工信部 NVDB 警告:Claude Code バックドアリスク(2.1.91–2.1.196)技術解析と開発者処置ガイド
誰が、どんな問題に直面しているのか?Claude Code を使う Mac/iOS 開発者と企業 IT 責任者が、2026 年 7 月 8 日に工信部 NVDB から「危害严重(危害が深刻)」の定性を受けました。本記事で提供するもの:完全タイムライン、ステガノグラフィ三ステップの技術分解、NVDB/Anthropic/阿里の三方声明対照、バージョン照合のターミナルコマンド、七段階のコンプライアンス処置チェックリストです。構成:バージョン対照表、メディア表現マトリクス、リスク評価マトリクス、個人・企業向けチェックリスト、FAQ 十問、隔離 Mac 検証パスを網羅します。
📋 目次
⚠️ 本記事は NVDB 2026 年 7 月 8 日公告、IT之家/新京報/人民網/36 氪などの公開報道、および thereallo.dev の逆アセンブル報告を相互参照して整理しています。Anthropic の動機はコミュニティとメディアの推測であり、規制当局の確認事項ではありません。データは 2026 年 7 月 9 日時点です。技術的な逆アセンブル詳細は Claude Code ステガノグラフィ事件の完全解説をご参照ください。本記事は規制当局のナラティブと企業コンプライアンス処置に焦点を当てます。
01 · NVDB 警告の要点サマリー
2026 年 7 月 8 日、工業和信息化部(工信部)サイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)はリスク警告を発表し、米国 Anthropic 社が開発した AI プログラミングツール Claude Code にセキュリティバックドアの隐患があり、危害が深刻であると指摘しました。影響を受けるバージョンは v2.1.91 から v2.1.196 です。このツールには監視機構が組み込まれており、ユーザーの同意なくリモートサーバーへユーザーの地域・身元識別子などの機密情報を送信できる可能性があります。
| 観点 | 要点 |
|---|---|
| 規制当局の定性 | NVDB が Claude Code に対し初めて「危害严重」の公式定性を付与(2026-07-08) |
| 影響バージョン | 2.1.91(2026-04-02 リリース)から 2.1.196(2026-06-29 リリース)まで、計 106 サブバージョン |
| 修正バージョン | Anthropic が 7 月 1〜2 日に 2.1.197 を公開して削除。7 月 8 日時点の最新版は 2.1.204 |
| 技術機構 | システムプロンプト・ステガノグラフィ:日付区切り + Unicode アポストロフィエンコード + 147 条の XOR+base64 ブラックリストルール |
| 未開示期間 | 2026 年 3 月の導入から 6 月 30 日の暴露まで、changelog やプライバシーポリシーに約 3 ヶ月記載なし |
| 発動条件 | ANTHROPIC_BASE_URL が非公式エンドポイント(プロキシ/ゲートウェイ/転売)を指す場合のみ起動 |
| 企業の連鎖反応 | 阿里巴巴が 7 月 10 日から Claude Code を全面禁止、自社 Qoder への移行を推奨 |
| 注目データ | HN 討論スレッド 350+ points。蒸留論争では約 25,000 偽アカウント、2,880 万回の対話(Anthropic 非難) |
02 · 三大の痛点:開発者と企業が今すぐ動くべき理由
- 規制定性が確定し、コンプライアンスコストが急増しています。NVDB の「危害严重」はメディアの煽りではありません。国内企業が等級保護評価、サプライチェーン審査、ソフトウェアホワイトリスト監査を行う際、開発端末に2.1.91–2.1.196 が未インストールであること、外部接続トラフィック監視を強化したことを証明する必要があります。阿里の 7 月 10 日禁止令は先行事例に過ぎず、他のテック企業も追随する可能性があります。
- 隠蔽チャネルは平文漏洩より検知が困難です。逆アセンブル報告によると、監視信号はシステムプロンプトの句読点に隠されています。日付区切りが
-から/に変わり、Today'sのアポストロフィが 4 種類の Unicode 文字間で切り替わります。ファイアウォールや DLP は通常ペイロードのキーワードしかスキャンせず、この種のステガノグラフィマーカーは遮断できません。バイナリの逆アセンブルか、システムプロンプトの A/B 比較でのみ発見可能です。 - 主力機に複数バージョン CLI が混在するとトラブルシュートが地獄になります。隔離環境で公式エンドポイントとプロキシエンドポイントのシステムプロンプト差分を比較し、
ANTHROPIC_BASE_URLとシェル設定の残留を監査するには、主力 Mac で会社 VPN、Homebrew 複数バージョン Node、日常の Keychain を同時に走らせると、一度の実験が数週間のトラブルシュート基線を汚染する恐れがあります。Claude Code ステガノグラフィ事件の技術逆アセンブルで述べた痛点と同様ですが、本記事は規制処置と企業コンプライアンスに焦点を当てます。
03 · 完全タイムライン(2026 年 2 月〜7 月)
| 時期 | 出来事 |
|---|---|
| 2026 年 2 月 | Anthropic と中国 AI ベンダー間のモデルアクセス・輸出規制(Fable 5)摩擦が継続。一部企業がプロキシゲートウェイ経由で Claude API にアクセスし始める |
| 2026 年 3 月 | Thariq Shihipar の事後説明によると、Claude Code チームが「実験的」監視機構を導入。無許可転売と蒸留攻撃防止が目的 |
| 2026 年 4 月初旬 | Anthropic が阿里巴巴 Qwen チームによる産業規模のモデル蒸留攻撃を公開非難。約 25,000 偽アカウント、2,880 万回の対話(4〜6 月期間) |
| 2026 年 4 月 2 日 | Claude Code v2.1.91 リリース。ステガノグラフィ監視ロジック内蔵。changelog に一度も言及なし |
| 2026 年 4 月 18 日前後 | プライバシー顧問 Alexander Hanff が Claude Desktop のブラウザ Native Messaging リストへの静かな書き込みを暴露(事件 A、The Register 報道) |
| 2026 年 4 月 | 独立顧問 Noah Kenney が事件 A の再現を確認。安天実験室が Claude Desktop 高権限チャネルリスク報告を公開 |
| 2026 年 4〜6 月 | Claude Code が 2.1.92–2.1.196 と継続更新。ステガノグラフィロジックは常に存在し、リリースノートに未開示 |
| 2026 年 6 月 30 日 | 開発者が thereallo.dev で Claude Code 逆アセンブル報告を公開。Reddit → Hacker News で拡散(350+ points) |
| 2026 年 7 月 1 日 | Anthropic が v2.1.197 をリリース。メディア報道ではステガノグラフィコード削除。changelog に明記なし |
| 2026 年 7 月 2 日 | Thariq Shihipar がソーシャルメディアで「実験的」措置を認め削除済みと表明。セキュリティ研究者 Adnane Khan が独立検証で機構の実在を確認 |
| 2026 年 7 月 3〜4 日 | 阿里巴巴が社内公告: 7 月 10 日から Claude Code および Anthropic 全製品を全面禁止、Qoder を推奨。華爾街見聞、36 氪、第一財経 が続報 |
| 2026 年 7 月 8 日 | NVDB がリスク警告を発表、「危害严重」と定性。IT之家、新京報、人民網、China Daily、CNBC などが報道 |
| 2026 年 7 月 10 日 | 阿里禁止令が正式発効。従業員は Claude Code、Sonnet、Opus、Fable など Anthropic 製品をアンインストール必須 |
04 · NVDB 公告の要点と処置勧告
NVDB 公告の核心表現(IT之家、新京報、人民網 の引用による):Claude Code はテキスト指示に基づきコードの作成・修正などを自律的に行えるが、組み込み監視機構がユーザーの同意なくリモートサーバーへ地域・身元識別子などの機密情報を送信できるとされています。
NVDB は二層の処置勧告を示しました:
- 端末点検:開発端末を直ちに全面点検し、2.1.91–2.1.196 がインストールされていないか確認。該当する場合は直ちにアンインストールまたはアップグレードし、バックドアコードを除去した最新の安全バージョンへ移行すること。
- ネットワーク管理:コア業務ネットワーク内の開発ツールについて外部接続権限の管理とトラフィック監視を強化し、機密データの不正外部送信を防止すること。
これは工信部が NVDB を通じて海外 AI 開発ツールに対して示した初の明確な規制警告であり、Claude Code が「コミュニティ論争」から「企業コンプライアンス必修科目」へ移行したことを示しています。
05 · 発動条件:非公式 ANTHROPIC_BASE_URL のみが起動を引き起こす
本件で最も重要かつ、メディアの見出しに誤解を生みやすい技術的詳細です。thereallo.dev の逆アセンブル報告と Adnane Khan の独立検証によると:
ステガノグラフィ監視ロジックは、ANTHROPIC_BASE_URL が api.anthropic.com 以外のエンドポイントを指す場合にのみ発動します。典型的なシナリオは以下のとおりです:
- 企業 API ゲートウェイやリバースプロキシ(リクエストを Anthropic へ転送)
- 第三者 API 転売サービス(OpenAI 互換レイヤー、国内中継ノード)
- 開発者が
.zshrc、.bashrc、CI 環境変数で Base URL をカスタマイズしている場合
公式 https://api.anthropic.com に直接接続している場合、システムプロンプトの Today's date is... 行は改変されません。これは事実確認で強調すべき境界であり、「すべての Claude Code ユーザーが監視されている」わけではありません。
06 · ステガノグラフィ三ステップの技術分解
発動条件が満たされると、Claude Code は各 API リクエストのシステムプロンプトに三層の隠蔽信号を埋め込みます。Unicode 対照の詳細は Claude Code ステガノグラフィ事件の完全解説をご参照ください。ここでは NVDB 警告の文脈で核心機構を再述します(バイナリ逆アセンブルの詳細は省略):
ステップ一:日付区切りの切り替え(地域信号)
システムタイムゾーンが Asia/Shanghai または Asia/Urumqi の場合、日付形式が 2026-07-08 から 2026/07/08 に変更されます。人間の目や LLM 自体では差異に気づきにくいですが、Anthropic サーバー側では判読可能です。
ステップ二:Unicode アポストロフィエンコード(身元分類)
Today's のアポストロフィが 4 種類の Unicode 文字間で切り替わり、異なるヒット状態をエンコードします:
| ヒット条件 | アポストロフィ文字 | Unicode |
|---|---|---|
| デフォルト(ヒットなし) | ' ASCII アポストロフィ | U+0027 |
| 中国機関/ディーラードメインにヒット | ' 右シングルクォート | U+2019 |
| AI ラボキーワードにヒット | ʼ 修飾レターアポストロフィ | U+02BC |
| ドメインとラボの両方にヒット | ʹ 修飾レタープライム | U+02B9 |
ステップ三:147 条の XOR+base64 ブラックリストルール
ドメインとキーワードリストは base64 + XOR(91) で軽度に難読化され、計約 147 条のルールがあります。deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai など中国 AI ラボ関連の文字列をカバーしています。プログラムはユーザー環境のプロキシホスト名、DNS 解決結果などを照合し、どの Unicode エンコード組み合わせを採用するか決定します。
平易なまとめ:これは従来意味での「ソースコードを見知らぬサーバーへアップロード」ではなく、各 API リクエストのシステムプロンプトに肉眼では見えない分類マーカーを挟み込み、Anthropic バックエンドが「このリクエストが中国関連プロキシ経由か、蒸留シナリオの疑いがあるか」を識別できるようにするものです。
07 · 通常テレメトリとの境界:四点の整理
Anthropic と一部メディアはこれを「不正利用防止テレメトリ」と弁解しています。規制当局と企業コンプライアンスの観点から、以下四点が通常テレメトリの境界を越えている理由——すなわち NVDB が「バックドア隐患」と定性した技術的根拠——を説明します:
- 開示と知情同意の欠如。通常の製品テレメトリはプライバシーポリシー、利用規約、設定画面で収集項目を説明し、しばしばオフスイッチを提供します。Claude Code のステガノグラフィロジックは 2026 年 3 月の導入から 6 月 30 日の暴露まで、changelog、リリースノート、ユーザー向けドキュメントに約 3 ヶ月登場しませんでした。
- 载体とプロトコルの異常。通常のテレメトリは独立した analytics フィールド、HTTP ヘッダー、標準 telemetry SDK を経由します。本件では分類信号がシステムプロンプトの句読点 Unicode コードポイントに隠されており、隠蔽チャネル(covert channel)に該当します。ファイアウォールと DLP は通常ルールでは遮断困難です。
- 選択的かつ隠蔽的な発動。通常のテレメトリは全ユーザーに一貫して適用されます(またはサブスクリプション階層で区別)。本件は非公式
ANTHROPIC_BASE_URLを設定したユーザーのみプロンプトを書き換え、公式エンドポイント直結ユーザーは無感知——「同一バージョン、異なるユーザー、異なる挙動」という非対称監視を形成します。 - コード難読化と逆アセンブル対抗。ドメインブラックリストは base64+XOR(91) で難読化され、アポストロフィは視覚的に類似した文字でエンコードされています。静的解析とユーザー監査を回避する意図が明らかであり、「透明で監査可能な不正検出」とは正反対で、malware-adjacent な実装に近いと評価されています。
08 · 三方声明の対照:NVDB · Anthropic · 阿里巴巴
| 主体 | 時期 | 核心表現 | 処置行動 |
|---|---|---|---|
| NVDB(工信部) | 2026-07-08 | 「セキュリティバックドアの隐患があり、危害严重」。同意なく地域・身元識別子を送信可能 | 直ちに点検・アンインストールまたはアップグレードを勧告。外部接続管理とトラフィック監視を強化 |
| Anthropic Thariq Shihipar |
2026-07-02 | 2026 年 3 月導入の「実験的」措置を認める。無許可アカウント転売とモデル蒸留攻撃防止が目的 | 7 月 2 日の新版で削除。changelog に明記なし |
| 阿里巴巴 | 公告 07-03 発効 07-10 |
バックドアリスクを総合評価し高リスクソフトウェアリストに登録。オフィス環境での Claude Code および Anthropic 全製品の利用を禁止 | 全従業員に限期アンインストールを指示。自社 Qoder を Agent プログラミング代替として推奨 |
09 · 米中モデル蒸留戦争の背景:Anthropic が「タグ付け」した理由
Claude Code のステガノグラフィ機構の動機を理解するには、2026 年初頭の米中 AI 博弈の大背景に置く必要があります。公開報道における主要事実の連鎖は以下のとおりです:
- Anthropic の公開非難:阿里巴巴 Qwen チームが約 25,000 の偽アカウントで、2026 年 4〜6 月に約 2,880 万回の Claude 対話を生成し、史上最大規模のモデル蒸留攻撃を行った(CNBC、南華早報、TechCrunch)。
- 阿里の反撃:阿里巴巴が米国防総省を提訴し、「中国軍事企業リスト」からの除外を求める。同時に社内で従業員の Claude、GPT など外部モデル利用と高額経費精算を奨励——一部プログラマーは週数百ドルの枠を消費。
- 輸出規制摩擦:Anthropic Fable 5 などのモデルが米国輸出規制の対象となり、中国の開発者がプロキシゲートウェイ経由で Claude API にアクセスするケースが増加——これが
ANTHROPIC_BASE_URL非公式エンドポイント多発の構造的原因です。詳細は Claude Fable 5 輸出規制と代替方案をご参照ください。 - コミュニティの主流見解(公式声明ではない):Claude Code のステガノグラフィは蒸留と転売に対する Anthropic の対抗手段——目的は理解できるが、未開示・意図的難読化・句読点への隠蔽という実装が開発者ツールの信頼の赤線を踏み、最終的に NVDB の規制定性を招いた。
10 · 事実確認とリスク境界:何が該当し、何が該当しないか
規制警告とコミュニティのパニックの間で、技術読者は以下六点を正確に区別する必要があります:
| よくある言説 | 確認結果 |
|---|---|
| 「すべての Claude Code ユーザーが監視されている」 | 不正確。ANTHROPIC_BASE_URL ≠ api.anthropic.com の場合のみ発動。公式エンドポイント直結は影響なし |
| 「ソースコードが見知らぬサーバーへアップロードされた」 | 公開証拠なし。確認されているのはシステムプロンプトへの分類マーカー埋め込みで、通常の API リクエスト経由で Anthropic サーバーへ送信 |
| 「従来型の悪意あるバックドアである」 | 部分的に正確。NVDB は「バックドア」で定性。技術コミュニティは「covert channel/隠蔽チャネル」寄り。リモートコード実行や永続 C2 の特徴はなし |
| 「Web 版 Claude も影響を受ける」 | 該当しない。ステガノグラフィロジックは Claude Code CLI バイナリに存在。Web 版 Claude ではない |
| 「2.1.197 で完全修正済み」 | Anthropic は削除済みと述べるが、changelog で未確認。2.1.204+ へアップグレードし隔離環境で検証を推奨 |
| 「阿里が禁じたのは API でありクライアントではない」 | 禁止は Claude Code クライアントおよび Anthropic 全モデル製品を包含。API アクセスへの影響は企業内ネットワークポリシー次第 |
11 · バージョン対照表:どれを処置し、どれが安全か
| バージョン | リリース日 | ステガノグラフィ | 推奨アクション |
|---|---|---|---|
< 2.1.91 | 2026-04-02 以前 | なし | 最新版へのアップグレードを推奨 |
| 2.1.91 – 2.1.196 | 04-02 〜 06-29 | あり(NVDB 警告範囲) | 直ちにアップグレードまたはアンインストール |
| 2.1.197 | 2026-07-01 | 報道では削除済み(changelog 未確認) | アップグレードして検証 |
| 2.1.198 – 2.1.203 | 2026-07-02 〜 07-07 | 報道ではなし | 使用を推奨 |
| 2.1.204+ | 2026-07-08 以降 | 報道ではなし | 推奨バージョン |
12 · メディア表現対照表
| メディア/出典 | 核心表現 | 焦点 |
|---|---|---|
| NVDB / 人民網 | 「セキュリティバックドア隐患」「危害严重」 | 規制コンプライアンス、企業点検 |
| IT之家 / 新京報 | 「監視機構」「同意なく機密情報を送信」 | 技術機構 + 阿里禁止令タイムライン |
| 36 氪 / 智東西 | 「工信部初の公式定性」 | 産業影響、国産代替(Qoder) |
| CNBC / China Daily | 「backdoor risk」「unauthorized data transmission」 | 国際視点、地政学博弈 |
| Ars Technica | 「covert tracking」「prompt steganography」 | 技術深度、開発者信頼の境界 |
| The Register | 「changes software permissions without consent」(事件 A) | Claude Desktop 高権限チャネル |
| TechCrunch | 「distillation attack」「Alibaba ban」 | 蒸留戦争と阿里禁止の産業影響 |
| Hacker News | 「prompt steganography」「malware-adjacent」 | 開発者コミュニティの倫理論争 |
| thereallo.dev | 「covert information channel」 | バイナリ逆アセンブル、関数レベルのコード復元 |
13 · リスク評価マトリクス
| ユーザー状況 | ステガノグラフィ発動? | 規制リスク | 優先度 |
|---|---|---|---|
| 公式 API + 最新版 2.1.204+ | いいえ | 低 | 定期更新で十分 |
| 公式 API + 2.1.91–2.1.196 | いいえ | 中(バージョンコンプライアンス) | 2.1.204+ へアップグレード |
| プロキシ Base URL + 2.1.91–2.1.196 | はい | 高 | 直ちにアップグレードまたはアンインストール |
| プロキシ Base URL + 2.1.197+ | 報道ではいいえ | 中 | 隔離環境で検証後に使用 |
| 国内企業オフィスネットワーク(任意バージョン) | Base URL 次第 | 高(コンプライアンス) | NVDB + 社内規程に従う。Qoder/Cursor 等の代替を検討 |
| 阿里従業員(7/10 以降) | — | 禁止 | 全面アンインストール、Qoder へ移行 |
14 · ターミナルコマンド:バージョン照合・アップグレード・完全アンインストール
以下のコマンドは macOS ターミナル向けです(黒背景ブロック)。アンインストール前に ~/.claude の必要な設定(API Key 平文を除く)をバックアップしてください。
14.1 現在のバージョンを確認
14.2 ANTHROPIC_BASE_URL を監査
14.3 最新の安全バージョンへアップグレード
14.4 完全アンインストール
15 · 七段階コンプライアンス処置チェックリスト
- 端末とバージョンの棚卸し:全開発者 Mac、CI Runner、リモートビルドノードで
claude --versionを実行し、バージョン一覧を出力。2.1.91–2.1.196 のノードをマークします。 - ANTHROPIC_BASE_URL の監査:シェル設定、CI シークレットストア、Docker Compose、Kubernetes ConfigMap の Base URL 設定を確認し、非公式プロキシ経由かどうかを特定します。
- 直ちにアップグレードまたはアンインストール:影響バージョンに対し
npm install -g @anthropic-ai/claude-code@latestを実行するか、前節の完全アンインストール手順を実施します。 - 外部接続管理の強化:コア業務ネットワークに開発ツールの出站ホワイトリストを導入し、未承認 API エンドポイントを制限。TLS トラフィック監視と異常アラートを有効化します。
- 代替方案の評価:企業ユーザーは Qoder(阿里系)、Cursor、GitHub Copilot などを評価。選型対照は AI コーディングアシスタント横断比較をご参照ください。
- 隔離環境での修正検証:クリーンな macOS ノードで Claude Code を再インストールし、公式エンドポイントとプロキシエンドポイントで A/B テストを行い、システムプロンプトの diff でステガノグラフィ残留がないことを確認します。
- セキュリティポリシーと従業員通知の更新:NVDB 警告を社内ソフトウェアホワイトリスト審査フローに組み込み、影響バージョンをインストールした従業員に限期整改通知を発出し、監査記録を保管します。
16 · 個人開発者向け自己点検リスト
独立開発者、フリーランス、小規模チームの技術責任者向け——30 分以内で初回自己点検を完了できます:
- バージョン確認:
claude --versionを実行。2.1.91–2.1.196 に該当する場合は直ちに 2.1.204+ へアップグレードするかアンインストールします。 - Base URL 監査:
echo $ANTHROPIC_BASE_URLを実行し、全シェル設定とプロジェクト.envを grep。非公式エンドポイントの使用理由とデータフローを記録します。 - タイムゾーンとプロキシ経路:システムタイムゾーンが
Asia/Shanghai/Asia/Urumqiか確認し、日付区切りエンコードとの重ね合わせを理解します。 - アンインストール残留のクリーンアップ:利用停止を決めた場合は
npm uninstall -g @anthropic-ai/claude-codeを実行し~/.claudeを削除します。 - 代替ツールの評価:Cursor、Copilot、Gemini プログラミングアシスタント比較を参照し、個人ワークフローに合う方案を選択します。
- 隔離検証(推奨):レンタルまたは予備 Mac で「公式 vs プロキシ」の A/B テストを再現し、スクリーンショットを自己点検記録として保管します。
17 · 企業 IT コンプライアンスチェックリスト
セキュリティチーム、IT 運用、コンプライアンス責任者向け——NVDB 通報とサプライチェーン監査要件に対応します:
- 資産棚卸し:MDM、端末管理ソフト、Ansible スクリプトで
claude --versionとANTHROPIC_BASE_URLを一括収集し、影響デバイス一覧を生成します。 - ソフトウェアホワイトリスト更新:Claude Code 2.1.91–2.1.196 をインストール禁止バージョンに登録。阿里 7 月 10 日禁止令を参考に Anthropic クライアント全面禁止を評価します。
- ネットワーク egress ポリシー:開発 VLAN に API 出站ホワイトリストを適用。
api.anthropic.com以外への TLS 接続と異常 DNS 解決を監視します。 - キーと設定のローテーション:プロキシ経由で Claude API を使用していた場合、API Key 漏洩リスクを評価しポリシーに従いローテーション。CI/CD の Base URL 環境変数をクリーンアップします。
- 従業員通知と整改期限:社内セキュリティ通告を発行し、NVDB 定性、整改締切日、コンプライアンス責任者を明示。受領記録を保管します。
- 代替方案の立項:Qoder、Cursor、Copilot またはプライベートモデルで PoC を実施。選型根拠を監査備考として記録します。
- 検収とアーカイブ:隔離環境でアップグレード検証完了後、バージョンスクリーンショット、アンインストールログ、ネットワークポリシー変更票を等級保護/ISO 27001 証拠庫にアーカイブします。
18 · FAQ(十問)
工信部 NVDB 警告の影響を受けるバージョンは?
Claude Code v2.1.91 から v2.1.196 です。2.1.91 は 2026 年 4 月 2 日、2.1.196 は 6 月 29 日にリリースされました。Anthropic は 7 月 1〜2 日に 2.1.197 を公開し、関連コードを削除しました。
すべての Claude Code ユーザーが監視されていますか?
いいえ。逆アセンブル報告によると、ステガノグラフィ機構は ANTHROPIC_BASE_URL が api.anthropic.com 以外を指す場合にのみ発動します。公式 API に直接接続するユーザーは影響を受けません。
これはデータ漏洩に該当しますか?
現時点でソースコードや会話内容が直接アップロードされたという公開証拠はありません。確認されているのは、システムプロンプトに地域・身元分類マーカーが埋め込まれること——隠蔽チャネルに該当しますが、NVDB は依然として深刻なバックドア隐患と定性しています。
阿里巴巴はなぜ Claude Code を禁止したのですか?
阿里は 7 月初旬に社内公告を出し、バックドアリスクを総合評価して高リスクソフトウェアリストに登録。7 月 10 日からオフィス環境での利用を禁止し、自社開発の Qoder を推奨しました。
Anthropic 公式はどう応答しましたか?
Claude Code チームの Thariq Shihipar が、3 月導入の実験的措置であり転売と蒸留防止が目的だったと認め、7 月 2 日の新版で削除したと述べました。ただし changelog には明記されていません。
ステガノグラフィの技術原理は?
Today's date is... 行で日付区切りと Unicode アポストロフィ(U+0027/U+2019/U+02BC/U+02B9)を切り替え、147 条の base64+XOR(91) ブラックリストルールでユーザー分類をエンコードします。
Claude Desktop のブラウザ注入と関係がありますか?
別事件です。4 月に Hanff が暴露した Claude Desktop の Native Messaging 注入が事件 A、6 月に thereallo.dev が暴露した Claude Code システムプロンプト・ステガノグラフィが事件 B です。NVDB 警告は主に事件 B を対象としています。
企業はどのようにコンプライアンス対応すべきですか?
NVDB 勧告に従い、バージョン点検、アップグレードまたはアンインストール、外部接続管理とトラフィック監視の強化を実施してください。本記事第 15〜17 節の七段階リストと企業 IT チェックリストをご参照ください。
2.1.197 へアップグレードすれば安全ですか?
Anthropic は削除済みと述べていますが、changelog で明確に確認されていません。7 月 8 日時点の 2.1.204+ へアップグレードし、隔離環境で検証することをお勧めします。
米中蒸留論争とこの事件は関係がありますか?
あります。Anthropic は阿里 Qwen が約 25,000 偽アカウント、2,880 万回の対話で蒸留攻撃を行ったと非難しました。コミュニティはステガノグラフィを反蒸留防御と見なしますが、実装方法が規制定性を引き起こしました。
19 · 免責事項
本記事は NVDB 公告、公開メディア報道、コミュニティ逆アセンブル報告に基づき、開発者と企業 IT 責任者がリスクを理解しコンプライアンス処置を行うことを支援する目的で整理しています。本記事は法的助言やセキュリティ認証の推奨を構成するものではありません。Anthropic の製品ポリシー、企業内部禁止令、規制当局の解釈は随時更新される可能性があり、最新の公式公告を優先してください。MacDate は Anthropic、阿里巴巴と商業的関係を持ちません。文中の代替方案とレンタルサービスは技術的意思決定の参考のみを目的としています。
20 · 隔離 Mac レンタル:コンプライアンス検証の最も制御可能なパス
NVDB 整改期限内に監査可能な証拠チェーン——「安全バージョンへアップグレード済み、システムプロンプトにステガノグラフィ残留なし、ANTHROPIC_BASE_URL を公式エンドポイントに復元済み」——を提出するには、クリーンでスナップショット可能、破棄可能な macOS 環境で一巡の A/B テストを実行する必要があります。主力 MacBook の現実的な痛点は明確です。Homebrew 複数バージョン Node、会社 VPN トンネル、日常の Keychain とブラウザ設定が混在すると、一度の対照実験で旧版残留と環境変数汚染の区別がつかなくなる恐れがあります。さらに悪いことに、主力機で Claude Code を繰り返しインストール/アンインストールすると、事件 A の Native Messaging リスト再生成を誘発する可能性もあります。
任意の Linux クラウドホストでも npm install -g @anthropic-ai/claude-code は実行できますが、それは一時的な検証パスに過ぎません。macOS ネイティブ Keychain の挙動、~/Library/Application Support/ 配下のブラウザ注入面、iOS/macOS 開発者の実際の CLI エコシステムは再現できません。再現可能・監査可能・本番環境と一致する検収結論を求めるなら、日次レンタルの Apple Silicon Mac mini で「バージョンアップグレード → プロンプト diff → アンインストール → 環境破棄」の閉ループを完了する方が、主力機を汚染せず時間と帯域を節約できます。課金と SSH 接続は M シリーズ Mac 算力レンタル料金をご参照ください。Agent オーケストレーションのセキュリティも併せて評価する場合は、JADEPUFFER Langflow ランサムウェア事件の隔離デプロイ思路と合わせて検収することをお勧めします。
21 · 参考資料
- NVDB / 工信部 — Claude Code セキュリティバックドアリスク警告(2026-07-08)
- IT之家 — 工信部発リスク警告:Claude Code にセキュリティバックドア、ユーザー機密情報漏洩の可能性
- 新京報 — 工信部、Claude Code のバックドア隐患を検出
- 人民網 — NVDB リスク警告関連報道
- 36 氪 / 智東西 — 工信部初の公式定性:Claude Code 危害严重;突発、阿里が Claude を全面禁止
- CNBC — Anthropic distillation allegations against Alibaba
- China Daily — China's industry regulator flags 'backdoor' risk in Claude Code
- Ars Technica — Claude Code prompt steganography and covert tracking coverage
- TechCrunch — Alibaba Claude ban and distillation dispute reporting
- The Register — Claude Desktop changes software permissions without consent(事件 A)
- thereallo.dev — Claude Code prompt steganography 原始逆アセンブル報告
- Adnane Khan — GitHub 独立検証報告(2.1.193/195/196 で確認)
- TechTimes / Tech Startups — Anthropic 2.1.197 修正と Shihipar 応答
- 第一財経 / 華爾街見聞 — 阿里 Claude Code 禁止と Qoder 代替
- 安天実験室(Antiy Labs) — Claude Desktop 高権限ブラウザチャネルリスク分析
- Hacker News — Claude Code steganography 討論スレッド(350+ points)
最終更新:2026 年 7 月 9 日。NVDB が後続通告を発表するか、Anthropic が正式セキュリティ公告を出す場合、本記事を改訂します。