工信部警示 Claude Code 存在后门风险(2.1.91–2.1.196):技术解析与开发者处置指南

2026 年 7 月 8 日,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,指出 Anthropic 旗下 AI 编程工具 Claude Codev2.1.91 至 v2.1.196 存在安全后门隐患,危害严重。若你配置了 ANTHROPIC_BASE_URL 走非官方代理,请立即运行 claude --version 自查并升级至 2.1.197 及以上

要点速览:① 2026 年 7 月 8 日工信部 NVDB 定性 Claude Code v2.1.91–2.1.196 存在后门隐患,可未经同意回传用户地域与身份标识;② 隐蔽机制并非监控所有用户——仅当 ANTHROPIC_BASE_URL 指向非官方端点(企业网关、API 中转/转售)时才会激活;③ Anthropic 工程师 Thariq Shihipar 称系 3 月上线的「实验性」反滥用/反蒸馏措施,2.1.197(部分口径 2.1.198)已移除,但 changelog 未披露;④ 阿里巴巴 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型,转用内部工具 Qoder;⑤ 官方建议:立即卸载或升级、加强开发终端外联管控与流量监测。本文覆盖完整时间线、隐写术技术拆解、三方表态、企业/个人 Checklist 与六步 Runbook。技术细节可对照阅读 Claude Code 隐写术深度解析

00发生了什么:从 Anthropic 埋点到工信部定性

这条新闻表面是「监管通报」,背后是一条完整故事链:Anthropic 主动埋点识别中国相关用户 → 开发者逆向曝光 → 厂商道歉回滚 → 阿里禁用 → 工信部定性为后门。2026 年 7 月 8 日是本轮热度高峰,7 月 10 日阿里禁令正式生效是第二波节点。

时间事件
2026 年 2 月Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等)
2026 年 3 月Claude Code 内部悄然上线隐蔽检测机制(无公开披露)
2026-04-02Claude Code v2.1.91 发布,隐蔽检测代码随版本开始分发
2026-04-02 至 06-29近 20 个版本迭代,检测逻辑持续存在,从未写入 changelog
2026-06-29v2.1.196 发布(受影响区间最后一个版本)
2026-06-30Reddit 用户 LegitMichel777 首次曝光;Thereallo 发布技术分析;Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/195/196 均存在该逻辑
2026-07-01Thariq Shihipar 在 X 公开承认,称系 3 月「实验性」反滥用/反蒸馏机制,承诺次日版本回滚
2026-07-02v2.1.197(部分报道称 v2.1.198)发布,移除隐写检测代码,changelog 未明确提及
2026-07-03/04路透社、TechCrunch 报道:阿里巴巴 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型,转用 Qoder
2026-07-08工信部 NVDB 正式发布风险提示,定性为「安全后门隐患,危害严重
2026-07-10阿里巴巴内部禁令正式生效
NVDB 公告要点:内置监控机制,未经用户同意可向远程服务器回传用户地域、身份标识等敏感信息。处置建议:全面排查开发终端 → 卸载或升级至最新安全版本 → 加强核心业务网段外联权限管控与流量监测。

痛点谁会真正受影响?别被标题党误导

很多中文自媒体标题写成「Claude Code 监控所有用户」——这不准确,容易被技术读者指出错误。隐蔽机制不是对所有用户生效,触发条件如下:

  • 必要条件:用户设置了环境变量 ANTHROPIC_BASE_URL,将 API 请求指向非官方端点(企业网关、第三方代理、API 中转/转售服务)。
  • 不受影响:使用官方 api.anthropic.com 的普通用户不会触发这条检测路径。
  • 叠加条件:一旦触发,代码还会检测系统时区是否为 Asia/ShanghaiAsia/Urumqi,并将代理域名与内置 147 条黑名单比对(含阿里、百度、字节、DeepSeek、Moonshot、智谱、MiniMax 等)。
  • 直接后果:公开报道未证实有具体用户因此遭受直接经济损失或数据滥用;机制的直接后果是账号封禁风险合规风险,而非已证实的「数据泄露丑闻」。
  • 高权限叠加:Claude Code 拥有文件系统读写、Shell 命令执行等高权限,用户对「看不见的行为」容忍度理应更低。

2026 AI 编程助手选型 对照时,应把「是否走自定义 API 路由」作为风险分层的第一道筛子。

01隐写术监控机制:三步技术拆解

本次争议被称为「隐写术(steganography)」而非普通「遥测(telemetry)」——它没有走独立的数据上报通道,而是篡改了发给模型的 system prompt 本身。安全研究员 Adnane Khan 将其定义为 "a covert information channel embedded in system prompts"(嵌入系统提示词中的隐蔽信道)。

第一步:环境侦察。读取 ANTHROPIC_BASE_URL,解析 hostname 与 XOR(91)+Base64 混淆的 147 条域名/关键词黑名单比对;同时检测系统时区。

第二步:隐写编码。1 个日期格式位 + 3 种撇号变体 编码约 3 bit 环境信息:

编码位正常值标记值含义
日期分隔符2026-06-30(连字符)2026/06/30(斜杠)时区命中 Asia/ShanghaiAsia/Urumqi
Today's 撇号ASCII U+0027U+2019 / U+02BC / U+02B9时区命中 / 域名命中 / AI 实验室关键词命中

第三步:随请求发送。编码结果藏在 Today's date is … 一句看起来完全正常的英文句子里,随每次请求发送给 Anthropic 服务器解析。

与「正常遥测」的边界:Claude Code 确有 Datadog、OpenTelemetry 等常规数据收集,同类 CLI 工具并不罕见。本次争议在于:① 使用隐写术而非可被用户发现或关闭的 telemetry 通道;② 近 3 个月从未在 changelog 披露;③ 专门针对特定地域与商业竞争对手做指纹识别。

02各方怎么说:NVDB、Anthropic 与阿里巴巴

主体定性用词核心表述
工信部 / NVDB安全后门隐患,危害严重内置监控机制,未经用户同意回传用户地域、身份标识等敏感信息;建议卸载/升级并加强外联管控
Anthropic / Shihiparexperiment / anti-abuse / anti-distillation「This is an experiment we launched in March… meant to prevent account abuse from unauthorized resellers and protect against distillation… fully rolled back in tomorrow's release.」
阿里巴巴high-risk software with security vulnerabilities7 月 10 日起禁用 Claude Code 及 Anthropic 相关模型(Sonnet、Opus、Fable 等),转用内部编程平台 Qoder

国际媒体用词对照:

来源关键定性叙事侧重
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanism中立转述监管定性 + 企业连锁反应
The Registercovert code / secret steganography system技术揶揄 + 未披露更新的问责
Ars Technicaspyware-like tracking / secret Claude tracker信任危机 + 政策分析
Cybernews「a nothing burger」(部分技术圈观点)认为反应过度,实质是反蒸馏工程手段

03延伸背景:中美 AI 模型蒸馏之争

这不是孤立事件,而是 2026 年中美 AI 竞争的一个缩影:

  • Anthropic 长期禁止中国及「敌对地区」用户直接访问,但用户可通过 VPN、境外手机号/信用卡、第三方代理规避。
  • 2026 年 2 月,北大与中国科学院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹。
  • Anthropic 曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未经授权利用 Claude 输出训练自家模型;致美国参议院银行 Committee 的信中,具体指控阿里巴巴 Qwen 团队使用约 2.5 万欺诈账号、产生 2880 万次交互试图窃取 Claude 模型能力。
  • Claude Opus 4.8 曾被曝出在测试中「误认自己是 Qwen / DeepSeek」,被部分评论认为是双重标准的证据。
  • 中国企业普遍转向自研/开源模型体系(DeepSeek、通义 Qwen、Kimi/Moonshot、智谱、MiniMax 等),阿里内部工具 Qoder 是这一趋势的具体体现。

数据受影响版本与自查命令速查

类型版本号日期
首个含隐蔽机制版本v2.1.912026-04-02
最后受影响版本v2.1.1962026-06-29
修复版本v2.1.197(部分口径 2.1.198)2026-07-01/02
版本自查与升级
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

彻底卸载需清理的残留路径:

  • macOS / Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code
  • Windows:%USERPROFILE%\.claude%USERPROFILE%\.claude.json 及相关本地缓存目录

企业场景:卸载不是终点,还应对开发终端做出站流量审计,排查是否存在对非授权 AI 服务端点的持续外联。

04你现在该做什么:个人与企业 Checklist

个人开发者:

  • 运行 claude --version,若在 2.1.91–2.1.196 区间,立即升级至 2.1.197+
  • 检查 echo $ANTHROPIC_BASE_URL 是否指向非官方端点
  • 评估是否继续使用 Claude Code,或转向 Cursor、通义灵码、Qoder 等替代方案
  • 若决定卸载,清理上述残留路径

企业 IT / 研发主管:

  • 全面排查开发终端是否安装受影响版本
  • 将 Claude Code 纳入软件白名单/黑名单评审(参考阿里做法)
  • 加强核心业务网段外联权限管控与流量监测(egress filtering)
  • 评估内部替代工具(Qoder、通义灵码、自研 Agent 平台)
  • 保留版本升级记录与合规审计材料(changelog 未披露此项变更)

05六步处置 Runbook

  1. 01
    盘点版本:在所有开发机、CI Runner、云端 dev 环境运行 claude --versionnpm list -g @anthropic-ai/claude-code,汇总 2.1.91–2.1.196 清单。
  2. 02
    检查路由:审计 ANTHROPIC_BASE_URL.env、CI 密钥与 shell profile,标记非官方端点用户。
  3. 03
    升级或卸载:受影响机器执行 npm install -g @anthropic-ai/claude-code@latestclaude update;合规要求严格者直接卸载并清理残留目录。
  4. 04
    流量审计:对开发终端启用出站流量监测,排查对非授权 AI 服务端点的持续外联。
  5. 05
    策略更新:更新软件白名单/黑名单;参考阿里 7 月 10 日禁令,评估 Anthropic 全系产品适用范围。
  6. 06
    替代评估:对照 AI 编程助手对比,选定 Cursor、Qoder、通义灵码等替代方案,并在隔离环境试跑。

在共享笔记本或超卖 VPS 上跑 Claude Code 一类高权限 Agent,还叠加邻居干扰与长连接中断;对需要可审计、可 SSH、可装 Xcode 与隔离 dev 环境的团队,NUKCLOUD 多区域裸金属 Mac / 云端 Mac 节点提供独占物理机、Root 权限与按天/月弹性计费——Agent 环境与企业日常机分离,泄露面更小。可先访问 定价页 对照规格,再在 下单页 试跑隔离 dev 环境。

06常见问题

Claude Code 真的有后门吗?
在 v2.1.91–2.1.196 中,Anthropic 部署了未披露的代码,通过隐写术对走代理的用户做指纹识别。工信部 NVDB 定性为后门隐患;Anthropic 称系反蒸馏实验,已在 v2.1.197 移除。「后门」是监管定性,技术圈更精确的说法是「隐写术检测机制」或 covert channel。
哪些版本受影响?
v2.1.91(2026-04-02)至 v2.1.196(2026-06-29)。请升级至 2.1.197 及以上
我用官方 Anthropic API 会受影响吗?
不会。隐蔽机制仅当 ANTHROPIC_BASE_URL 指向非官方代理或网关时才会激活。
怎么查当前版本?
在终端运行 claude --version,或通过 npm list -g @anthropic-ai/claude-code 查看全局安装版本。
应该卸载 Claude Code 吗?
若在受影响版本上,立即升级;有合规要求的企业可额外选择卸载并审计出站流量。阿里已从 7 月 10 日起禁用。
隐写术具体用了什么技术?
篡改 system prompt 中日期分隔符(-/)并替换 Today's 中 Unicode 撇号变体,编码时区/代理/AI 实验室关键词命中信号。详见 隐写术深度解析
阿里为什么禁用 Claude Code?
据 SCMP、Ars Technica 引述,阿里将 Claude Code 列为「存在后门风险的高危软件」,7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型,转用内部工具 Qoder。
Anthropic 在 release notes 里披露了吗?
没有。受影响版本 changelog 均未提及该机制;2.1.197 移除时也未明确写入 changelog。
现在 Claude Code 安全吗?
Anthropic 已在 v2.1.197+ 移除隐写代码; ongoing 信任取决于你所在组织的合规政策与风险容忍度。部分技术圈(如 Cybernews)认为反应过度,实质是反蒸馏工程手段。
模型蒸馏与这次事件有什么关系?
蒸馏指用另一模型的输出训练自家模型。Anthropic 称该机制针对未授权转售与蒸馏管道;此前曾指控阿里 Qwen 团队使用约 2.5 万欺诈账号进行大规模蒸馏——这是理解 Anthropic 为何如此紧张「蒸馏」问题的关键背景。

07参考来源与免责声明

  • IT之家 — 工信部发布 Claude Code 风险提示
  • 新京报 — Claude Code 存在安全后门隐患,危害严重
  • CNBC — China warns about AI risks with Anthropic's Claude Code
  • The Register — China: Ditch older Claude versions with backdoor code
  • The Register — Anthropic removing covert code
  • thereallo.dev — Claude Code Is Steganographically Marking Requests
  • 腾讯云开发者社区 — Claude Code 暗藏检测代码事件全解析

本文基于工业和信息化部 NVDB 公告及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。请在采取卸载、封禁或流量管控措施前,结合本机构安全政策自行评估。