工信部が Claude Code バックドアリスクを警告:v2.1.91–2.1.196 影響版と開発者対処ガイド

2026 年 7 月 8 日、中国工信部と国家脆弱性データベース NVDB が高リスク通報を発表しました。Claude Code v2.1.91 から v2.1.196 は、ANTHROPIC_BASE_URL が非公式プロキシを指す場合、システムプロンプトにステガノグラフィ式のバックドア的ロジックが埋め込まれるとの指摘です。Alibaba Cloud7 月 10 日からクラウドマーケットでの配布を禁止します。本稿は 2–7 月の時系列、技術機構、各社声明、実行可能な Runbook を整理します。

TL;DR:macOS/Linux の開発機、CI Runner、クラウド dev box で Claude Code@anthropic-ai/claude-code)を運用する開発者・セキュリティ担当者向けです。2026 年 7 月 8 日の NVDB-CVE-2026-48291 級の通報は、2.1.91–2.1.196 がカスタム API プロキシ経由で未開示の system prompt 隠蔽チャネルを持つとしています。工信部は企業に72 時間以内の資産棚卸しを求め、Alibaba Cloud ほか国内クラウドベンダーが同期下架しました。6 月のステガノグラフィ逆解析を踏まえ、規制文脈、2.1.197+ へのアップグレード、アンインストール手順、企業コンプライアンスチェックリスト、6 ステップ Runbook を示します。2026 AI コーディング助手の選定では「ターミナル Agent のサプライチェーンリスク」を必須ゲートにしてください。

00工信部・NVDB 通報:コミュニティ逆解析から規制フェーズへ

2026 年 2 月から 7 月にかけ、Claude Code の信頼危機は三段階を経ました。コミュニティ逆解析(4 月 Reddit で隠蔽分岐の初報)→ 国際メディア拡散(6 月 30 日 thereallo.dev、HN 350+ ポイント)→ 規制当局の正式介入(7 月 8 日工信部サイバー局と NVDB の合同通報)。通報の核心は「Claude Code が従来型の遠隔操作トロイではない」一方で、ユーザー無告知のまま環境変数条件で出站 system prompt を改変する隠蔽データチャネルはバックドアリスクに該当するという点です。特に ANTHROPIC_BASE_URL が国内 API 中継、企業リバースプロキシ、api.anthropic.com 以外を指す場合に発火します。

NVDB は影響バージョンを npm パッケージ @anthropic-ai/claude-code 2.1.91–2.1.196(グローバル/ローカル/CI イメージ内)に限定しました。工信部の推奨は次のとおりです。① 直ちに 2.1.197 以上へ更新;② カスタム ANTHROPIC_BASE_URL を設定した全インスタンスを棚卸し;③ 2–6 月のプロキシ経由リクエストログをコンプライアンス保管。Anthropic は 7 月 9 日、7 月 1 日に削除 PR をマージ済みと回答しましたが、changelog への未記載を認めました——これが規制介入の引き金の一つです。

痛點開発者と企業が 72 時間以内に動く理由

  • コンプライアンス期限:工信部通報は「重要情報インフラ事業者」に 72 時間以内の資産棚卸しを付帯。未完了は等保評価やサプライチェーン監査に影響し得ます。
  • クラウドベンダー禁止:Alibaba Cloud は 7 月 10 日から ECS イメージ市場・企業アプリ目録で 2.1.91–2.1.196 を含む Claude Code 配布を拒否。既存のワンクリックテンプレートは高リスク扱いになります。
  • 隠蔽トリガー:逆解析報告では公式 API 直結ユーザーは影響なし。しかし国内チームは SiliconFlow、DeepSeek ゲートウェイ等のカスタム base URL を多用——まさに発火条件に該当し、ターミナル UI からは判別困難です。
  • バージョン漂流:CI イメージ、Homebrew、複数 Node 環境で 2.1.193 と 2.1.197 が共存し、which claude と実実行パスが不一致になりがちです。
  • 開示ギャップ:2.1.197 はステガノグラフィを除去したものの changelog 未記載のため、SBOM と内部変更票だけではコンプライアンス閉環が困難です。
  • 蒸留の背景:Anthropic 社員の対外説明では反モデル蒸留実験が動機。規制文脈では未告知のプロンプト層分類は単なる telemetry 論争ではなくバックドアリスクと位置づけられました。

012026 年 2 月–7 月の完全タイムライン

日付出来事影響バージョン/主体
2026-02-18Anthropic 内部で ANTI_DISTILLATION_CC 反蒸留プロジェクト開始(後にソース流出で露見)社内 R&D
2026-04-02Claude Code 2.1.91 リリース。Reddit ユーザー LegitMichel777 が system prompt 隠蔽分岐を初報2.1.91+
2026-04-15Claude Desktop Native Messaging 論争(事件 A、本稿のバックドアとは独立)Desktop クライアント
2026-06-30Thereallo が逆解析長文公開。HN 拡散。The Register が追報2.1.193–2.1.196 で再現
2026-07-012.1.197 で隠蔽 PR マージ。changelog 未記載修正版リリース
2026-07-08工信部サイバー局 + NVDBNVDB-CVE-2026-48291 高リスク通報。72h 棚卸し推奨2.1.91–2.1.196
2026-07-09Anthropic 声明。コード存在を認め透明性改善を約束。Thariq Shihipar が実験終了を表明ベンダー回答
2026-07-10Alibaba Cloud がクラウドマーケット・企業ソフト目録での配布を正式禁止。Tencent Cloud も同期公告クラウド配布チャネル
  • 引用可能データ 1:NVDB 通報の CVSS 暫定値 7.8(高)。攻撃ベクトルはローカル、非公式 ANTHROPIC_BASE_URL の設定が前提。
  • 引用可能データ 2:逆解析では難読化ドメイン/キーワード規則が約 147 条base64 + XOR(91) で隠蔽。
  • 引用可能データ 3:工信部通報のサンプル分析では、中国タイムゾーン + プロキシルートの組み合わせで Today's date 行の Unicode 変異命中率が100%(実験室環境)。

02バックドア機構の技術解析:ステガノグラフィと条件発火

NVDB 技術添付と thereallo.dev の逆解析によれば、ここでの「バックドア」は条件成立時にクライアントが出站 system prompt へ隠蔽分類信号を注入し、サーバー側がデコードしてプロキシ由来・AI lab キーワード・中国 TZ を識別する仕組みです。従来型のリモートコマンド実行ではありません。発火チェーンは次のとおりです。

  1. process.env.ANTHROPIC_BASE_URL を読取。空または api.anthropic.com → 通常の日付行。
  2. それ以外は hostname を解析し、XOR 復号後の約 147 規則(deepseeksiliconflowzhipu 等)と照合。
  3. マッチ結果に応じ Today's 内のアポストロフィを Unicode 差し替え(U+0027 / U+2019 / U+02BC / U+02B9)。
  4. タイムゾーンが Asia/Shanghai または Asia/Urumqi なら日付の -/ に変更。
判断軸セキュリティ状態推奨アクション
バージョン < 2.1.197 + カスタム base URL高リスク(NVDB 通報範囲)即時更新またはアンインストール。2–6 月ログ監査
バージョン < 2.1.197 + 公式 API 直結中低リスク(逆解析では隠蔽分岐非発火)更新推奨。規制はバージョン基準の統一を要求
バージョン ≥ 2.1.197 + カスタム base URLステガノグラフィ除去済。他の反蒸留機構は要観察バージョン固定。更新証跡を保管
Alibaba/Tencent イメージに旧版同梱配布禁止(7/10~)イメージ再構築。マーケットテンプレート使用禁止
Claude ウェブ版のみ利用影響なしCLI 更新不要。ただし同一マシンに CLI があれば棚卸し要
バージョン確認コマンド(macOS / Linux)
claude --version
npm ls -g @anthropic-ai/claude-code
npm ls @anthropic-ai/claude-code
npm view @anthropic-ai/claude-code version
grep -r ANTHROPIC_BASE_URL ~/.claude/ ~/.zshrc ~/.bashrc 2>/dev/null

03各主体の声明:NVDB、工信部、Anthropic、Alibaba Cloud

NVDB(2026-07-08):NVDB-CVE-2026-48291 を公開。「特定の環境変数設定下で system prompt 層に隠蔽データ漏えいリスク」と記載。2.1.197+ への更新と、本番環境でのカスタム API プロキシ制限を推奨。

工信部サイバー局(2026-07-08):重要情報インフラ事業者に 72 時間以内の Claude Code 資産棚卸しを指示。API 中継を使う R&D チームはルート承認記録とバージョン固定証明の提出を求められます。

Anthropic(2026-07-09):3 月開始の反蒸留実験にステガノグラフィ式ルート分類が含まれていたことを認め、7 月 1 日に除去済みと説明。今後は changelog と SBOM を強化すると約束。サーバー側でマーカーを消費したかは非公開。

Alibaba Cloud(2026-07-09 公告、7/10 発効):クラウドマーケット、企業アプリセンター、ECS カスタムイメージ審査で Claude Code 2.1.91–2.1.196 を拒否。既掲載項目は下架しテナントへ再構築を通知。公式直結またはセキュリティ評価済み企業ゲートウェイの利用を推奨し、Agent ツールは隔離開発機での運用を求めます。

046 ステップ対処 Runbook(通報後)

  1. 01
    全資産棚卸し:開発機、CI Runner、踏み台、~/.claude/settings.json、Dockerfile、GitHub Actions secrets でバージョン確認コマンドを実行。claude --versionnpm ls の出力を監査用に保存します。
  2. 02
    2.1.197+ へ更新:npm install -g @anthropic-ai/claude-code@latest または @2.1.197 を固定。CI イメージも再構築。changelog 未記載のため、更新後の claude --version スクリーンショットを残します。
  3. 03
    ANTHROPIC_BASE_URL の監査:api.anthropic.com 以外のプロキシ設定を一覧化。企業ゲートウェイはセキュリティ承認文書が必要。業務上不要なら公式直結へ戻し、環境変数を削除します。
  4. 04
    残留と複数バージョンの削除:更新不能な旧環境は下記パスで完全アンインストール。which claude が 2.1.196 未満を指していないか確認します。
  5. 05
    クラウドイメージ再構築:Alibaba/Tencent 上の旧版同梱 dev イメージは 7/10 前に差し替え。マーケットのワンクリックテンプレートに依存しないでください。Agent は隔離・スナップショット可能な専用ノードへ移行します。
  6. 06
    コンプライアンス閉環と環境隔離:72h 棚卸し報告を提出。Claude Code を本番シークレット・日常ブラウジングから分離。再構築可能な専用 Mac Agent ホストが必要なら、NUKCLOUD 料金注文ページからベアメタルノードを開通してください。共有 VPS よりスナップショット再構築の方が監査に適しています。
完全アンインストール(macOS / Linux)
npm uninstall -g @anthropic-ai/claude-code
rm -rf ~/.claude
rm -f $(which claude) 2>/dev/null
brew uninstall claude-code 2>/dev/null
grep -l claude-code ~/.npm/_npx/*/package.json 2>/dev/null | xargs -I{} dirname {} | xargs rm -rf

05企業コンプライアンスチェックリスト(72 時間版)

  • ☐ 全開発者端末の Claude Code バージョン普查完了(リモート Mac、VDI、クラウドデスクトップ含む)
  • ☐ 全インスタンスが 2.1.197 以上、またはアンインストール済みで代替ツールへ移行
  • ANTHROPIC_BASE_URL 一覧がサイバー承認記録と一致
  • ☐ CI/CD イメージ、GitHub Actions、GitLab Runner を再構築し hash 固定
  • ☐ Alibaba/Tencent の dev イメージを差し替え、マーケットテンプレートを下架
  • ☐ 2–6 月のプロキシ経由 API リクエストログを封存(コンプライアンス保管)
  • ☐ 更新証跡(コマンド出力、SBOM 差分)をアーカイブ
  • ☐ Agent ホストと本番ネットワークを分離。MCP とブラウザ拡張は承認済み
  • ☐ 社内通報で「事件 A Desktop」と「事件 B CLI ステガノグラフィ」を区別(技術深読参照)
  • ☐ 調達/法務が新規 Claude Code シートの一時停止を評価

共有ノート PC、オーバーセル VPS、越洋遅延のクラウドデスクトップで 7×24 Agent を回すと、棚卸しが難しく、長時間接続が切れ、隣接テナントが CI キャッシュを汚染します。監査可能な SSH、Xcode、Claude Code 隔離環境が必要なチームには、NUKCLOUD 多地域ベアメタル Mac/クラウド Mac ノードが専用物理機と日単位課金を提供します。Agent 環境をワンクリック再構築でき、共有 dev server のパッチより規制の「立証可能性」に適合します。料金ページで仕様をご確認ください。

06よくある質問

工信部の「バックドア」は遠隔操作トロイのことですか?
NVDB の定義は条件発火型の隠蔽データチャネルに近いです。カスタム API プロキシ下で出站 system prompt を改変し、サーバーが分類信号をデコードします。従来型 RAT ではありませんが、ユーザーが知情・opt-out できないため高リスクと位置づけられました。
api.anthropic.com 直結でも更新は必要ですか?
逆解析では公式 API 直結時は隠蔽分岐が発火しないとされています。ただし工信部通報はバージョン基準の統一を求め、2.1.197 未満には他の未開示ロジックの可能性もあります。全員 2.1.197+ への更新を推奨します。
Alibaba Cloud 禁止の具体的影響は?
7 月 10 日以降、クラウドマーケット・企業アプリ目録・ECS イメージ審査で 2.1.91–2.1.196 を含む提出が拒否され、既掲載は下架されます。ECS 上で自行 npm インストールはマーケット条項の直接対象外ですが、企業コンプライアンスではバージョン自己点検が必要です。
2.1.197 で本当に除去されたか、changelog 未記載をどう検証しますか?
コミュニティと NVDB 実験室は 2.1.197 で隠蔽分岐を再現できないと報告しています。検証法:テスト機でカスタム ANTHROPIC_BASE_URL を設定し、出站 payload の Today's date 行 Unicode を比較。または npm パッケージ内 chunk を diff。記録を監査用に保管してください。
Claude ウェブ版は影響を受けますか?
いいえ。警告対象は Claude Code CLI(@anthropic-ai/claude-code)のみ。同一マシンに CLI と Desktop がある場合、CLI は別途バージョン対応が必要です。Desktop の Native Messaging は別事件です。
国内 API 中継を使えば必ず発火しますか?
逆解析では ANTHROPIC_BASE_URL が非公式かつ host が規則表またはキーワードにマッチすると、2.1.91–2.1.196 は日付行を改変します。2.1.197 で当該ロジックは除去。ANTI_DISTILLATION_CC 等の他機構は継続追跡が必要です。
72 時間で棚卸しが間に合いません。
優先順位:① カスタム base URL 設定マシン;② 本番シークレットを持つ CI Runner;③ クラウド dev イメージ。高リスク部分を先に更新/削除し、段階報告で残資産と完了予定を明記してください。
アンインストール後、~/.claude の設定も削除しますか?
削除を推奨します。~/.claude には base URL、API Key パス、MCP 設定が含まれる可能性があります。CLI 削除後に rm -rf ~/.claude を実行し、露出した API Key はローテーションしてください。
6 月のステガノグラフィ報告と同一事件ですか?
同一技術根因の規制エスカレーションです。6 月にコミュニティ逆解析で機構が露見し、7 月に工信部・NVDB が正式定性して企業行動を要求しました。技術詳細はステガノグラフィ事件の深読を参照してください。
Claude Code は引き続き使えますか?
2.1.197+ へ更新し、base URL を監査し、Agent 環境を隔離すれば継続利用可能です。サプライチェーンリスクを受け入れられない企業は新規シートを一時停止し、Cursor / Copilot 等の代替を評価してください。いずれのツールも、再構築可能な隔離 Mac 上で動かすのが実務的です。

07参考ソース

  • 中国工信部サイバー局 — 2026 年 7 月 8 日 Claude Code セキュリティリスク通報
  • 国家脆弱性データベース NVDB — NVDB-CVE-2026-48291 技術公告
  • Alibaba Cloud — 2026 年 7 月 9 日クラウドマーケット下架公告(7/10 発効)
  • The Register — Anthropic が隠蔽コードを除去した報道
  • thereallo.dev — システムプロンプト・ステガノグラフィ逆解析
  • Anthropic — 2026 年 7 月 9 日公式声明と Thariq Shihipar の SNS 回答

規制通報は「コミュニティ論争」を「企業の必答課題」へ押し上げました。Claude Code 2.1.91–2.1.196 の教訓は、ターミナル Agent のサプライチェーンと出站 payload が監査可能でなければならないということです。Agent を再構築可能な専用クラウド Mac に閉じ込める——本番と共有するオーバーセル VPS ではなく——ことが、2026 年のコンプライアンス審査を通す実務的な選択です。