撇号变体 编码约 3 bit 环境信息,藏在看似正常的英文句子里,随每次请求发送给 Anthropic 服务器解析。安全研究员 Adnane Khan 将其定义为 a covert information channel embedded in system prompts(嵌入系统提示词中的隐蔽信道)。
| 类型 | 版本号 | 日期 |
|---|---|---|
| 首个含隐蔽机制版本 | v2.1.91 | 2026-04-02 |
| 最后受影响版本 | v2.1.196 | 2026-06-29 |
| 修复版本 | v2.1.197(部分口径 2.1.198) | 2026-07-01/02 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
彻底卸载需清理:macOS/Linux:~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code;Windows:%USERPROFILE%\.claude 及相关缓存。企业场景卸载后还应对开发终端做出站流量审计。
Claude Code 后门风波:NVDB、Anthropic、阿里怎么说?媒体用词与蒸馏战背景
工信部 / NVDB:定性「安全后门隐患,危害严重」;描述为内置监控机制,未经用户同意向远程服务器回传用户地域、身份标识等敏感信息;处置建议为全面排查开发终端 → 卸载或升级 → 加强核心业务网段外联权限管控与流量监测。
Anthropic / Thariq Shihipar(X 原话):「This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.」——定性为「实验(experiment)」而非「后门(backdoor)」,强调反账户转售滥用、反模型蒸馏。补充背景:Anthropic 曾致信美国参议院银行委员会,指控阿里巴巴 Qwen 团队使用近 2.5 万个欺诈账号、产生 2880 万次交互,试图窃取 Claude 模型能力。
阿里巴巴:据 SCMP、Ars Technica 引述,内部通知将 Claude Code 列入「高风险软件」;2026 年 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型产品(Sonnet、Opus、Fable 等系列),转向内部编程平台 Qoder。
| 来源 | 关键定性用词 | 叙事侧重 |
|---|---|---|
| NVDB / 工信部 | backdoor code / security backdoor risk / severe threat | 合规与数据外传风险 |
| CNBC / Reuters / CBS | security backdoor / built-in monitoring mechanism | 中立转述监管定性 + 企业连锁反应 |
| The Register | covert code / secret steganography system | 技术揶揄 + 未披露更新的问责 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信任危机 + 政策分析 |
| Cybernews | a nothing burger(部分技术圈观点) | 认为反应过度,实质是反蒸馏工程手段 |
| Anthropic 官方 | experiment / anti-abuse / anti-distillation measure | 强调正当防御目的,非恶意监控 |
延伸背景:中美 AI 蒸馏战。这不是孤立事件。Anthropic 长期禁止中国及「敌对地区」用户直接访问其模型,但用户可通过 VPN、境外手机号/信用卡、第三方代理规避。2026 年 2 月,北大与中国科学院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹。Anthropic 此前曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未经授权利用 Claude 输出训练自家模型。Claude Opus 4.8 曾被曝出在测试中「误认自己是 Qwen / DeepSeek」,让这次「埋点识别中国用户」更显尴尬。中国企业普遍转向自研/开源模型体系(DeepSeek、通义 Qwen、Kimi/Moonshot、智谱、MiniMax 等),阿里 Qoder 是这一趋势的具体体现。
Claude Code 怎么卸载升级?个人开发者与企业 IT 合规处置清单
个人开发者 checklist:
查版本:运行 claude --version,确认是否在 2.1.91–2.1.196 区间。
查代理端点:运行 echo $ANTHROPIC_BASE_URL,检查是否指向非官方网关。
升级:npm install -g @anthropic-ai/claude-code@latest 或 claude update,确保 ≥ 2.1.197。
卸载(可选):全局卸载后清理 ~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code。
评估替代:客观对比 Qoder、通义灵码、Cursor 等国产 AI 编程工具。
交叉验证:阅读 四大 AI 编程助手对比 做选型决策。
企业 IT checklist:
全面排查开发终端:清点所有安装 Claude Code 的工作站与 CI 节点。
卸载或强制升级:参照 NVDB 建议,对受影响版本立即处置。
出站流量审计:排查是否存在对非授权 AI 服务端点的持续外联。
147 条黑名单规则:经 XOR(91)+Base64 混淆,逆向者在 2.1.193–2.1.196 三版均确认(Thereallo、Adnane Khan)。
2880 万次交互指控:Anthropic 致信参议院称阿里 Qwen 团队用约 2.5 万欺诈账号进行大规模蒸馏。
7/10 阿里禁令生效:第二波热度节点,企业应同步更新软件白名单与采购政策。
参考来源:IT之家、新京报、36氪、腾讯云开发者社区(中文);CNBC、The Register、TechCrunch、Ars Technica、Thereallo、Vincent Schmalbach、Cybernews(英文)。
免责声明:本文基于工业和信息化部 NVDB 公告及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。
摊开替代方案:在个人 Mac 上继续运行受影响版本 Claude Code 意味着未披露指纹逻辑与合规风险难以审计;完全依赖第三方 Claude 转售网关 长期暴露于地域与商业竞争对手指纹识别;虚拟机跑 macOS Agent 违反 EULA 且 Xcode 签名受限。对需要 iOS CI/CD、完整 Root 与 7×24 稳定性的 AI Agent 生产环境,KVMNODE 独占 Mac Mini M4 云端租赁通常是更优解:100% 原装物理机、开放 sudo、按天/周/月弹性,Agent 工作流可在隔离环境中审计运行,出站流量可管控。详情见 定价页。