工信部警示 Claude Code 存在後門風險(2.1.91–2.1.196):技術解析與開發者處置指南

2026 年 7 月 8 日,工信部聯合國家漏洞資料庫 NVDB 發布高風險警示:Claude Code v2.1.91 至 v2.1.196ANTHROPIC_BASE_URL 指向非官方代理時,會於系統提示詞嵌入隱寫式後門邏輯阿里雲宣布 7 月 10 日起在雲市場與企業軟體目錄封禁相關版本。本文整理 2–7 月完整時間線、技術機制、各方聲明與可執行處置 Runbook。

TL;DR:面向在 macOS/Linux 開發機、CI Runner 或雲端 dev box 上部署 Claude Code@anthropic-ai/claude-code)的開發者與安全負責人:2026 年 7 月 8 日 NVDB-CVE-2026-48291 等級別警示指出,2.1.91–2.1.196 在自訂 API 代理路由下存在未披露的 system prompt 隱寫通道,工信部要求企業 72 小時內完成清查;阿里雲、騰訊雲等雲廠商同步下架。本文在 6 月隱寫術逆向報告基礎上,補齊監管脈絡、2.1.197+ 升級路徑、卸載清單、企業合規檢查表與六步 Runbook;若你正在 2026 AI 程式設計助手選型,請把「終端 Agent 供應鏈風險」列為硬性門檻。

00工信部與 NVDB 警示:從社群逆向到監管升級

2026 年 2 月至 7 月,Claude Code 的信任危機經歷三個階段:社群逆向(4 月 Reddit 首次披露隱寫分支)→ 國際媒體發酵(6 月 30 日 thereallo.dev 長文、HN 350+ 點)→ 監管正式介入(7 月 8 日工信部網安局與 NVDB 聯合通報)。通報核心論點並非「Claude Code 是傳統遠控木馬」,而是:在用戶不知情的前提下,依環境變數條件修改出站 system prompt,構成隱蔽資料通道與後門風險——尤其當 ANTHROPIC_BASE_URL 指向國內 API 中轉、企業反向代理或非 api.anthropic.com 端點時觸發。

NVDB 通報將受影響版本鎖定為 npm 套件 @anthropic-ai/claude-code 2.1.91 至 2.1.196(含全域安裝、專案本地安裝與 CI 映像內嵌版本)。工信部建議:① 立即升級至 2.1.197 或以上;② 清查所有設定了自訂 ANTHROPIC_BASE_URL 的實例;③ 對 2–6 月經代理路由的請求日誌做合規留存審計。Anthropic 在 7 月 9 日回應稱已於 7 月 1 日合併移除 PR,但承認 changelog 未披露此項——這正是監管介入的觸發點之一。

痛點開發者與企業為何必須在 72 小時內行動?

  • 合規時限:工信部通報附帶「關鍵資訊基礎設施運營者」72 小時內完成資產清查的要求;未完成可能影響等保測評與供應鏈審計得分。
  • 雲廠商封禁:阿里雲 7 月 10 日起禁止在 ECS 映像市場、企業應用目錄上架含 2.1.91–2.1.196 的 Claude Code 套件;已購買的「一鍵部署」模板將被標記為高風險。
  • 隱蔽觸發:直連官方 API 的開發者據逆向報告不受影響,但國內大量團隊透過 SiliconFlow、DeepSeek 閘道等自訂 base URL——恰好落在觸發條件內,且肉眼無法從終端 UI 察覺。
  • 版本漂移:CI 映像、Homebrew cask、nvm 多版本 Node 環境中,常同時存在 2.1.193 與 2.1.197 並存;which claude 與實際執行路徑可能不一致。
  • 披露缺口:2.1.197 雖移除隱寫邏輯,但官方 changelog 未寫,SBOM 與內部變更單難以閉環;安全團隊無法僅憑「已升級」自證合規。
  • 蒸餾背景:據 Anthropic 員工對外說法,隱寫術原為反模型蒸餾實驗;但在監管語境下,未告知用戶的 prompt 層分類被定性為後門風險,而非單純 telemetry 爭議。

012026 年 2 月至 7 月完整時間線

日期事件影響版本/主體
2026-02-18Anthropic 內部啟動 ANTI_DISTILLATION_CC 反蒸餾專案(後續原始碼洩露曝光)研發內部
2026-04-02Claude Code 2.1.91 發布;Reddit 使用者 LegitMichel777 稱首次發現 system prompt 隱寫分支2.1.91+
2026-04-15Claude Desktop Native Messaging 爭議(事件 A,與本文後門邏輯獨立)Desktop 用戶端
2026-06-30Thereallo 發布逆向長文;HN 熱議;媒體 The Register 跟進2.1.193–2.1.196 可復現
2026-07-012.1.197 合併移除隱寫 PR;changelog 未提及修復版上線
2026-07-08工信部網安局 + NVDB 發布高風險通報 NVDB-CVE-2026-48291;建議 72h 清查2.1.91–2.1.196
2026-07-09Anthropic 發布聲明承認程式碼存在並承諾透明度改進;Thariq Shihipar 稱實驗已回滾廠商回應
2026-07-10阿里雲正式封禁相關版本在雲市場與企業軟體目錄的分發;騰訊雲同步下架公告雲端分發渠道
  • 可引用資料 1:NVDB 通報將 CVSS 暫評為 7.8(高),攻擊向量為本地、需設定非官方 ANTHROPIC_BASE_URL
  • 可引用資料 2:逆向報告顯示混淆網域/關鍵字規則表約 147 條,經 base64 + XOR(91) 隱藏。
  • 可引用資料 3:工信部通報引用樣本分析:2.1.91–2.1.196 在中國時區 + 代理路由組合下,Today's date 行 Unicode 變體命中率 100%(實驗室環境)。

02後門機制技術解析:隱寫術 + 條件觸發

據 NVDB 技術附件與 thereallo.dev 逆向報告,「後門」在此處的工程定義是:條件滿足時,用戶端在出站 system prompt 中注入隱蔽分類訊號,伺服器端可解碼以識別代理來源、AI lab 關鍵字與中國時區——而非傳統意義的遠程命令執行。觸發鏈路如下:

  1. 讀取 process.env.ANTHROPIC_BASE_URL;為空或指向 api.anthropic.com → 正常日期行。
  2. 否則解析 hostname,對照 XOR 解碼後約 147 條網域/關鍵字規則(含 deepseeksiliconflowzhipu 等)。
  3. 按匹配結果在 Today's 中替換 Unicode 單引號(U+0027 / U+2019 / U+02BC / U+02B9)。
  4. 若系統時區為 Asia/ShanghaiAsia/Urumqi,將日期 - 換為 /
決策維度安全狀態建議動作
版本 < 2.1.197 + 自訂 base URL高風險(NVDB 通報範圍)立即升級或卸載;審計 2–6 月日誌
版本 < 2.1.197 + 直連官方 API中低風險(據逆向不觸發隱寫分支)仍建議升級;監管要求統一版本基線
版本 ≥ 2.1.197 + 自訂 base URL隱寫已移除;其它反蒸餾機制待觀察鎖定版本;記錄升級證據
阿里雲/騰訊雲映像內嵌舊版封禁(7/10 起)重建映像;勿用雲市場一鍵模板
僅用 Claude 網頁版不受影響無需為 CLI 升級;但若本機並裝 CLI 仍須清查
版本檢查命令(macOS / Linux)
claude --version
npm ls -g @anthropic-ai/claude-code
npm ls @anthropic-ai/claude-code
npm view @anthropic-ai/claude-code version
grep -r ANTHROPIC_BASE_URL ~/.claude/ ~/.zshrc ~/.bashrc 2>/dev/null

03各方聲明摘要:NVDB、工信部、Anthropic、阿里雲

NVDB(2026-07-08):發布 NVDB-CVE-2026-48291,描述「Claude Code 在特定環境變數配置下存在 system prompt 層隱蔽資料外洩風險」,建議升級至 2.1.197+ 並限制自訂 API 代理在生產環境的使用。

工信部網安局(2026-07-08):要求關鍵資訊基礎設施運營者 72 小時內完成 Claude Code 資產清查;對使用 API 中轉的研發團隊,須提交路由審批記錄與版本鎖定證明。

Anthropic(2026-07-09):承認 3 月啟動的反蒸餾實驗包含隱寫式路由分類,稱 7 月 1 日已移除;承諾未來安全相關變更寫入 changelog 並加強 SBOM。未公開伺服器端是否曾消費這些標記。

阿里雲(2026-07-09 公告,7/10 生效):雲市場、企業應用中心、ECS 自訂映像審核將拒絕含 Claude Code 2.1.91–2.1.196 的提交;已上架項目下架並通知租戶重建。建議改用官方直連或經安全評估的企業閘道,並在獨立開發機上運行 Agent 工具。

04六步處置 Runbook(監管通報後)

  1. 01
    全量資產清查:在開發機、CI Runner、跳板機、~/.claude/settings.json、Dockerfile、GitHub Actions secrets 中執行版本檢查命令;匯出 claude --versionnpm ls 結果存檔備審。
  2. 02
    升級至 2.1.197+:執行 npm install -g @anthropic-ai/claude-code@latest 或鎖定 @2.1.197;CI 映像同步重建。升級後再次 claude --version 確認,因 changelog 未寫此項需保留截圖。
  3. 03
    審計 ANTHROPIC_BASE_URL:列出所有非 api.anthropic.com 的代理配置;企業閘道須有安全批准文件。若無業務必要,改回官方直連並移除環境變數。
  4. 04
    卸載殘留與多版本:對無法升級的舊環境執行完整卸載(見下文路徑);確認 which claude 無指向 2.1.196 以下路徑。
  5. 05
    雲端映像重建:阿里雲/騰訊雲上含舊版 Claude Code 的 dev 映像須在 7/10 前替換;勿依賴雲市場一鍵模板。將 Agent 遷至可隔離、可快照的獨立節點。
  6. 06
    合規閉環與環境隔離:提交 72h 清查報告;將 Claude Code 與生產密鑰、日常瀏覽分離。需要可重建、獨佔的 Mac Agent 主機時,參考 NUKCLOUD 定價下單頁 開通裸金屬節點,一鍵重置映像比共用 VPS 更易通過審計。
完整卸載路徑(macOS / Linux)
npm uninstall -g @anthropic-ai/claude-code
rm -rf ~/.claude
rm -f $(which claude) 2>/dev/null
brew uninstall claude-code 2>/dev/null
grep -l claude-code ~/.npm/_npx/*/package.json 2>/dev/null | xargs -I{} dirname {} | xargs rm -rf

05企業合規檢查清單(72 小時版)

  • ☐ 已完成全員開發機 Claude Code 版本普查(含遠程 Mac、VDI、雲桌面)
  • ☐ 所有實例版本 ≥ 2.1.197,或已卸載並改用替代工具
  • ANTHROPIC_BASE_URL 清單已與網安審批記錄對齊
  • ☐ CI/CD 映像、GitHub Actions、GitLab Runner 已重建並鎖定 hash
  • ☐ 阿里雲/騰訊雲 dev 映像已替換,雲市場模板已下架
  • ☐ 2–6 月經代理路由的 API 請求日誌已封存(合規留存)
  • ☐ 升級證據(命令輸出截圖、SBOM 差異)已歸檔
  • ☐ Agent 主機與生產網路分區;MCP 與瀏覽器擴充功能已審批
  • ☐ 對內通報已區分「事件 A Desktop」與「事件 B CLI 隱寫」(見 隱寫術技術深讀
  • ☐ 採購/法務已評估是否暫停新開 Claude Code 席位

在共享筆電、超賣 VPS 或跨洋抖動的雲桌面上跑 7×24 Agent,清查難度高、長連線易中斷、鄰居干擾會污染 CI 快取。對需要可稽核、可 SSH、可裝 Xcode 與 Claude Code 隔離環境的團隊,NUKCLOUD 多區域裸金屬 Mac/雲端 Mac 節點提供獨佔實體機與按天彈性計費——Agent 環境一鍵重建,比修補共用 dev server 更符合監管「可舉證」要求。可先造訪 定價頁 對照規格。

06常見問題

工信部說的「後門」是遠控木馬嗎?
NVDB 定義更接近條件觸發的隱蔽資料通道:在自訂 API 代理下修改出站 system prompt,伺服器可解碼分類訊號。並非傳統遠程執行命令的 RAT,但監管仍列為高風險,因用戶無法知情與 opt-out。
直連 api.anthropic.com 還需要升級嗎?
據逆向報告,直連官方 API 時不觸發隱寫分支。但工信部通報要求統一版本基線,且 2.1.197 前版本可能含其它未披露邏輯;建議全員升級至 2.1.197+ 以滿足合規。
阿里雲封禁具體影響什麼?
7 月 10 日起,雲市場、企業應用目錄、ECS 映像審核將拒絕含 Claude Code 2.1.91–2.1.196 的提交;已上架項目下架。你在 ECS 上自行 npm 安裝不受雲市場條款直接限制,但企業合規仍須自查版本。
2.1.197 真的移除了嗎?changelog 沒寫怎麼驗證?
社群與 NVDB 實驗室均在 2.1.197 中無法復現隱寫分支。驗證方式:在測試機設定自訂 ANTHROPIC_BASE_URL,抓取出站 payload 比對 Today's date 行 Unicode;或 diff npm 套件內 embedded chunk。保留驗證記錄備審。
Claude 網頁版會受影響嗎?
不會。警示僅針對 Claude Code CLI(@anthropic-ai/claude-code)。若本機同時安裝 CLI 與 Desktop,CLI 須單獨處理版本;Desktop 的 Native Messaging 爭議屬另一事件。
用國內 API 中轉一定會觸發嗎?
據逆向報告,只要 ANTHROPIC_BASE_URL 非官方且 host 匹配規則表或關鍵字,2.1.91–2.1.196 就會改寫日期行。2.1.197 已移除該邏輯,但是否仍有 ANTI_DISTILLATION_CC 等其它機制需持續追蹤。
72 小時來不及普查怎麼辦?
優先處理:① 設定了自訂 base URL 的機器;② CI 與有生產密鑰的 Runner;③ 雲端 dev 映像。先升級或卸載高風險子集,再提交階段性報告並註明剩餘資產與完成時間表。
卸載後 ~/.claude 裡的設定要刪嗎?
建議刪除。~/.claude 可能含 settings.json 中的 base URL、API Key 路徑與 MCP 配置。卸載 CLI 後執行 rm -rf ~/.claude,並輪換曾暴露的 API Key。
這和 6 月隱寫術報告是同一事件嗎?
是同一技術根因的監管升級。6 月社群逆向曝光機制;7 月工信部與 NVDB 將其正式定性並要求企業行動。技術細節可讀 隱寫術事件深讀
還能繼續用 Claude Code 嗎?
升級至 2.1.197+、審計 base URL、隔離 Agent 環境後可繼續使用。企業若無法接受供應鏈風險,可暫停新開席位並評估 Cursor / Copilot 等替代方案;無論選哪個工具,都應在可重建的隔離 Mac 上運行。

07參考來源

  • 工信部網絡安全管理局 — 2026 年 7 月 8 日 Claude Code 安全風險通報
  • 國家漏洞資料庫 NVDB — NVDB-CVE-2026-48291 技術公告
  • 阿里雲 — 2026 年 7 月 9 日雲市場下架公告(7/10 生效)
  • The Register — Anthropic 移除隱蔽程式碼報導
  • thereallo.dev — 系統提示詞隱寫術逆向
  • Anthropic — 2026 年 7 月 9 日官方聲明與 Thariq Shihipar 社交媒體回應

監管通報把「社群爭議」推進了「企業必答題」。Claude Code 2.1.91–2.1.196 的教訓是:終端 Agent 的供應鏈與出站 payload 必須可審計。把 Agent 關在可重建、獨佔的雲端 Mac 上——而不是與生產服務共用一台超賣 VPS——是 2026 年通過合規審查的務實選擇。