要点速览:① 2026 年 7 月 8 日工信部 NVDB 定性 Claude Code v2.1.91–2.1.196 存在后门隐患,可未经同意回传用户地域与身份标识;② 隐蔽机制并非监控所有用户——仅当 ANTHROPIC_BASE_URL 指向非官方端点(企业网关、API 中转/转售)时才会激活;③ Anthropic 工程师 Thariq Shihipar 称系 3 月上线的「实验性」反滥用/反蒸馏措施,2.1.197(部分口径 2.1.198)已移除,但 changelog 未披露;④ 阿里巴巴 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型,转用内部工具 Qoder;⑤ 官方建议:立即卸载或升级、加强开发终端外联管控与流量监测。本文覆盖完整时间线、隐写术技术拆解、三方表态、企业/个人 Checklist 与六步 Runbook。技术细节可对照阅读 Claude Code 隐写术深度解析。
00发生了什么:从 Anthropic 埋点到工信部定性
这条新闻表面是「监管通报」,背后是一条完整故事链:Anthropic 主动埋点识别中国相关用户 → 开发者逆向曝光 → 厂商道歉回滚 → 阿里禁用 → 工信部定性为后门。2026 年 7 月 8 日是本轮热度高峰,7 月 10 日阿里禁令正式生效是第二波节点。
| 时间 | 事件 |
|---|---|
| 2026 年 2 月 | Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等) |
| 2026 年 3 月 | Claude Code 内部悄然上线隐蔽检测机制(无公开披露) |
| 2026-04-02 | Claude Code v2.1.91 发布,隐蔽检测代码随版本开始分发 |
| 2026-04-02 至 06-29 | 近 20 个版本迭代,检测逻辑持续存在,从未写入 changelog |
| 2026-06-29 | v2.1.196 发布(受影响区间最后一个版本) |
| 2026-06-30 | Reddit 用户 LegitMichel777 首次曝光;Thereallo 发布技术分析;Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/195/196 均存在该逻辑 |
| 2026-07-01 | Thariq Shihipar 在 X 公开承认,称系 3 月「实验性」反滥用/反蒸馏机制,承诺次日版本回滚 |
| 2026-07-02 | v2.1.197(部分报道称 v2.1.198)发布,移除隐写检测代码,changelog 未明确提及 |
| 2026-07-03/04 | 路透社、TechCrunch 报道:阿里巴巴 7 月 10 日起全员禁用 Claude Code 及 Anthropic 相关模型,转用 Qoder |
| 2026-07-08 | 工信部 NVDB 正式发布风险提示,定性为「安全后门隐患,危害严重」 |
| 2026-07-10 | 阿里巴巴内部禁令正式生效 |
痛点谁会真正受影响?别被标题党误导
很多中文自媒体标题写成「Claude Code 监控所有用户」——这不准确,容易被技术读者指出错误。隐蔽机制不是对所有用户生效,触发条件如下:
- 必要条件:用户设置了环境变量
ANTHROPIC_BASE_URL,将 API 请求指向非官方端点(企业网关、第三方代理、API 中转/转售服务)。 - 不受影响:使用官方
api.anthropic.com的普通用户不会触发这条检测路径。 - 叠加条件:一旦触发,代码还会检测系统时区是否为
Asia/Shanghai或Asia/Urumqi,并将代理域名与内置 147 条黑名单比对(含阿里、百度、字节、DeepSeek、Moonshot、智谱、MiniMax 等)。 - 直接后果:公开报道未证实有具体用户因此遭受直接经济损失或数据滥用;机制的直接后果是账号封禁风险与合规风险,而非已证实的「数据泄露丑闻」。
- 高权限叠加:Claude Code 拥有文件系统读写、Shell 命令执行等高权限,用户对「看不见的行为」容忍度理应更低。
与 2026 AI 编程助手选型 对照时,应把「是否走自定义 API 路由」作为风险分层的第一道筛子。
01隐写术监控机制:三步技术拆解
本次争议被称为「隐写术(steganography)」而非普通「遥测(telemetry)」——它没有走独立的数据上报通道,而是篡改了发给模型的 system prompt 本身。安全研究员 Adnane Khan 将其定义为 "a covert information channel embedded in system prompts"(嵌入系统提示词中的隐蔽信道)。
第一步:环境侦察。读取 ANTHROPIC_BASE_URL,解析 hostname 与 XOR(91)+Base64 混淆的 147 条域名/关键词黑名单比对;同时检测系统时区。
第二步:隐写编码。用 1 个日期格式位 + 3 种撇号变体 编码约 3 bit 环境信息:
| 编码位 | 正常值 | 标记值 | 含义 |
|---|---|---|---|
| 日期分隔符 | 2026-06-30(连字符) | 2026/06/30(斜杠) | 时区命中 Asia/Shanghai 或 Asia/Urumqi |
| Today's 撇号 | ASCII U+0027 | U+2019 / U+02BC / U+02B9 | 时区命中 / 域名命中 / AI 实验室关键词命中 |
第三步:随请求发送。编码结果藏在 Today's date is … 一句看起来完全正常的英文句子里,随每次请求发送给 Anthropic 服务器解析。
02各方怎么说:NVDB、Anthropic 与阿里巴巴
| 主体 | 定性用词 | 核心表述 |
|---|---|---|
| 工信部 / NVDB | 安全后门隐患,危害严重 | 内置监控机制,未经用户同意回传用户地域、身份标识等敏感信息;建议卸载/升级并加强外联管控 |
| Anthropic / Shihipar | experiment / anti-abuse / anti-distillation | 「This is an experiment we launched in March… meant to prevent account abuse from unauthorized resellers and protect against distillation… fully rolled back in tomorrow's release.」 |
| 阿里巴巴 | high-risk software with security vulnerabilities | 7 月 10 日起禁用 Claude Code 及 Anthropic 相关模型(Sonnet、Opus、Fable 等),转用内部编程平台 Qoder |
国际媒体用词对照:
| 来源 | 关键定性 | 叙事侧重 |
|---|---|---|
| CNBC / Reuters / CBS | security backdoor / built-in monitoring mechanism | 中立转述监管定性 + 企业连锁反应 |
| The Register | covert code / secret steganography system | 技术揶揄 + 未披露更新的问责 |
| Ars Technica | spyware-like tracking / secret Claude tracker | 信任危机 + 政策分析 |
| Cybernews | 「a nothing burger」(部分技术圈观点) | 认为反应过度,实质是反蒸馏工程手段 |
03延伸背景:中美 AI 模型蒸馏之争
这不是孤立事件,而是 2026 年中美 AI 竞争的一个缩影:
- Anthropic 长期禁止中国及「敌对地区」用户直接访问,但用户可通过 VPN、境外手机号/信用卡、第三方代理规避。
- 2026 年 2 月,北大与中国科学院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹。
- Anthropic 曾指控 DeepSeek、Moonshot AI、MiniMax、阿里巴巴等未经授权利用 Claude 输出训练自家模型;致美国参议院银行 Committee 的信中,具体指控阿里巴巴 Qwen 团队使用约 2.5 万欺诈账号、产生 2880 万次交互试图窃取 Claude 模型能力。
- Claude Opus 4.8 曾被曝出在测试中「误认自己是 Qwen / DeepSeek」,被部分评论认为是双重标准的证据。
- 中国企业普遍转向自研/开源模型体系(DeepSeek、通义 Qwen、Kimi/Moonshot、智谱、MiniMax 等),阿里内部工具 Qoder 是这一趋势的具体体现。
数据受影响版本与自查命令速查
| 类型 | 版本号 | 日期 |
|---|---|---|
| 首个含隐蔽机制版本 | v2.1.91 | 2026-04-02 |
| 最后受影响版本 | v2.1.196 | 2026-06-29 |
| 修复版本 | v2.1.197(部分口径 2.1.198) | 2026-07-01/02 |
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update
彻底卸载需清理的残留路径:
- macOS / Linux:
~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code - Windows:
%USERPROFILE%\.claude、%USERPROFILE%\.claude.json及相关本地缓存目录
企业场景:卸载不是终点,还应对开发终端做出站流量审计,排查是否存在对非授权 AI 服务端点的持续外联。
04你现在该做什么:个人与企业 Checklist
个人开发者:
- 运行
claude --version,若在 2.1.91–2.1.196 区间,立即升级至 2.1.197+ - 检查
echo $ANTHROPIC_BASE_URL是否指向非官方端点 - 评估是否继续使用 Claude Code,或转向 Cursor、通义灵码、Qoder 等替代方案
- 若决定卸载,清理上述残留路径
企业 IT / 研发主管:
- 全面排查开发终端是否安装受影响版本
- 将 Claude Code 纳入软件白名单/黑名单评审(参考阿里做法)
- 加强核心业务网段外联权限管控与流量监测(egress filtering)
- 评估内部替代工具(Qoder、通义灵码、自研 Agent 平台)
- 保留版本升级记录与合规审计材料(changelog 未披露此项变更)
05六步处置 Runbook
-
01
盘点版本:在所有开发机、CI Runner、云端 dev 环境运行
claude --version与npm list -g @anthropic-ai/claude-code,汇总 2.1.91–2.1.196 清单。 -
02
检查路由:审计
ANTHROPIC_BASE_URL、.env、CI 密钥与 shell profile,标记非官方端点用户。 -
03
升级或卸载:受影响机器执行
npm install -g @anthropic-ai/claude-code@latest或claude update;合规要求严格者直接卸载并清理残留目录。 -
04
流量审计:对开发终端启用出站流量监测,排查对非授权 AI 服务端点的持续外联。
-
05
策略更新:更新软件白名单/黑名单;参考阿里 7 月 10 日禁令,评估 Anthropic 全系产品适用范围。
-
06
替代评估:对照 AI 编程助手对比,选定 Cursor、Qoder、通义灵码等替代方案,并在隔离环境试跑。
在共享笔记本或超卖 VPS 上跑 Claude Code 一类高权限 Agent,还叠加邻居干扰与长连接中断;对需要可审计、可 SSH、可装 Xcode 与隔离 dev 环境的团队,NUKCLOUD 多区域裸金属 Mac / 云端 Mac 节点提供独占物理机、Root 权限与按天/月弹性计费——Agent 环境与企业日常机分离,泄露面更小。可先访问 定价页 对照规格,再在 下单页 试跑隔离 dev 环境。
06常见问题
ANTHROPIC_BASE_URL 指向非官方代理或网关时才会激活。claude --version,或通过 npm list -g @anthropic-ai/claude-code 查看全局安装版本。07参考来源与免责声明
- IT之家 — 工信部发布 Claude Code 风险提示
- 新京报 — Claude Code 存在安全后门隐患,危害严重
- CNBC — China warns about AI risks with Anthropic's Claude Code
- The Register — China: Ditch older Claude versions with backdoor code
- The Register — Anthropic removing covert code
- thereallo.dev — Claude Code Is Steganographically Marking Requests
- 腾讯云开发者社区 — Claude Code 暗藏检测代码事件全解析
本文基于工业和信息化部 NVDB 公告及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。请在采取卸载、封禁或流量管控措施前,结合本机构安全政策自行评估。