工信部警示 Claude Code 存在后门风险(2.1.91–2.1.196):技术解析与开发者处置指南
谁遇到什么问题?使用 Claude Code 的 Mac/iOS 开发者与企业 IT 负责人,在 2026 年 7 月 8 日收到工信部 NVDB「危害严重」定性。本文给什么?完整时间线、隐写术三步拆解、NVDB/Anthropic/阿里三方引述对照、版本自查终端指令与七步合规处置清单。结构包含:版本对照表、媒体措辞矩阵、风险评估矩阵、个人与企业 checklist、FAQ 十问与隔离 Mac 验证路径。
📋 本文目录
⚠️ 本文依 NVDB 2026 年 7 月 8 日公告、IT之家/新京报/人民网/36 氪等公开报道,以及 thereallo.dev 逆向报告交叉整理。Anthropic 动机为社群与媒体推断,非监管机构证实。数据截至 2026 年 7 月 9 日。技术逆向细节请参阅 Claude Code 隐写术事件全解析;本篇侧重监管叙事与企业合规处置。
01 · NVDB 警示核心速览
2026 年 7 月 8 日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示,指出美国 Anthropic 公司开发的 AI 编程工具 Claude Code 存在安全后门隐患,危害严重。受影响版本为 v2.1.91 至 v2.1.196;该工具内置监控机制,可在未经用户同意的情况下,向远端服务器回传用户地域、身份标识等敏感信息。
| 维度 | 要点 |
|---|---|
| 监管定性 | NVDB 首次对 Claude Code 给出「危害严重」官方定性(2026-07-08) |
| 受影响版本 | 2.1.91(2026-04-02 发布)至 2.1.196(2026-06-29 发布),共 106 个次版本 |
| 修复版本 | Anthropic 于 7 月 1–2 日发布 2.1.197 移除;截至 7 月 8 日最新版为 2.1.204 |
| 技术机制 | 系统提示词隐写术:日期分隔符 + Unicode 单引号编码 + 147 条 XOR+base64 黑名单规则 |
| 未披露时长 | 自 2026 年 3 月上线至 6 月 30 日曝光,约 3 个月未在 changelog 或隐私政策中说明 |
| 触发条件 | 仅当 ANTHROPIC_BASE_URL 指向非官方端点(代理/网关/转售)时启动 |
| 企业连锁反应 | 阿里巴巴 7 月 10 日起全面禁用 Claude Code,推荐自研 Qoder 替代 |
| 硬核数据 | HN 讨论帖 350+ points;蒸馏争议涉及约 25,000 虚假账号、2,880 万次对话(Anthropic 指控) |
02 · 三大痛点:开发者与企业为何必须立刻行动
- 监管定性已落地,合规成本陡增。NVDB「危害严重」不是媒体标题党——这意味着国内企业在做等保测评、供应链审查与软件白名单稽核时,必须能证明开发终端未安装 2.1.91–2.1.196,且已加强外联流量监测。阿里 7 月 10 日禁令只是先行样本,更多科技企业可能跟进。
- 隐蔽通道比明文外泄更难侦测。据逆向报告,监控信号藏在系统提示词的标点符号里——日期分隔符从
-变/、Today's的撇号切换四种 Unicode 变体。防火墙与 DLP 通常只扫 payload 关键字,无法拦截这类隐写标记;只有逆向二进制或 A/B 对比系统提示词才能发现。 - 主力机混装多版本 CLI 的排障地狱。要在隔离环境比对官方端点与代理端点下的系统提示词差异、审计
ANTHROPIC_BASE_URL与 shell 配置残留,若在主力 Mac 上同时跑公司 VPN、Homebrew 多版本 Node 与日常 Keychain,一次实验可能污染数周排障基线——与 Claude Code 隐写术事件技术逆向 所述痛点一致,但本篇聚焦监管处置与企业合规。
03 · 完整时间线(2026 年 2 月–7 月)
| 时间 | 事件 |
|---|---|
| 2026 年 2 月 | Anthropic 与中国 AI 厂商关于模型访问、出口管制(Fable 5)的摩擦持续升温;部分企业开始通过代理网关访问 Claude API |
| 2026 年 3 月 | 据 Thariq Shihipar 事后说法,Claude Code 团队上线「实验性」监控机制,目的为防未授权转售与蒸馏攻击 |
| 2026 年 4 月初 | Anthropic 公开指控阿里巴巴 Qwen 团队发动工业级模型蒸馏攻击;约 25,000 虚假账号、2,880 万次对话(4–6 月期间) |
| 2026 年 4 月 2 日 | Claude Code v2.1.91 发布,内置隐写监控逻辑;changelog 从未提及 |
| 2026 年 4 月 18 日前后 | 隐私顾问 Alexander Hanff 揭露 Claude Desktop 静默写入浏览器 Native Messaging 清单(事件 A,见 The Register) |
| 2026 年 4 月 | 独立顾问 Noah Kenney 确认事件 A 可复现;安天实验室发布 Claude Desktop 高权限通道风险报告 |
| 2026 年 4–6 月 | Claude Code 持续迭代 2.1.92–2.1.196,隐写逻辑始终存在且未在 release notes 披露 |
| 2026 年 6 月 30 日 | 开发者于 thereallo.dev 发布 Claude Code 逆向报告,Reddit → Hacker News 发酵(350+ points) |
| 2026 年 7 月 1 日 | Anthropic 发布 v2.1.197,据媒体报道移除隐写代码;changelog 未明确说明 |
| 2026 年 7 月 2 日 | Thariq Shihipar 在社交媒体承认「实验性」措施并表示已删除;安全研究员 Adnane Khan 独立验证机制属实 |
| 2026 年 7 月 3–4 日 | 阿里巴巴内部公告:自 7 月 10 日起全面禁用 Claude Code 及 Anthropic 全系产品,推荐 Qoder;华尔街见闻、36 氪、第一财经 跟进 |
| 2026 年 7 月 8 日 | NVDB 发布风险提示,定性「危害严重」;IT之家、新京报、人民网、China Daily、CNBC 等媒体报道 |
| 2026 年 7 月 10 日 | 阿里禁用令正式生效;员工须卸载 Claude Code、Sonnet、Opus、Fable 等 Anthropic 产品 |
04 · NVDB 公告要点与处置建议
NVDB 公告核心表述(据 IT之家、新京报、人民网 引述):Claude Code 能根据文字需求自主完成代码编写、修复等任务,但内置监控机制可在未经用户同意的情况下向远端服务器回传用户地域、身份标识等敏感信息。
NVDB 给出两层处置建议:
- 终端排查:立即全面排查开发终端,确认是否安装 2.1.91–2.1.196;若已安装,立即卸载或升级至已清除后门代码的最新安全版本。
- 网络管控:加强核心业务网段内开发工具的外联权限管控与流量监测,防止敏感数据违规外传。
这是工信部通过 NVDB 对海外 AI 开发工具给出的首次明确监管警示,标志着 Claude Code 从「社群争议」进入「企业合规必修课」阶段。
05 · 触发条件:只有非官方 ANTHROPIC_BASE_URL 才会启动
这是整件事最关键、也最容易被媒体标题误导的技术细节。据 thereallo.dev 逆向报告与 Adnane Khan 独立验证:
隐写监控逻辑仅在 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 的端点时触发。典型场景包括:
- 企业 API 网关或反向代理(将请求转发至 Anthropic)
- 第三方 API 转售服务(OpenAI 兼容层、国内中转节点)
- 开发者在
.zshrc、.bashrc或 CI 环境变量中自定义 Base URL
若你直连官方 https://api.anthropic.com,系统提示词中的 Today's date is... 行不会被改动。这也是事实核查中必须强调的边界——并非「所有 Claude Code 用户都被监控」。
06 · 隐写术三步技术拆解
当触发条件满足后,Claude Code 在每次 API 请求的系统提示词中嵌入三层隐蔽信号。详细 Unicode 对照可参阅 Claude Code 隐写术事件全解析;此处按 NVDB 警示语境重述核心机制(不展开二进制逆向细节):
步骤一:日期分隔符切换(地域信号)
若系统时区为 Asia/Shanghai 或 Asia/Urumqi,日期格式从 2026-07-08 改为 2026/07/08。人眼与 LLM 本身难以察觉差异,但 Anthropic 服务器可判读。
步骤二:Unicode 单引号编码(身份分类)
Today's 中的撇号在四种 Unicode 字符间切换,编码不同命中状态:
| 命中条件 | 单引号字符 | Unicode |
|---|---|---|
| 默认(无命中) | ' ASCII 撇号 | U+0027 |
| 命中中国机构/经销商域名 | ' 右单引号 | U+2019 |
| 命中 AI 实验室关键字 | ʼ 修饰符撇号 | U+02BC |
| 域名与实验室同时命中 | ʹ 修饰符角分号 | U+02B9 |
步骤三:147 条 XOR+base64 黑名单规则
域名与关键字清单以 base64 + XOR(91) 轻度混淆,共约 147 条规则,涵盖 deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等中国 AI 实验室相关字符串。程序比对用户环境中的代理主机名、域名解析结果等信息,决定采用哪种 Unicode 编码组合。
白话总结:这不是传统意义上「把你的源代码上传到陌生服务器」,而是在每个 API 请求的系统提示词里夹带肉眼不可见的分类标记,让 Anthropic 后端能辨识「这个请求是否经过中国相关代理/是否疑似蒸馏场景」。
07 · 与正常遥测的边界:四点辨析
Anthropic 与部分媒体辩称这是「反滥用遥测」。从监管与企业合规视角,以下四点说明它为何越过正常遥测边界——也是 NVDB 定性「后门隐患」的技术依据:
- 披露与知情同意缺失。正常产品遥测通常在隐私政策、服务条款或设置面板中说明收集项,并往往提供关闭开关。Claude Code 隐写逻辑自 2026 年 3 月上线至 6 月 30 日曝光,约 3 个月未出现在 changelog、发布说明或用户可见文档中。
- 载体与协议异常。常规遥测走独立 analytics 字段、HTTP 头或标准 telemetry SDK;本案把分类信号藏在系统提示词的标点符号 Unicode 码点里,属于隐蔽信道(covert channel),防火墙与 DLP 难以按常规规则拦截。
- 选择性隐蔽触发。正常遥测通常对所有用户一致生效(或按订阅层级区分);本案仅对设置了非官方
ANTHROPIC_BASE_URL的用户改写提示词,直连官方端点用户无感知——形成「同一版本、不同用户、不同行为」的不对称监控。 - 代码混淆与对抗逆向。域名黑名单经 base64+XOR(91) 混淆、单引号用视觉相近字符编码,明显意在规避静态分析与用户审查;这与「透明、可审计的滥用检测」背道而驰,更接近 malware-adjacent 实现方式。
08 · 三方表态对照:NVDB · Anthropic · 阿里巴巴
| 主体 | 时间 | 核心表述 | 处置动作 |
|---|---|---|---|
| NVDB(工信部) | 2026-07-08 | 「存在安全后门隐患,危害严重」;可在未经同意下回传地域与身份标识 | 建议立即排查、卸载或升级;加强外联管控与流量监测 |
| Anthropic Thariq Shihipar |
2026-07-02 | 承认机制为 2026 年 3 月上线的「实验性」措施;目的为防未授权账户转售与模型蒸馏攻击 | 7 月 2 日新版本已删除;changelog 未明确提及移除事宜 |
| 阿里巴巴 | 公告 07-03 生效 07-10 |
综合评估后门风险,列入高风险软件名单;禁止办公环境使用 Claude Code 及 Anthropic 全系产品 | 全员限期卸载;推荐自研 Qoder 作为 Agent 编程替代方案 |
09 · 中美模型蒸馏战背景:为何 Anthropic 要「打标签」
要理解 Claude Code 隐写机制的动机,必须把它放回 2026 年初中美 AI 博弈的大背景。以下为公开报道中的关键事实链:
- Anthropic 公开指控:阿里巴巴 Qwen 团队以约 25,000 个虚假账号,在 2026 年 4–6 月间产生约 2,880 万次 Claude 对话,进行史上规模最大的模型蒸馏攻击(CNBC、南华早报、TechCrunch)。
- 阿里反制:阿里巴巴起诉美国国防部,要求将其从「中国军事企业名单」移除;同时内部鼓励员工使用 Claude、GPT 等外部模型并大额报销——部分程序员每周消耗数百美元额度。
- 出口管制摩擦:Anthropic Fable 5 等模型面临美国出口管制,中国开发者越来越多通过代理网关访问 Claude API——这正是
ANTHROPIC_BASE_URL非官方端点高发的结构性原因。详见 Claude Fable 5 出口管制与替代方案。 - 社群主流判断(非官方声明):Claude Code 隐写术是 Anthropic 针对蒸馏与转售的反制手段——目的可理解,但未披露、刻意混淆、藏进标点符号的实现方式踩了开发者工具的信任红线,最终触发 NVDB 监管定性。
10 · 事实核查与风险边界:什么是、什么不是
在监管警示与社群恐慌之间,技术读者需要精准区分以下五点(对应调研文档第六节核查清单):
| 常见说法 | 核查结果 |
|---|---|
| 「所有 Claude Code 用户都被监控」 | 不准确。仅 ANTHROPIC_BASE_URL ≠ api.anthropic.com 时触发;直连官方端点不受影响 |
| 「你的源代码被上传到陌生服务器」 | 无公开证据。已确认的是系统提示词中嵌入分类标记,随正常 API 请求回传至 Anthropic 服务器 |
| 「这是传统恶意后门」 | 部分准确。NVDB 使用「后门」定性;技术社群更倾向「covert channel/隐蔽通道」。无远程代码执行或持久化 C2 特征 |
| 「网页版 Claude 也受影响」 | 不适用。隐写逻辑存在于 Claude Code CLI 二进制,非网页版 Claude |
| 「2.1.197 已完全修复」 | Anthropic 表示已移除,但 changelog 未明确确认。建议升级至 2.1.204+ 并在隔离环境验证 |
| 「阿里禁的是 API,不是客户端」 | 禁令涵盖 Claude Code 客户端及 Anthropic 全系模型产品;API 访问是否受影响需视企业内部网络策略而定 |
11 · 版本对照表:哪些要处理、哪些安全
| 版本 | 发布日期 | 隐写逻辑 | 建议动作 |
|---|---|---|---|
< 2.1.91 | 2026-04-02 前 | 无 | 仍建议升级至最新版 |
| 2.1.91 – 2.1.196 | 04-02 至 06-29 | 有(NVDB 警示范围) | 立即升级或卸载 |
| 2.1.197 | 2026-07-01 | 据报已移除(changelog 未确认) | 升级并验证 |
| 2.1.198 – 2.1.203 | 2026-07-02 至 07-07 | 据报无 | 建议使用 |
| 2.1.204+ | 2026-07-08 起 | 据报无 | 推荐版本 |
12 · 媒体措辞对照表
| 媒体/来源 | 核心措辞 | 侧重点 |
|---|---|---|
| NVDB / 人民网 | 「安全后门隐患」「危害严重」 | 监管合规、企业排查 |
| IT之家 / 新京报 | 「监控机制」「未经同意回传敏感信息」 | 技术机制 + 阿里禁令时间线 |
| 36 氪 / 智东西 | 「工信部首次定调」 | 产业影响、国产替代(Qoder) |
| CNBC / China Daily | 「backdoor risk」「unauthorized data transmission」 | 国际视角、地缘博弈 |
| Ars Technica | 「covert tracking」「prompt steganography」 | 技术深度、开发者信任边界 |
| The Register | 「changes software permissions without consent」(事件 A) | Claude Desktop 高权限通道 |
| TechCrunch | 「distillation attack」「Alibaba ban」 | 蒸馏战与阿里禁令产业影响 |
| Hacker News | 「prompt steganography」「malware-adjacent」 | 开发者社群伦理争议 |
| thereallo.dev | 「covert information channel」 | 二进制逆向、函数级代码还原 |
13 · 风险评估矩阵
| 用户情境 | 触发隐写? | 监管风险 | 建议优先级 |
|---|---|---|---|
| 官方 API + 最新版 2.1.204+ | 否 | 低 | 例行更新即可 |
| 官方 API + 2.1.91–2.1.196 | 否 | 中(版本合规) | 升级至 2.1.204+ |
| 代理 Base URL + 2.1.91–2.1.196 | 是 | 高 | 立即升级或卸载 |
| 代理 Base URL + 2.1.197+ | 据报否 | 中 | 隔离环境验证后使用 |
| 国内企业办公网络(任何版本) | 视 Base URL | 高(合规) | 遵循 NVDB + 企业内规;考虑 Qoder/Cursor 等替代 |
| 阿里员工(7/10 后) | — | 禁止 | 全面卸载,迁移至 Qoder |
14 · 终端指令:版本自查、升级与彻底卸载
以下指令适用于 macOS 终端(黑色背景区块)。请在执行卸载前备份 ~/.claude 中必要的配置(不含 API Key 明文)。
14.1 查询当前版本
14.2 审计 ANTHROPIC_BASE_URL
14.3 升级至最新安全版本
14.4 彻底卸载
15 · 七步合规处置清单
- 盘点终端与版本:对所有开发者 Mac、CI Runner、远程构建节点执行
claude --version,导出版本清单,标记 2.1.91–2.1.196 节点。 - 审计 ANTHROPIC_BASE_URL:检查 shell 配置、CI 密钥库、Docker Compose 与 Kubernetes ConfigMap 中的 Base URL 设置,确认是否经过非官方代理。
- 立即升级或卸载:对受影响版本执行
npm install -g @anthropic-ai/claude-code@latest或完整卸载流程(见上节)。 - 加强外联管控:在核心业务网段部署开发工具出站白名单,限制未授权 API 端点;启用 TLS 流量监测与异常告警。
- 评估替代方案:企业用户可评估 Qoder(阿里系)、Cursor、GitHub Copilot 等替代;选型对照见 AI 编程助手横向对比。
- 隔离环境验证修复:在干净 macOS 节点重装 Claude Code,分别用官方端点与代理端点 A/B 测试,截取系统提示词 diff 确认无隐写残留。
- 更新安全政策与员工通报:将 NVDB 警示纳入内部软件白名单审查流程,对已安装受影响版本的员工发出限期整改通知,留存审计记录。
16 · 个人开发者自查清单
适用于独立开发者、自由职业者与小型团队技术负责人——可在 30 分钟内完成首轮自查:
- 版本确认:执行
claude --version,若落在 2.1.91–2.1.196,立即升级至 2.1.204+ 或卸载。 - Base URL 审计:运行
echo $ANTHROPIC_BASE_URL,并 grep 所有 shell 配置与项目.env;非官方端点须记录使用原因与数据流向。 - 时区与代理链路:核对系统时区是否为
Asia/Shanghai/Asia/Urumqi,理解其与日期分隔符编码的叠加关系。 - 卸载残留清理:若决定停用,执行
npm uninstall -g @anthropic-ai/claude-code并删除~/.claude。 - 替代工具评估:对照 Cursor、Copilot、Gemini 编程助手对比,选择符合个人工作流的方案。
- 隔离验证(推荐):在租用或备用 Mac 上复现「官方 vs 代理」A/B 测试,留存截图作为自查记录。
17 · 企业 IT 合规清单
适用于安全团队、IT 运维与合规负责人——对接 NVDB 通报与供应链审计要求:
- 资产盘点:通过 MDM、终端管理软件或 Ansible 脚本批量采集
claude --version与ANTHROPIC_BASE_URL,生成受影响设备清单。 - 软件白名单更新:将 Claude Code 2.1.91–2.1.196 列入禁止安装版本;参考阿里 7 月 10 日禁令评估是否全面禁用 Anthropic 客户端。
- 网络 egress 策略:对开发 VLAN 实施 API 出站白名单;监测指向非
api.anthropic.com的 TLS 连接与异常 DNS 解析。 - 密钥与配置轮换:若曾通过代理使用 Claude API,评估 API Key 泄露风险并按策略轮换;清理 CI/CD 中的 Base URL 环境变量。
- 员工通报与整改期限:发布内部安全通告,明确 NVDB 定性、整改截止日期与合规责任人;留存签收记录。
- 替代方案立项:启动 Qoder、Cursor、Copilot 或私有化模型的 PoC;记录选型依据供审计备查。
- 验收与归档:在隔离环境完成升级验证后,将版本截图、卸载日志与网络策略变更单归档至等保/ISO 27001 证据库。
18 · FAQ(十问)
工信部 NVDB 警示的受影响版本有哪些?
Claude Code v2.1.91 至 v2.1.196。2.1.91 发布于 2026 年 4 月 2 日,2.1.196 于 6 月 29 日。Anthropic 于 7 月 1–2 日发布 2.1.197 移除相关代码。
所有 Claude Code 用户都会被监控吗?
不是。据逆向报告,隐写机制仅在 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 时触发。直连官方 API 的用户不受影响。
这算是数据外泄吗?
目前无公开证据显示源代码或对话内容被直接上传。已确认的是系统提示词中嵌入地域与身份分类标记——属隐蔽通道,NVDB 仍定性为严重后门隐患。
阿里巴巴为何禁用 Claude Code?
阿里于 7 月初内部公告,综合评估后门风险后列入高风险软件名单,自 7 月 10 日起禁止办公环境使用,并推荐自研 Qoder。
Anthropic 官方如何回应?
Claude Code 团队成员 Thariq Shihipar 承认为 3 月上线的实验性措施,目的为防转售与蒸馏,已在 7 月 2 日新版本删除,但 changelog 未明确提及。
隐写术的技术原理是什么?
在 Today's date is... 行切换日期分隔符与 Unicode 单引号(U+0027/U+2019/U+02BC/U+02B9),搭配 147 条 base64+XOR(91) 黑名单规则编码用户分类。
与 Claude Desktop 浏览器注入有关吗?
两起独立事件。4 月 Hanff 揭露的 Claude Desktop Native Messaging 注入为事件 A;6 月 thereallo.dev 揭露的 Claude Code 系统提示词隐写术为事件 B。NVDB 警示主要针对事件 B。
企业应如何合规处置?
遵循 NVDB 建议:排查版本、升级或卸载、加强外联管控与流量监测。参考本文第 15–17 节的七步清单与企业 IT checklist。
升级到 2.1.197 就安全了吗?
Anthropic 表示已移除,但 changelog 未明确确认。建议升级至截至 7 月 8 日的 2.1.204+,并在隔离环境验证。
中美蒸馏争议与此事有关吗?
有。Anthropic 指控阿里 Qwen 以约 25,000 虚假账号、2,880 万次对话进行蒸馏攻击。社群判断隐写机制是反蒸馏防御,但实现方式引发监管定性。
19 · 免责声明
本文依据 NVDB 公告、公开媒体报道与社群逆向报告整理,旨在帮助开发者与企业 IT 负责人理解风险并采取合规处置。本文不构成法律意见或安全认证建议。Anthropic 产品政策、企业内部禁令与监管解释可能随时更新,请以官方最新公告为准。MacDate 与 Anthropic、阿里巴巴均无商业关联;文中提及的替代方案与租赁服务仅供技术决策参考。
20 · 租用隔离 Mac:合规验证的最可控路径
要在 NVDB 整改期限内交出可审计的证据链——「我们已升级至安全版本、系统提示词无隐写残留、ANTHROPIC_BASE_URL 已恢复官方端点」——你需要在干净、可快照、可销毁的 macOS 环境里跑一轮完整 A/B 测试。主力 MacBook 上的痛点很实际:混装 Homebrew 多版本 Node、公司 VPN 隧道、日常 Keychain 与浏览器配置,一次对照实验可能让你无法分辨是旧版残留还是环境变量污染;更糟的是,在主力机上反复安装/卸载 Claude Code,还可能触发事件 A 的 Native Messaging 清单重建。
在任意 Linux 云主机上也能跑 npm install -g @anthropic-ai/claude-code,但那是临时验证路径——没有 macOS 原生 Keychain 行为、没有 ~/Library/Application Support/ 下的浏览器注入面,也无法模拟 iOS/macOS 开发者真实的 CLI 生态。若你追求可复现、可审计、与生产环境一致的验收结论,在按天租用的 Apple Silicon Mac mini 上完成「版本升级 → 提示词 diff → 卸载 → 环境销毁」闭环,通常比污染主力机更省时间与带宽。计费与 SSH 接入见 M 系列 Mac 算力租赁定价;若你同时评估 Agent 编排安全,请对照 JADEPUFFER Langflow 勒索事件 的隔离部署思路一并验收。
21 · 参考来源
- NVDB / 工信部 — Claude Code 安全后门风险提示(2026-07-08)
- IT之家 — 工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
- 新京报 — 工信部监测发现 Claude Code 存安全后门隐患
- 人民网 — NVDB 风险提示相关报道
- 36 氪 / 智东西 — 工信部首次定调:Claude Code 危害严重;突发,阿里全面禁用 Claude
- CNBC — Anthropic distillation allegations against Alibaba
- China Daily — China's industry regulator flags 'backdoor' risk in Claude Code
- Ars Technica — Claude Code prompt steganography and covert tracking coverage
- TechCrunch — Alibaba Claude ban and distillation dispute reporting
- The Register — Claude Desktop changes software permissions without consent(事件 A)
- thereallo.dev — Claude Code prompt steganography 原始逆向报告
- Adnane Khan — GitHub 独立验证报告(2.1.193/195/196 确认)
- TechTimes / Tech Startups — Anthropic 2.1.197 修复与 Shihipar 回应
- 第一财经 / 华尔街见闻 — 阿里禁用 Claude Code 与 Qoder 替代
- 安天实验室(Antiy Labs) — Claude Desktop 高权限浏览器通道风险分析
- Hacker News — Claude Code steganography 讨论帖(350+ points)
最后更新:2026 年 7 月 9 日。若 NVDB 发布后续通告或 Anthropic 释出正式安全公告,我们将修订本文。