TL;DR:面向在 macOS/Linux 開發機、CI Runner 或雲端 dev box 上部署 Claude Code(@anthropic-ai/claude-code)的開發者與安全負責人:2026 年 7 月 8 日 NVDB-CVE-2026-48291 等級別警示指出,2.1.91–2.1.196 在自訂 API 代理路由下存在未披露的 system prompt 隱寫通道,工信部要求企業 72 小時內完成清查;阿里雲、騰訊雲等雲廠商同步下架。本文在 6 月隱寫術逆向報告基礎上,補齊監管脈絡、2.1.197+ 升級路徑、卸載清單、企業合規檢查表與六步 Runbook;若你正在 2026 AI 程式設計助手選型,請把「終端 Agent 供應鏈風險」列為硬性門檻。
00工信部與 NVDB 警示:從社群逆向到監管升級
2026 年 2 月至 7 月,Claude Code 的信任危機經歷三個階段:社群逆向(4 月 Reddit 首次披露隱寫分支)→ 國際媒體發酵(6 月 30 日 thereallo.dev 長文、HN 350+ 點)→ 監管正式介入(7 月 8 日工信部網安局與 NVDB 聯合通報)。通報核心論點並非「Claude Code 是傳統遠控木馬」,而是:在用戶不知情的前提下,依環境變數條件修改出站 system prompt,構成隱蔽資料通道與後門風險——尤其當 ANTHROPIC_BASE_URL 指向國內 API 中轉、企業反向代理或非 api.anthropic.com 端點時觸發。
NVDB 通報將受影響版本鎖定為 npm 套件 @anthropic-ai/claude-code 2.1.91 至 2.1.196(含全域安裝、專案本地安裝與 CI 映像內嵌版本)。工信部建議:① 立即升級至 2.1.197 或以上;② 清查所有設定了自訂 ANTHROPIC_BASE_URL 的實例;③ 對 2–6 月經代理路由的請求日誌做合規留存審計。Anthropic 在 7 月 9 日回應稱已於 7 月 1 日合併移除 PR,但承認 changelog 未披露此項——這正是監管介入的觸發點之一。
痛點開發者與企業為何必須在 72 小時內行動?
- 合規時限:工信部通報附帶「關鍵資訊基礎設施運營者」72 小時內完成資產清查的要求;未完成可能影響等保測評與供應鏈審計得分。
- 雲廠商封禁:阿里雲 7 月 10 日起禁止在 ECS 映像市場、企業應用目錄上架含 2.1.91–2.1.196 的 Claude Code 套件;已購買的「一鍵部署」模板將被標記為高風險。
- 隱蔽觸發:直連官方 API 的開發者據逆向報告不受影響,但國內大量團隊透過 SiliconFlow、DeepSeek 閘道等自訂 base URL——恰好落在觸發條件內,且肉眼無法從終端 UI 察覺。
- 版本漂移:CI 映像、Homebrew cask、nvm 多版本 Node 環境中,常同時存在 2.1.193 與 2.1.197 並存;
which claude與實際執行路徑可能不一致。 - 披露缺口:2.1.197 雖移除隱寫邏輯,但官方 changelog 未寫,SBOM 與內部變更單難以閉環;安全團隊無法僅憑「已升級」自證合規。
- 蒸餾背景:據 Anthropic 員工對外說法,隱寫術原為反模型蒸餾實驗;但在監管語境下,未告知用戶的 prompt 層分類被定性為後門風險,而非單純 telemetry 爭議。
012026 年 2 月至 7 月完整時間線
| 日期 | 事件 | 影響版本/主體 |
|---|---|---|
| 2026-02-18 | Anthropic 內部啟動 ANTI_DISTILLATION_CC 反蒸餾專案(後續原始碼洩露曝光) | 研發內部 |
| 2026-04-02 | Claude Code 2.1.91 發布;Reddit 使用者 LegitMichel777 稱首次發現 system prompt 隱寫分支 | 2.1.91+ |
| 2026-04-15 | Claude Desktop Native Messaging 爭議(事件 A,與本文後門邏輯獨立) | Desktop 用戶端 |
| 2026-06-30 | Thereallo 發布逆向長文;HN 熱議;媒體 The Register 跟進 | 2.1.193–2.1.196 可復現 |
| 2026-07-01 | 2.1.197 合併移除隱寫 PR;changelog 未提及 | 修復版上線 |
| 2026-07-08 | 工信部網安局 + NVDB 發布高風險通報 NVDB-CVE-2026-48291;建議 72h 清查 | 2.1.91–2.1.196 |
| 2026-07-09 | Anthropic 發布聲明承認程式碼存在並承諾透明度改進;Thariq Shihipar 稱實驗已回滾 | 廠商回應 |
| 2026-07-10 | 阿里雲正式封禁相關版本在雲市場與企業軟體目錄的分發;騰訊雲同步下架公告 | 雲端分發渠道 |
- 可引用資料 1:NVDB 通報將 CVSS 暫評為 7.8(高),攻擊向量為本地、需設定非官方
ANTHROPIC_BASE_URL。 - 可引用資料 2:逆向報告顯示混淆網域/關鍵字規則表約 147 條,經 base64 + XOR(91) 隱藏。
- 可引用資料 3:工信部通報引用樣本分析:2.1.91–2.1.196 在中國時區 + 代理路由組合下,
Today's date行 Unicode 變體命中率 100%(實驗室環境)。
02後門機制技術解析:隱寫術 + 條件觸發
據 NVDB 技術附件與 thereallo.dev 逆向報告,「後門」在此處的工程定義是:條件滿足時,用戶端在出站 system prompt 中注入隱蔽分類訊號,伺服器端可解碼以識別代理來源、AI lab 關鍵字與中國時區——而非傳統意義的遠程命令執行。觸發鏈路如下:
- 讀取
process.env.ANTHROPIC_BASE_URL;為空或指向api.anthropic.com→ 正常日期行。 - 否則解析 hostname,對照 XOR 解碼後約 147 條網域/關鍵字規則(含
deepseek、siliconflow、zhipu等)。 - 按匹配結果在
Today's中替換 Unicode 單引號(U+0027 / U+2019 / U+02BC / U+02B9)。 - 若系統時區為
Asia/Shanghai或Asia/Urumqi,將日期-換為/。
| 決策維度 | 安全狀態 | 建議動作 |
|---|---|---|
| 版本 < 2.1.197 + 自訂 base URL | 高風險(NVDB 通報範圍) | 立即升級或卸載;審計 2–6 月日誌 |
| 版本 < 2.1.197 + 直連官方 API | 中低風險(據逆向不觸發隱寫分支) | 仍建議升級;監管要求統一版本基線 |
| 版本 ≥ 2.1.197 + 自訂 base URL | 隱寫已移除;其它反蒸餾機制待觀察 | 鎖定版本;記錄升級證據 |
| 阿里雲/騰訊雲映像內嵌舊版 | 封禁(7/10 起) | 重建映像;勿用雲市場一鍵模板 |
| 僅用 Claude 網頁版 | 不受影響 | 無需為 CLI 升級;但若本機並裝 CLI 仍須清查 |
claude --version
npm ls -g @anthropic-ai/claude-code
npm ls @anthropic-ai/claude-code
npm view @anthropic-ai/claude-code version
grep -r ANTHROPIC_BASE_URL ~/.claude/ ~/.zshrc ~/.bashrc 2>/dev/null
03各方聲明摘要:NVDB、工信部、Anthropic、阿里雲
NVDB(2026-07-08):發布 NVDB-CVE-2026-48291,描述「Claude Code 在特定環境變數配置下存在 system prompt 層隱蔽資料外洩風險」,建議升級至 2.1.197+ 並限制自訂 API 代理在生產環境的使用。
工信部網安局(2026-07-08):要求關鍵資訊基礎設施運營者 72 小時內完成 Claude Code 資產清查;對使用 API 中轉的研發團隊,須提交路由審批記錄與版本鎖定證明。
Anthropic(2026-07-09):承認 3 月啟動的反蒸餾實驗包含隱寫式路由分類,稱 7 月 1 日已移除;承諾未來安全相關變更寫入 changelog 並加強 SBOM。未公開伺服器端是否曾消費這些標記。
阿里雲(2026-07-09 公告,7/10 生效):雲市場、企業應用中心、ECS 自訂映像審核將拒絕含 Claude Code 2.1.91–2.1.196 的提交;已上架項目下架並通知租戶重建。建議改用官方直連或經安全評估的企業閘道,並在獨立開發機上運行 Agent 工具。
04六步處置 Runbook(監管通報後)
-
01
全量資產清查:在開發機、CI Runner、跳板機、
~/.claude/settings.json、Dockerfile、GitHub Actions secrets 中執行版本檢查命令;匯出claude --version與npm ls結果存檔備審。 -
02
升級至 2.1.197+:執行
npm install -g @anthropic-ai/claude-code@latest或鎖定@2.1.197;CI 映像同步重建。升級後再次claude --version確認,因 changelog 未寫此項需保留截圖。 -
03
審計 ANTHROPIC_BASE_URL:列出所有非
api.anthropic.com的代理配置;企業閘道須有安全批准文件。若無業務必要,改回官方直連並移除環境變數。 -
04
卸載殘留與多版本:對無法升級的舊環境執行完整卸載(見下文路徑);確認
which claude無指向 2.1.196 以下路徑。 -
05
雲端映像重建:阿里雲/騰訊雲上含舊版 Claude Code 的 dev 映像須在 7/10 前替換;勿依賴雲市場一鍵模板。將 Agent 遷至可隔離、可快照的獨立節點。
-
06
合規閉環與環境隔離:提交 72h 清查報告;將 Claude Code 與生產密鑰、日常瀏覽分離。需要可重建、獨佔的 Mac Agent 主機時,參考 NUKCLOUD 定價 與 下單頁 開通裸金屬節點,一鍵重置映像比共用 VPS 更易通過審計。
npm uninstall -g @anthropic-ai/claude-code
rm -rf ~/.claude
rm -f $(which claude) 2>/dev/null
brew uninstall claude-code 2>/dev/null
grep -l claude-code ~/.npm/_npx/*/package.json 2>/dev/null | xargs -I{} dirname {} | xargs rm -rf
05企業合規檢查清單(72 小時版)
- ☐ 已完成全員開發機 Claude Code 版本普查(含遠程 Mac、VDI、雲桌面)
- ☐ 所有實例版本 ≥ 2.1.197,或已卸載並改用替代工具
- ☐
ANTHROPIC_BASE_URL清單已與網安審批記錄對齊 - ☐ CI/CD 映像、GitHub Actions、GitLab Runner 已重建並鎖定 hash
- ☐ 阿里雲/騰訊雲 dev 映像已替換,雲市場模板已下架
- ☐ 2–6 月經代理路由的 API 請求日誌已封存(合規留存)
- ☐ 升級證據(命令輸出截圖、SBOM 差異)已歸檔
- ☐ Agent 主機與生產網路分區;MCP 與瀏覽器擴充功能已審批
- ☐ 對內通報已區分「事件 A Desktop」與「事件 B CLI 隱寫」(見 隱寫術技術深讀)
- ☐ 採購/法務已評估是否暫停新開 Claude Code 席位
在共享筆電、超賣 VPS 或跨洋抖動的雲桌面上跑 7×24 Agent,清查難度高、長連線易中斷、鄰居干擾會污染 CI 快取。對需要可稽核、可 SSH、可裝 Xcode 與 Claude Code 隔離環境的團隊,NUKCLOUD 多區域裸金屬 Mac/雲端 Mac 節點提供獨佔實體機與按天彈性計費——Agent 環境一鍵重建,比修補共用 dev server 更符合監管「可舉證」要求。可先造訪 定價頁 對照規格。
06常見問題
ANTHROPIC_BASE_URL,抓取出站 payload 比對 Today's date 行 Unicode;或 diff npm 套件內 embedded chunk。保留驗證記錄備審。@anthropic-ai/claude-code)。若本機同時安裝 CLI 與 Desktop,CLI 須單獨處理版本;Desktop 的 Native Messaging 爭議屬另一事件。ANTHROPIC_BASE_URL 非官方且 host 匹配規則表或關鍵字,2.1.91–2.1.196 就會改寫日期行。2.1.197 已移除該邏輯,但是否仍有 ANTI_DISTILLATION_CC 等其它機制需持續追蹤。~/.claude 可能含 settings.json 中的 base URL、API Key 路徑與 MCP 配置。卸載 CLI 後執行 rm -rf ~/.claude,並輪換曾暴露的 API Key。07參考來源
- 工信部網絡安全管理局 — 2026 年 7 月 8 日 Claude Code 安全風險通報
- 國家漏洞資料庫 NVDB — NVDB-CVE-2026-48291 技術公告
- 阿里雲 — 2026 年 7 月 9 日雲市場下架公告(7/10 生效)
- The Register — Anthropic 移除隱蔽程式碼報導
- thereallo.dev — 系統提示詞隱寫術逆向
- Anthropic — 2026 年 7 月 9 日官方聲明與 Thariq Shihipar 社交媒體回應
監管通報把「社群爭議」推進了「企業必答題」。Claude Code 2.1.91–2.1.196 的教訓是:終端 Agent 的供應鏈與出站 payload 必須可審計。把 Agent 關在可重建、獨佔的雲端 Mac 上——而不是與生產服務共用一台超賣 VPS——是 2026 年通過合規審查的務實選擇。