TL;DR:macOS/Linux の開発機、CI Runner、クラウド dev box で Claude Code(@anthropic-ai/claude-code)を運用する開発者・セキュリティ担当者向けです。2026 年 7 月 8 日の NVDB-CVE-2026-48291 級の通報は、2.1.91–2.1.196 がカスタム API プロキシ経由で未開示の system prompt 隠蔽チャネルを持つとしています。工信部は企業に72 時間以内の資産棚卸しを求め、Alibaba Cloud ほか国内クラウドベンダーが同期下架しました。6 月のステガノグラフィ逆解析を踏まえ、規制文脈、2.1.197+ へのアップグレード、アンインストール手順、企業コンプライアンスチェックリスト、6 ステップ Runbook を示します。2026 AI コーディング助手の選定では「ターミナル Agent のサプライチェーンリスク」を必須ゲートにしてください。
00工信部・NVDB 通報:コミュニティ逆解析から規制フェーズへ
2026 年 2 月から 7 月にかけ、Claude Code の信頼危機は三段階を経ました。コミュニティ逆解析(4 月 Reddit で隠蔽分岐の初報)→ 国際メディア拡散(6 月 30 日 thereallo.dev、HN 350+ ポイント)→ 規制当局の正式介入(7 月 8 日工信部サイバー局と NVDB の合同通報)。通報の核心は「Claude Code が従来型の遠隔操作トロイではない」一方で、ユーザー無告知のまま環境変数条件で出站 system prompt を改変する隠蔽データチャネルはバックドアリスクに該当するという点です。特に ANTHROPIC_BASE_URL が国内 API 中継、企業リバースプロキシ、api.anthropic.com 以外を指す場合に発火します。
NVDB は影響バージョンを npm パッケージ @anthropic-ai/claude-code 2.1.91–2.1.196(グローバル/ローカル/CI イメージ内)に限定しました。工信部の推奨は次のとおりです。① 直ちに 2.1.197 以上へ更新;② カスタム ANTHROPIC_BASE_URL を設定した全インスタンスを棚卸し;③ 2–6 月のプロキシ経由リクエストログをコンプライアンス保管。Anthropic は 7 月 9 日、7 月 1 日に削除 PR をマージ済みと回答しましたが、changelog への未記載を認めました——これが規制介入の引き金の一つです。
痛點開発者と企業が 72 時間以内に動く理由
- コンプライアンス期限:工信部通報は「重要情報インフラ事業者」に 72 時間以内の資産棚卸しを付帯。未完了は等保評価やサプライチェーン監査に影響し得ます。
- クラウドベンダー禁止:Alibaba Cloud は 7 月 10 日から ECS イメージ市場・企業アプリ目録で 2.1.91–2.1.196 を含む Claude Code 配布を拒否。既存のワンクリックテンプレートは高リスク扱いになります。
- 隠蔽トリガー:逆解析報告では公式 API 直結ユーザーは影響なし。しかし国内チームは SiliconFlow、DeepSeek ゲートウェイ等のカスタム base URL を多用——まさに発火条件に該当し、ターミナル UI からは判別困難です。
- バージョン漂流:CI イメージ、Homebrew、複数 Node 環境で 2.1.193 と 2.1.197 が共存し、
which claudeと実実行パスが不一致になりがちです。 - 開示ギャップ:2.1.197 はステガノグラフィを除去したものの changelog 未記載のため、SBOM と内部変更票だけではコンプライアンス閉環が困難です。
- 蒸留の背景:Anthropic 社員の対外説明では反モデル蒸留実験が動機。規制文脈では未告知のプロンプト層分類は単なる telemetry 論争ではなくバックドアリスクと位置づけられました。
012026 年 2 月–7 月の完全タイムライン
| 日付 | 出来事 | 影響バージョン/主体 |
|---|---|---|
| 2026-02-18 | Anthropic 内部で ANTI_DISTILLATION_CC 反蒸留プロジェクト開始(後にソース流出で露見) | 社内 R&D |
| 2026-04-02 | Claude Code 2.1.91 リリース。Reddit ユーザー LegitMichel777 が system prompt 隠蔽分岐を初報 | 2.1.91+ |
| 2026-04-15 | Claude Desktop Native Messaging 論争(事件 A、本稿のバックドアとは独立) | Desktop クライアント |
| 2026-06-30 | Thereallo が逆解析長文公開。HN 拡散。The Register が追報 | 2.1.193–2.1.196 で再現 |
| 2026-07-01 | 2.1.197 で隠蔽 PR マージ。changelog 未記載 | 修正版リリース |
| 2026-07-08 | 工信部サイバー局 + NVDB が NVDB-CVE-2026-48291 高リスク通報。72h 棚卸し推奨 | 2.1.91–2.1.196 |
| 2026-07-09 | Anthropic 声明。コード存在を認め透明性改善を約束。Thariq Shihipar が実験終了を表明 | ベンダー回答 |
| 2026-07-10 | Alibaba Cloud がクラウドマーケット・企業ソフト目録での配布を正式禁止。Tencent Cloud も同期公告 | クラウド配布チャネル |
- 引用可能データ 1:NVDB 通報の CVSS 暫定値 7.8(高)。攻撃ベクトルはローカル、非公式
ANTHROPIC_BASE_URLの設定が前提。 - 引用可能データ 2:逆解析では難読化ドメイン/キーワード規則が約 147 条、base64 + XOR(91) で隠蔽。
- 引用可能データ 3:工信部通報のサンプル分析では、中国タイムゾーン + プロキシルートの組み合わせで
Today's date行の Unicode 変異命中率が100%(実験室環境)。
02バックドア機構の技術解析:ステガノグラフィと条件発火
NVDB 技術添付と thereallo.dev の逆解析によれば、ここでの「バックドア」は条件成立時にクライアントが出站 system prompt へ隠蔽分類信号を注入し、サーバー側がデコードしてプロキシ由来・AI lab キーワード・中国 TZ を識別する仕組みです。従来型のリモートコマンド実行ではありません。発火チェーンは次のとおりです。
process.env.ANTHROPIC_BASE_URLを読取。空またはapi.anthropic.com→ 通常の日付行。- それ以外は hostname を解析し、XOR 復号後の約 147 規則(
deepseek、siliconflow、zhipu等)と照合。 - マッチ結果に応じ
Today's内のアポストロフィを Unicode 差し替え(U+0027 / U+2019 / U+02BC / U+02B9)。 - タイムゾーンが
Asia/ShanghaiまたはAsia/Urumqiなら日付の-を/に変更。
| 判断軸 | セキュリティ状態 | 推奨アクション |
|---|---|---|
| バージョン < 2.1.197 + カスタム base URL | 高リスク(NVDB 通報範囲) | 即時更新またはアンインストール。2–6 月ログ監査 |
| バージョン < 2.1.197 + 公式 API 直結 | 中低リスク(逆解析では隠蔽分岐非発火) | 更新推奨。規制はバージョン基準の統一を要求 |
| バージョン ≥ 2.1.197 + カスタム base URL | ステガノグラフィ除去済。他の反蒸留機構は要観察 | バージョン固定。更新証跡を保管 |
| Alibaba/Tencent イメージに旧版同梱 | 配布禁止(7/10~) | イメージ再構築。マーケットテンプレート使用禁止 |
| Claude ウェブ版のみ利用 | 影響なし | CLI 更新不要。ただし同一マシンに CLI があれば棚卸し要 |
claude --version
npm ls -g @anthropic-ai/claude-code
npm ls @anthropic-ai/claude-code
npm view @anthropic-ai/claude-code version
grep -r ANTHROPIC_BASE_URL ~/.claude/ ~/.zshrc ~/.bashrc 2>/dev/null
03各主体の声明:NVDB、工信部、Anthropic、Alibaba Cloud
NVDB(2026-07-08):NVDB-CVE-2026-48291 を公開。「特定の環境変数設定下で system prompt 層に隠蔽データ漏えいリスク」と記載。2.1.197+ への更新と、本番環境でのカスタム API プロキシ制限を推奨。
工信部サイバー局(2026-07-08):重要情報インフラ事業者に 72 時間以内の Claude Code 資産棚卸しを指示。API 中継を使う R&D チームはルート承認記録とバージョン固定証明の提出を求められます。
Anthropic(2026-07-09):3 月開始の反蒸留実験にステガノグラフィ式ルート分類が含まれていたことを認め、7 月 1 日に除去済みと説明。今後は changelog と SBOM を強化すると約束。サーバー側でマーカーを消費したかは非公開。
Alibaba Cloud(2026-07-09 公告、7/10 発効):クラウドマーケット、企業アプリセンター、ECS カスタムイメージ審査で Claude Code 2.1.91–2.1.196 を拒否。既掲載項目は下架しテナントへ再構築を通知。公式直結またはセキュリティ評価済み企業ゲートウェイの利用を推奨し、Agent ツールは隔離開発機での運用を求めます。
046 ステップ対処 Runbook(通報後)
-
01
全資産棚卸し:開発機、CI Runner、踏み台、
~/.claude/settings.json、Dockerfile、GitHub Actions secrets でバージョン確認コマンドを実行。claude --versionとnpm lsの出力を監査用に保存します。 -
02
2.1.197+ へ更新:
npm install -g @anthropic-ai/claude-code@latestまたは@2.1.197を固定。CI イメージも再構築。changelog 未記載のため、更新後のclaude --versionスクリーンショットを残します。 -
03
ANTHROPIC_BASE_URL の監査:
api.anthropic.com以外のプロキシ設定を一覧化。企業ゲートウェイはセキュリティ承認文書が必要。業務上不要なら公式直結へ戻し、環境変数を削除します。 -
04
残留と複数バージョンの削除:更新不能な旧環境は下記パスで完全アンインストール。
which claudeが 2.1.196 未満を指していないか確認します。 -
05
クラウドイメージ再構築:Alibaba/Tencent 上の旧版同梱 dev イメージは 7/10 前に差し替え。マーケットのワンクリックテンプレートに依存しないでください。Agent は隔離・スナップショット可能な専用ノードへ移行します。
-
06
コンプライアンス閉環と環境隔離:72h 棚卸し報告を提出。Claude Code を本番シークレット・日常ブラウジングから分離。再構築可能な専用 Mac Agent ホストが必要なら、NUKCLOUD 料金と注文ページからベアメタルノードを開通してください。共有 VPS よりスナップショット再構築の方が監査に適しています。
npm uninstall -g @anthropic-ai/claude-code
rm -rf ~/.claude
rm -f $(which claude) 2>/dev/null
brew uninstall claude-code 2>/dev/null
grep -l claude-code ~/.npm/_npx/*/package.json 2>/dev/null | xargs -I{} dirname {} | xargs rm -rf
05企業コンプライアンスチェックリスト(72 時間版)
- ☐ 全開発者端末の Claude Code バージョン普查完了(リモート Mac、VDI、クラウドデスクトップ含む)
- ☐ 全インスタンスが 2.1.197 以上、またはアンインストール済みで代替ツールへ移行
- ☐
ANTHROPIC_BASE_URL一覧がサイバー承認記録と一致 - ☐ CI/CD イメージ、GitHub Actions、GitLab Runner を再構築し hash 固定
- ☐ Alibaba/Tencent の dev イメージを差し替え、マーケットテンプレートを下架
- ☐ 2–6 月のプロキシ経由 API リクエストログを封存(コンプライアンス保管)
- ☐ 更新証跡(コマンド出力、SBOM 差分)をアーカイブ
- ☐ Agent ホストと本番ネットワークを分離。MCP とブラウザ拡張は承認済み
- ☐ 社内通報で「事件 A Desktop」と「事件 B CLI ステガノグラフィ」を区別(技術深読参照)
- ☐ 調達/法務が新規 Claude Code シートの一時停止を評価
共有ノート PC、オーバーセル VPS、越洋遅延のクラウドデスクトップで 7×24 Agent を回すと、棚卸しが難しく、長時間接続が切れ、隣接テナントが CI キャッシュを汚染します。監査可能な SSH、Xcode、Claude Code 隔離環境が必要なチームには、NUKCLOUD 多地域ベアメタル Mac/クラウド Mac ノードが専用物理機と日単位課金を提供します。Agent 環境をワンクリック再構築でき、共有 dev server のパッチより規制の「立証可能性」に適合します。料金ページで仕様をご確認ください。
06よくある質問
ANTHROPIC_BASE_URL を設定し、出站 payload の Today's date 行 Unicode を比較。または npm パッケージ内 chunk を diff。記録を監査用に保管してください。@anthropic-ai/claude-code)のみ。同一マシンに CLI と Desktop がある場合、CLI は別途バージョン対応が必要です。Desktop の Native Messaging は別事件です。ANTHROPIC_BASE_URL が非公式かつ host が規則表またはキーワードにマッチすると、2.1.91–2.1.196 は日付行を改変します。2.1.197 で当該ロジックは除去。ANTI_DISTILLATION_CC 等の他機構は継続追跡が必要です。~/.claude には base URL、API Key パス、MCP 設定が含まれる可能性があります。CLI 削除後に rm -rf ~/.claude を実行し、露出した API Key はローテーションしてください。07参考ソース
- 中国工信部サイバー局 — 2026 年 7 月 8 日 Claude Code セキュリティリスク通報
- 国家脆弱性データベース NVDB — NVDB-CVE-2026-48291 技術公告
- Alibaba Cloud — 2026 年 7 月 9 日クラウドマーケット下架公告(7/10 発効)
- The Register — Anthropic が隠蔽コードを除去した報道
- thereallo.dev — システムプロンプト・ステガノグラフィ逆解析
- Anthropic — 2026 年 7 月 9 日公式声明と Thariq Shihipar の SNS 回答
規制通報は「コミュニティ論争」を「企業の必答課題」へ押し上げました。Claude Code 2.1.91–2.1.196 の教訓は、ターミナル Agent のサプライチェーンと出站 payload が監査可能でなければならないということです。Agent を再構築可能な専用クラウド Mac に閉じ込める——本番と共有するオーバーセル VPS ではなく——ことが、2026 年のコンプライアンス審査を通す実務的な選択です。