監管警示 AI 安全 2026-07-09

工信部警示 Claude Code 存在後門風險(2.1.91–2.1.196):技術解析與開發者處置指南

誰遇到什麼問題?使用 Claude Code 的 Mac/iOS 開發者與企業 IT 負責人,在 2026 年 7 月 8 日收到工信部 NVDB「危害嚴重」定性。本文給什麼?完整時間線、隱寫術三步拆解、NVDB/Anthropic/阿里三方引述對照、版本自查終端指令與七步合規處置清單。結構包含:版本對照表、媒體措辭矩陣、風險評估矩陣、FAQ 十問與隔離 Mac 驗證路徑。

工信部 NVDB 警示 Claude Code 2.1.91 至 2.1.196 安全後門隱患 Anthropic 隱寫術 2026

⚠️ 本文依 NVDB 2026 年 7 月 8 日公告、IT之家/人民網/36 氪等公開報導,以及 thereallo.dev 逆向報告交叉整理。Anthropic 動機為社群與媒體推斷,非監管機構證實。資料截至 2026 年 7 月 9 日。

01 · NVDB 警示核心速覽

2026 年 7 月 8 日,工業和信息化部網路安全威脅和漏洞資訊共享平台(NVDB)發布風險提示,指出美國 Anthropic 公司開發的 AI 程式設計工具 Claude Code 存在安全後門隱患,危害嚴重。受影響版本為 v2.1.91 至 v2.1.196;該工具內建監控機制,可在未經用戶同意的情況下,向遠端伺服器回傳使用者地域、身份標識等敏感資訊。

維度 要點
監管定性NVDB 首次對 Claude Code 給出「危害嚴重」官方定性(2026-07-08)
受影響版本2.1.91(2026-04-02 發布)至 2.1.196(2026-06-29 發布),共 106 個次版本
修復版本Anthropic 於 7 月 1–2 日發布 2.1.197 移除;截至 7 月 8 日最新版為 2.1.204
技術機制系統提示詞隱寫術:日期分隔符 + Unicode 單引號編碼 + 147 條 XOR+base64 黑名單規則
觸發條件僅當 ANTHROPIC_BASE_URL 指向非官方端點(代理/閘道/轉售)時啟動
企業連鎖反應阿里巴巴 7 月 10 日起全面禁用 Claude Code,推薦自研 Qoder 替代
硬核數據HN 討論帖 350+ points;蒸餾爭議涉及約 25,000 虛假帳號、2,880 萬次對話(Anthropic 指控)

02 · 三大痛點:開發者與企業為何必須立刻行動

  1. 監管定性已落地,合規成本陡增。NVDB「危害嚴重」不是媒體標題黨——這意味著國內企業在資安稽核、等保測評與供應鏈審查中,必須能證明開發終端未安裝 2.1.91–2.1.196,且已加強外聯流量監測。阿里 7 月 10 日禁令只是先行樣本,更多科技企業可能跟進。
  2. 隱蔽通道比明文外洩更難偵測。據逆向報告,監控訊號藏在系統提示詞的標點符號裡——日期分隔符從 -/Today's 的撇號切換四種 Unicode 變體。防火牆與 DLP 通常只掃 payload 關鍵字,無法攔截這類隱寫標記;只有逆向二進位檔或 A/B 對比系統提示詞才能發現。
  3. 主力機混裝多版本 CLI 的除錯地獄。要在隔離環境比對官方端點與代理端點下的系統提示詞差異、稽核 ANTHROPIC_BASE_URL 與 shell 設定檔殘留,若在主力 Mac 上同時跑公司 VPN、Homebrew 多版本 Node 與日常 Keychain,一次實驗可能污染數週排障基線——與 Claude Code 隱寫術事件技術逆向 所述痛點一致,但本篇聚焦監管處置與企業合規

03 · 完整時間線(2026 年 2 月–7 月)

時間事件
2026 年 2 月Anthropic 與中國 AI 廠商關於模型存取、出口管制(Fable 5)的摩擦持續升溫;部分企業開始透過代理閘道存取 Claude API
2026 年 3 月據 Thariq Shihipar 事後說法,Claude Code 團隊上線「實驗性」監控機制,目的為防未授權轉售與蒸餾攻擊
2026 年 4 月初Anthropic 公開指控阿里巴巴 Qwen 團隊發動工業級模型蒸餾攻擊;約 25,000 虛假帳號、2,880 萬次對話(4–6 月期間)
2026 年 4 月 2 日Claude Code v2.1.91 發布,內建隱寫監控邏輯;changelog 從未提及
2026 年 4 月 18 日前後隱私顧問 Alexander Hanff 揭露 Claude Desktop 靜默寫入瀏覽器 Native Messaging 清單(事件 A,見 The Register
2026 年 4 月獨立顧問 Noah Kenney 確認事件 A 可復現;安天實驗室發布 Claude Desktop 高權限通道風險報告
2026 年 4–6 月Claude Code 持續迭代 2.1.92–2.1.196,隱寫邏輯始終存在且未在 release notes 揭露
2026 年 6 月 30 日開發者於 thereallo.dev 發布 Claude Code 逆向報告,Reddit → Hacker News 發酵(350+ points
2026 年 7 月 1 日Anthropic 發布 v2.1.197,據媒體報導移除隱寫程式碼;changelog 未明確說明
2026 年 7 月 2 日Thariq Shihipar 在社群媒體承認「實驗性」措施並表示已刪除;安全研究員 Adnane Khan 獨立驗證機制屬實
2026 年 7 月 3 日阿里巴巴內部公告:自 7 月 10 日起全面禁用 Claude Code 及 Anthropic 全系產品,推薦 Qoder華爾街見聞36 氪第一財經 跟進
2026 年 7 月 8 日NVDB 發布風險提示,定性「危害嚴重」;IT之家人民網China DailyCNBC 等媒體報導
2026 年 7 月 10 日阿里禁用令正式生效;員工須解除安裝 Claude Code、Sonnet、Opus、Fable 等 Anthropic 產品

04 · NVDB 公告要點與處置建議

NVDB 公告核心表述(據 IT之家人民網 引述):Claude Code 能根據文字需求自主完成程式碼編寫、修復等任務,但內建監控機制可在未經用戶同意的情況下向遠端伺服器回傳使用者地域、身份標識等敏感資訊

NVDB 給出兩層處置建議:

  1. 終端排查:立即全面排查開發終端,確認是否安裝 2.1.91–2.1.196;若已安裝,立即解除安裝或升級至已清除後門程式碼的最新安全版本。
  2. 網路管控:加強核心業務網段內開發工具的外聯權限管控與流量監測,防止敏感資料違規外傳。

這是工信部透過 NVDB 對海外 AI 開發工具給出的首次明確監管警示,標誌著 Claude Code 從「社群爭議」進入「企業合規必修課」階段。

05 · 觸發條件:只有非官方 ANTHROPIC_BASE_URL 才會啟動

這是整件事最關鍵、也最容易被媒體標題誤導的技術細節。據 thereallo.dev 逆向報告與 Adnane Khan 獨立驗證:

隱寫監控邏輯僅在 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 的端點時觸發。典型場景包括:

  • 企業 API 閘道或反向代理(將請求轉發至 Anthropic)
  • 第三方 API 轉售服務(OpenAI 相容層、國內中轉節點)
  • 開發者在 .zshrc.bashrc 或 CI 環境變數中自訂 Base URL

若你直連官方 https://api.anthropic.com,系統提示詞中的 Today's date is...不會被改動。這也是事實核查中必須強調的邊界——並非「所有 Claude Code 用戶都被監控」。

06 · 隱寫術三步技術拆解

當觸發條件滿足後,Claude Code 在每次 API 請求的系統提示詞中嵌入三層隱蔽訊號。詳細 Unicode 對照可參閱 Claude Code 隱寫術事件全解析;此處按 NVDB 警示語境重述核心機制:

步驟一:日期分隔符切換(地域訊號)

若系統時區為 Asia/ShanghaiAsia/Urumqi,日期格式從 2026-07-08 改為 2026/07/08。人眼與 LLM 本身難以察覺差異,但 Anthropic 伺服器可判讀。

步驟二:Unicode 單引號編碼(身份分類)

Today's 中的撇號在四種 Unicode 字元間切換,編碼不同命中狀態:

命中條件 單引號字元 Unicode
預設(無命中)' ASCII 撇號U+0027
命中中國機構/經銷商網域' 右單引號U+2019
命中 AI 實驗室關鍵字ʼ 修飾符撇號U+02BC
網域與實驗室同時命中ʹ 修飾符角分號U+02B9

步驟三:147 條 XOR+base64 黑名單規則

網域與關鍵字清單以 base64 + XOR(91) 輕度混淆,共約 147 條規則,涵蓋 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等中國 AI 實驗室相關字串。程式比對使用者環境中的代理主機名、網域解析結果等資訊,決定採用哪種 Unicode 編碼組合。

白話總結:這不是傳統意義上「把你的原始碼上傳到陌生伺服器」,而是在每個 API 請求的系統提示詞裡夾帶肉眼不可見的分類標記,讓 Anthropic 後端能辨識「這個請求是否經過中國相關代理/是否疑似蒸餾場景」。

07 · 三方表態對照:NVDB · Anthropic · 阿里巴巴

主體 時間 核心表述 處置動作
NVDB(工信部) 2026-07-08 「存在安全後門隱患,危害嚴重」;可在未經同意下回傳地域與身份標識 建議立即排查、解除安裝或升級;加強外聯管控與流量監測
Anthropic
Thariq Shihipar
2026-07-02 承認機制為 2026 年 3 月上線的「實驗性」措施;目的為防未授權帳戶轉售與模型蒸餾攻擊 7 月 2 日新版本已刪除;changelog 未明確提及移除事宜
阿里巴巴 公告 07-03
生效 07-10
綜合評估後門風險,列入高風險軟體名單;禁止辦公環境使用 Claude Code 及 Anthropic 全系產品 全員限期解除安裝;推薦自研 Qoder 作為 Agent 程式設計替代方案

08 · 中美模型蒸餾戰背景:為何 Anthropic 要「打標籤」

要理解 Claude Code 隱寫機制的動機,必須把它放回 2026 年初中美 AI 博弈的大背景。以下為公開報導中的關鍵事實鏈:

  • Anthropic 公開指控:阿里巴巴 Qwen 團隊以約 25,000 個虛假帳號,在 2026 年 4–6 月間產生約 2,880 萬次 Claude 對話,進行史上規模最大的模型蒸餾攻擊(CNBC南华早报)。
  • 阿里反制:阿里巴巴起訴美國國防部,要求將其從「中國軍事企業名單」移除;同時內部鼓勵員工使用 Claude、GPT 等外部模型並大額報銷——部分程式設計師每週消耗數百美元額度。
  • 出口管制摩擦:Anthropic Fable 5 等模型面臨美國出口管制,中國開發者 increasingly 透過代理閘道存取 Claude API——這正是 ANTHROPIC_BASE_URL 非官方端點高發的結構性原因。詳見 Claude Fable 5 出口管制與替代方案
  • 社群主流判斷(非官方聲明):Claude Code 隱寫術是 Anthropic 針對蒸餾與轉售的反制手段——目的可理解,但未揭露、刻意混淆、藏進標點符號的實作方式踩了開發者工具的信任紅線,最終觸發 NVDB 監管定性。

09 · 事實核查與風險邊界:什麼是、什麼不是

在監管警示與社群恐慌之間,技術讀者需要精準區分以下幾點:

常見說法 核查結果
「所有 Claude Code 用戶都被監控」不準確。ANTHROPIC_BASE_URL ≠ api.anthropic.com 時觸發;直連官方端點不受影響
「你的原始碼被上傳到陌生伺服器」無公開證據。已確認的是系統提示詞中嵌入分類標記,隨正常 API 請求回傳至 Anthropic 伺服器
「這是傳統惡意後門」部分準確。NVDB 使用「後門」定性;技術社群更傾向「covert channel/隱蔽通道」。無遠端程式碼執行或持久化 C2 特徵
「網頁版 Claude 也受影響」不適用。隱寫邏輯存在於 Claude Code CLI 二進位檔,非網頁版 Claude
「2.1.197 已完全修復」Anthropic 表示已移除,但 changelog 未明確確認。建議升級至 2.1.204+ 並在隔離環境驗證
「阿里禁的是 API,不是客戶端」禁令涵蓋 Claude Code 客戶端及 Anthropic 全系模型產品;API 存取是否受影響需視企業內部網路策略而定

10 · 版本對照表:哪些要處理、哪些安全

版本 發布日期 隱寫邏輯 建議動作
< 2.1.912026-04-02 前仍建議升級至最新版
2.1.91 – 2.1.19604-02 至 06-29有(NVDB 警示範圍)立即升級或解除安裝
2.1.1972026-07-01據報已移除(changelog 未確認)升級並驗證
2.1.198 – 2.1.2032026-07-02 至 07-07據報無建議使用
2.1.204+2026-07-08 起據報無推薦版本

11 · 媒體措辭對照表

媒體/來源 核心措辭 側重點
NVDB / 人民網「安全後門隱患」「危害嚴重」監管合規、企業排查
IT之家「監控機制」「未經同意回傳敏感資訊」技術機制 + 阿里禁令時間線
36 氪 / 智東西「工信部首次定調」產業影響、國產替代(Qoder)
CNBC / China Daily「backdoor risk」「unauthorized data transmission」國際視角、地緣博弈
The Register「changes software permissions without consent」(事件 A)Claude Desktop 高權限通道
Hacker News「prompt steganography」「malware-adjacent」開發者社群倫理爭議
thereallo.dev「covert information channel」二進位逆向、函式級程式碼還原

12 · 風險評估矩陣

使用者情境 觸發隱寫? 監管風險 建議優先級
官方 API + 最新版 2.1.204+例行更新即可
官方 API + 2.1.91–2.1.196中(版本合規)升級至 2.1.204+
代理 Base URL + 2.1.91–2.1.196立即升級或解除安裝
代理 Base URL + 2.1.197+據報否隔離環境驗證後使用
國內企業辦公網路(任何版本)視 Base URL高(合規)遵循 NVDB + 企業內規;考慮 Qoder/Cursor 等替代
阿里員工(7/10 後)禁止全面解除安裝,遷移至 Qoder

13 · 終端指令:版本自查、升級與徹底解除安裝

以下指令適用於 macOS 終端機(黑色背景區塊)。請在執行解除安裝前備份 ~/.claude 中必要的設定(不含 API Key 明文)。

13.1 查詢目前版本

# 方法一:直接查詢 CLI 版本 claude --version # 方法二:透過 npm 全域套件查詢 npm list -g @anthropic-ai/claude-code # 方法三:檢查是否落在 NVDB 警示區間(2.1.91–2.1.196) VERSION=$(claude --version 2>/dev/null | grep -oE '[0-9]+\.[0-9]+\.[0-9]+') echo "目前版本: $VERSION"

13.2 稽核 ANTHROPIC_BASE_URL

# 檢查目前 shell 環境變數 echo "ANTHROPIC_BASE_URL=${ANTHROPIC_BASE_URL:-未設定(使用官方端點)}" # 搜尋 shell 設定檔中的殘留設定 grep -r "ANTHROPIC_BASE_URL" ~/.zshrc ~/.bashrc ~/.bash_profile ~/.profile 2>/dev/null # 檢查 CI/專案級 .env 檔案 find ~ -name ".env" -maxdepth 4 -exec grep -l "ANTHROPIC_BASE_URL" {} \; 2>/dev/null

13.3 升級至最新安全版本

# 升級至 npm 最新版(建議 2.1.204+) npm install -g @anthropic-ai/claude-code@latest # 確認升級結果 claude --version # 若使用 Homebrew 安裝(部分環境) brew upgrade claude-code 2>/dev/null || echo "非 Homebrew 安裝,略過"

13.4 徹底解除安裝

# 解除安裝全域 npm 套件 npm uninstall -g @anthropic-ai/claude-code # 移除使用者設定目錄(含歷史會話與偏好) rm -rf ~/.claude # 清除 shell 設定檔中的環境變數(手動編輯後執行) # 刪除 ANTHROPIC_BASE_URL、ANTHROPIC_API_KEY 等相關行 source ~/.zshrc # 或 source ~/.bashrc # 驗證已完全移除 which claude && echo "仍存在殘留" || echo "已解除安裝"

14 · 七步合規處置清單

  1. 盤點終端與版本:對所有開發者 Mac、CI Runner、遠端建置節點執行 claude --version,匯出版本清單,標記 2.1.91–2.1.196 節點。
  2. 稽核 ANTHROPIC_BASE_URL:檢查 shell 設定檔、CI 密鑰庫、Docker Compose 與 Kubernetes ConfigMap 中的 Base URL 設定,確認是否經過非官方代理。
  3. 立即升級或解除安裝:對受影響版本執行 npm install -g @anthropic-ai/claude-code@latest 或完整解除安裝流程(見上節)。
  4. 加強外聯管控:在核心業務網段部署開發工具出站白名單,限制未授權 API 端點;啟用 TLS 流量監測與異常告警。
  5. 評估替代方案:企業用戶可評估 Qoder(阿里系)、CursorGitHub Copilot 等替代;選型對照見 AI 程式設計助手橫向比較
  6. 隔離環境驗證修復:在乾淨 macOS 節點重裝 Claude Code,分別用官方端點與代理端點 A/B 測試,擷取系統提示詞 diff 確認無隱寫殘留。
  7. 更新資安政策與員工通報:將 NVDB 警示納入內部軟體白名單審查流程,對已安裝受影響版本的員工發出限期整改通知,留存稽核紀錄。

15 · FAQ(十問)

工信部 NVDB 警示的受影響版本有哪些?

Claude Code v2.1.91 至 v2.1.196。2.1.91 發布於 2026 年 4 月 2 日,2.1.196 於 6 月 29 日。Anthropic 於 7 月 1–2 日發布 2.1.197 移除相關程式碼。

所有 Claude Code 用戶都會被監控嗎?

不是。據逆向報告,隱寫機制僅在 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 時觸發。直連官方 API 的用戶不受影響。

這算是資料外洩嗎?

目前無公開證據顯示原始碼或對話內容被直接上傳。已確認的是系統提示詞中嵌入地域與身份分類標記——屬隱蔽通道,NVDB 仍定性為嚴重後門隱患。

阿里巴巴為何禁用 Claude Code?

阿里於 7 月初內部公告,綜合評估後門風險後列入高風險軟體名單,自 7 月 10 日起禁止辦公環境使用,並推薦自研 Qoder

Anthropic 官方如何回應?

Claude Code 團隊成員 Thariq Shihipar 承認為 3 月上線的實驗性措施,目的為防轉售與蒸餾,已在 7 月 2 日新版本刪除,但 changelog 未明確提及。

隱寫術的技術原理是什麼?

Today's date is... 行切換日期分隔符與 Unicode 單引號(U+0027/U+2019/U+02BC/U+02B9),搭配 147 條 base64+XOR(91) 黑名單規則編碼使用者分類。

與 Claude Desktop 瀏覽器注入有關嗎?

兩起獨立事件。4 月 Hanff 揭露的 Claude Desktop Native Messaging 注入為事件 A;6 月 thereallo.dev 揭露的 Claude Code 隱寫術為事件 B。NVDB 警示主要針對事件 B。

企業應如何合規處置?

遵循 NVDB 建議:排查版本、升級或解除安裝、加強外聯管控與流量監測。參考本文字節 14 的七步清單。

升級到 2.1.197 就安全了嗎?

Anthropic 表示已移除,但 changelog 未明確確認。建議升級至截至 7 月 8 日的 2.1.204+,並在隔離環境驗證。

中美蒸餾爭議與此事有關嗎?

有。Anthropic 指控阿里 Qwen 以約 25,000 虛假帳號、2,880 萬次對話進行蒸餾攻擊。社群判斷隱寫機制是反蒸餾防禦,但實作方式引發監管定性。

16 · 免責聲明

本文依據 NVDB 公告、公開媒體報導與社群逆向報告整理,旨在協助開發者與企業 IT 負責人理解風險並採取合規處置。本文不構成法律意見或資安認證建議。Anthropic 產品政策、企業內部禁令與監管解釋可能隨時更新,請以官方最新公告為準。MacDate 與 Anthropic、阿里巴巴均無商業關聯;文中提及的替代方案與租賃服務僅供技術決策參考。

17 · 租用隔離 Mac:合規驗證的最可控路徑

要在 NVDB 整改期限內交出可稽核的證據鏈——「我們已升級至安全版本、系統提示詞無隱寫殘留、ANTHROPIC_BASE_URL 已恢復官方端點」——你需要在乾淨、可快照、可銷毀的 macOS 環境裡跑一輪完整 A/B 測試。主力 MacBook 上的痛點很實際:混裝 Homebrew 多版本 Node、公司 VPN 隧道、日常 Keychain 與瀏覽器設定,一次對照實驗可能讓你無法分辨是舊版殘留還是環境變數污染;更糟的是,在主力機上反覆安裝/解除安裝 Claude Code,還可能觸發事件 A 的 Native Messaging 清單重建。

在任意 Linux 雲主機上也能跑 npm install -g @anthropic-ai/claude-code,但那是臨時驗證路徑——沒有 macOS 原生 Keychain 行為、沒有 ~/Library/Application Support/ 下的瀏覽器注入面,也無法模擬 iOS/macOS 開發者真實的 CLI 生態。若你追求可復現、可審計、與生產環境一致的驗收結論,在按天租用的 Apple Silicon Mac mini 上完成「版本升級 → 提示詞 diff → 解除安裝 → 環境銷毀」閉環,通常比污染主力機更省時間與頻寬。計費與 SSH 接入見 M 系列 Mac 算力租用定價;若你同時評估 Agent 編排安全,請對照 JADEPUFFER Langflow 勒索事件 的隔離部署思路一併驗收。

18 · 參考來源

  • NVDB / 工信部 — Claude Code 安全後門風險提示(2026-07-08)
  • IT之家工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
  • 人民網工信部监测发现 Claude Code 存安全后门隐患
  • 36 氪 / 智東西工信部首次定调:Claude Code 危害严重突发,阿里全面禁用 Claude
  • CNBC — Anthropic distillation allegations against Alibaba
  • China DailyChina's industry regulator flags 'backdoor' risk in Claude Code
  • The RegisterClaude Desktop changes software permissions without consent(事件 A)
  • thereallo.dev — Claude Code prompt steganography 原始逆向報告
  • Adnane Khan — GitHub 獨立驗證報告(2.1.193/195/196 確認)
  • TechTimes / Tech Startups — Anthropic 2.1.197 修復與 Shihipar 回應
  • 第一財經 / 華爾街見聞 — 阿里禁用 Claude Code 與 Qoder 替代
  • 安天實驗室(Antiy Labs) — Claude Desktop 高權限瀏覽器通道風險分析
  • Hacker News — Claude Code steganography 討論帖(350+ points)

最後更新:2026 年 7 月 9 日。若 NVDB 發布後續通告或 Anthropic 釋出正式安全公告,我們將修訂本文。