工信部が Claude Code バックドアリスクを警告(v2.1.91–2.1.196):技術解説と開発者向け対処ガイド

約 16 分で読了 · MACCOME

対象読者:Claude Code を利用する開発者、企業ゲートウェイや第三者プロキシ経由で接続する技術チーム、および規制当局の定性とコンプライアンス対応を評価する開発責任者です。2026年7月8日、中国工信部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)は、Anthropic Claude Code v2.1.91–2.1.196安全バックドアの隠れ、危害が深刻があると警告しました。本文で得られるもの:完全なタイムライン、NVDB 公告の要点、ANTHROPIC_BASE_URL 発動条件の整理、ステガノグラフィ 3 段階の分解、各主体の声明と国際メディアの用語対照、バージョン確認・アップグレード・アンインストールコマンド、個人 6 ステップと企業 4 ステップのチェックリストです。構成:TL;DR、6 つの論点、技術機構、ファクトチェック、ハードデータ、FAQ、収束 CTA です。

bolt

TL;DR — 30 秒で把握

  • 規制定性:NVDB は 7 月 8 日、未開示の監視機構が地域・身元識別子等の機密情報を送信し得ると警告。直ちに調査・アンインストール・アップグレードを推奨しています。
  • 影響バージョン:v2.1.91(2026-04-02)から v2.1.196(2026-06-29)。修正版は v2.1.197+(7 月 1–2 日リリース)です。
  • 重要な限定:機構は全ユーザーに発動しません——ANTHROPIC_BASE_URLapi.anthropic.com 以外のプロキシ/ゲートウェイを指す場合のみです。
  • 企業の連鎖:阿里巴巴は 7 月 10 日から社内で Claude Code と Anthropic モデルを禁止し、Qoder へ移行します。
  • 今すぐ:claude --versionecho $ANTHROPIC_BASE_URL を実行し、影響版はアップグレードまたはアンインストール(下記コマンド参照)してください。

6 つの論点:Reddit 暴露から工信部定性までの信頼の断絶

2026年7月8日、工信部 NVDB はリスク警告を発表し、Anthropic Claude Code を安全バックドアの隠れ、危害が深刻と定性しました——中国規制当局が本件に正式な見解を示した初めての事例です。表向きは規制ニュースですが、裏には一連の物語があります:Anthropic が 3 月に隠蔽検出を投入 → 4 月からバージョン配布 → 6 月に開発者がリバースエンジニアリングで暴露 → 7 月にベンダーがロールバック → 阿里が禁止 → 工信部が定性。サイト内のClaude Code ステガノグラフィ技術深掘り記事を既にお読みの場合、本稿は NVDB 規制の主軸で対処行動をつなぎます。両記事は補完関係にあり、リバースエンジニアリングの全詳細は重複しません。

  1. 煽り見出し vs 技術的事実:中国語の自メディアでは「Claude Code が全中国ユーザーを監視」と書かれることが多いですが、リバースエンジニアリングの合意は、ANTHROPIC_BASE_URL で非公式エンドポイントを設定したユーザーのみが対象です。この点を混同するとセキュリティチームの信頼を損ない、公式 API 直結の開発者が誤った判断を下します。
  2. 約 3 か月のゼロ開示:検出ロジックは 2026年4月2日の v2.1.91 から配布され、約 20 リリースにわたり存在しましたが、changelog には一度も記載されませんでした。7 月 1 日の v2.1.197 で静かに削除され、削除自体も明示的な告知はありませんでした——「信頼せよ、しかし検証せよ」というアップグレード戦略がここでは機能しませんでした。
  3. テレメトリではなくステガノグラフィ:独立した報告チャネルではなく、system prompt 内の日付行と Unicode アポストロフィを改変します——人間には読めるが、コードポイントレベルでは機械可読です。セキュリティ研究者 Adnane Khan は、システムプロンプトに埋め込まれた隠密チャネル(covert channel)と定義し、文書化された usage telemetry ではないと指摘しています。
  4. 147 件の難読化ルール:ドメインと AI ラボのキーワードリストは XOR(91) + Base64 で二重に難読化され、阿里、百度、字节、DeepSeek、Moonshot、智譜、MiniMax 等を含みます。標準の strings スキャンでは直接抽出できず、バイナリの完全なリバースエンジニアリングが必要です。
  5. 高権限ツール上の隠蔽行為:Claude Code はファイル読み書き、Shell 実行、MCP 統合など高権限を持ちます。ユーザーは「見えない行為」に対し、読み取り専用 IDE プラグインより低い許容度を持つべきです。未開示の分類フィンガープリントは、コンプライアンスとサプライチェーン審査においてバックドアリスクへと格上げされます。
  6. 企業の連鎖反応が具体化:Reuters、TechCrunch は、阿里巴巴が 7 月 10 日から Claude Code と Sonnet/Opus/Fable 等の Anthropic 製品を社内禁止すると報じました。開発責任者が依然として「個人開発者向けツール」として分類していると、禁止発効後の突発監査でギャップが生じる可能性があります。

一言定義:これは大規模データ漏洩が実証された事故ではなく、未開示の隠蔽ユーザー分類機構 + 規制の正式定性 + 大手企業の禁止という三線の重なりです。開発者はパニック的な全面禁止やリスク無視ではなく、バージョンと base URL の自己確認を優先すべきです。

2026 AI コーディングアシスタント比較マトリクスで Claude と Cursor、Copilot を評価している場合は、「クライアントの隠蔽行為/規制事件」の行を追加してください——機能ベンチマークはプロキシ経路での system prompt 改変を反映しません。

完全タイムライン:2026年2月 — 7月10日

公開報道とリバースエンジニアリングの一次情報を整理しました。セキュリティブリーフィングとコンプライアンスアーカイブに引用できます。

  • 2026年2月:Anthropic は反モデル蒸留技術(分類器、行動フィンガープリント、情報共有等)への投資を公表しました。
  • 2026年3月:Claude Code に隠蔽検出機構が静かに投入され、公開開示はありませんでした
  • 2026-04-02:Claude Code v2.1.91 リリース。検出コードのバージョン配布が開始されました。
  • 2026-04-02 〜 06-29:約 20 バージョンにわたり検出ロジックが継続、changelog 未記載。
  • 2026-06-29:v2.1.196 リリース——影響区間の最終版です。
  • 2026-06-30:Reddit ユーザー LegitMichel777 が《Anthropic embedded spyware in Claude Code – and attempted to hide it from you》を投稿し、ステガノグラフィ検出を初めて大規模に暴露しました。
  • 2026-06-30:開発者 Thereallothereallo.dev で技術分析を公開。セキュリティ研究者 Adnane Khan が GitHub でリバースエンジニアリング報告を公開し、v2.1.193/2.1.195/2.1.196 にロジックが含まれることを検証しました。
  • 2026-07-01:Anthropic エンジニア Thariq Shihipar が X で公開承認。3 月投入の「実験的」反悪用/反蒸留措置とし、翌日リリースでロールバックすると約束しました。
  • 2026-07-02:Claude Code v2.1.197(一部では v2.1.198)リリース。ステガノグラフィ検出コードを削除、changelog には明示的な記載なし
  • 2026-07-03/04:Reuters、TechCrunch が報道:阿里巴巴の社内通知により、7 月 10 日から Claude Code と Anthropic 関連モデルの使用禁止、内部ツール Qoder へ移行。
  • 2026-07-08:工信部 NVDB が正式なリスク警告を発表。「安全バックドアの隠れ、危害が深刻」と定性。
  • 2026-07-10:阿里巴巴の社内禁止が正式に発効しました。

NVDB 公告の要点:規制当局はどう定性したか

IT之家新京报等の転載によると、NVDB 公告の核心は次のとおりです。

  • 隠れの性質:組み込み監視機構が、ユーザー同意なくリモートサーバーへ機密情報を送信し得る。
  • 送信内容:ユーザーの地域身元識別子等の機密情報(ステガノグラフィでエンコードされるタイムゾーン/プロキシ/ラボ信号と叙述上対応)。
  • 影響バージョン:v2.1.91 〜 v2.1.196(リリース期間:2026年4月2日〜6月29日)。
  • 公式対処推奨:開発端末の全面調査 → 影響版の直ちのアンインストールまたは最新安全版へのアップグレード → コア業務ネットワークの外部接続権限管理とトラフィック監視の強化
  • 定性用語:「安全バックドアの隠れ、危害が深刻」——中国規制の公式表現であり、Anthropic の「実験(experiment)」ナラティブと緊張関係にあります。

実際に影響を受けるのは誰か:ANTHROPIC_BASE_URL がスイッチ

本文で最も誤解されやすく、かつ最も明確に説明すべき点です。隠蔽機構はすべての Claude Code ユーザーに発動しません

発動条件(複数のリバースエンジニアリングで一致):環境変数 ANTHROPIC_BASE_URL を設定し、API リクエストを非公式エンドポイントへ向けた場合——企業 API ゲートウェイ、第三者プロキシ、API 中継/転売サービス、自前 reverse proxy が典型です。デフォルトの api.anthropic.com を使う一般サブスクリプション開発者は発動しません

優先的に行動すべき主体:

  • 国内転売業者/集約ゲートウェイ経由で Claude Code を実行するチーム
  • CI/CD や Agent ホストでカスタム base URL を設定した DevOps
  • 企業コンプライアンスプロキシで統一出站する開発組織(プロキシ自体がコンプライアントでも、クライアント側にフィンガープリントが埋め込まれる可能性あり)
  • バージョンが 2.1.91–2.1.1962.1.197+ 未アップグレードの上記ユーザー

相対的にリスクが低い主体:公式 API 直結、バージョンアップグレード済み、非デフォルトの ANTHROPIC_BASE_URL 未設定の開発者——ただし npm グローバルインストールのバージョンずれがあり得るため、下記の自己確認コマンドの実行を推奨します。

技術機構:タイムゾーン偵察 + 147 ルール + ステガノグラフィエンコード

機構は 3 段階です:環境偵察 → ルールマッチ → system prompt ステガノグラフィ。Unicode マッピングと事件 A/B の詳細はサイト内ステガノグラフィ深掘り記事を参照してください。

ステップ 1 — 環境偵察

発動条件成立後、コードは 2 種類の判定を実行します。

  1. システムタイムゾーン検出:Asia/Shanghai または Asia/Urumqi かどうか
  2. プロキシドメインブラックリスト照合:ANTHROPIC_BASE_URL の hostname を内蔵リストと比較

ブラックリストは LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等の独立再現で合計 147 エントリ。中国大手テック企業ドメイン(阿里、支付宝、蚂蚁、百度、字节等)、中国 AI ラボキーワード(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)、既知の API プロキシ/転売ゲートウェイを含みます。リストは Base64 エンコード + XOR キー 91 で二重難読化され、標準文字列検索を回避します。

ステップ 2 — ステガノグラフィエンコード:日付区切り + Unicode アポストロフィ(約 3 bit)

争点の核心は、独立 telemetry チャネルを使わず、モデルへ送る system prompt 内の無害に見える Today's date is... 行を改変することです。

  • 日付区切り(1 bit 級信号):中国タイムゾーン一致時、日付が 2026-06-30(ハイフン)から 2026/06/30(スラッシュ)へ変化
  • Unicode アポストロフィ(3 種の変体でブールフラグをエンコード):Today's の標準アポストロフィ ' が視覚的にほぼ区別不能な Unicode コードポイントへ置換され、「タイムゾーン一致/ドメイン一致/AI ラボキーワード一致」等の組み合わせをエンコード

つまり、1 つの日付形式ビット + 3 種のアポストロフィ変体 ≈ 3 bit の環境情報が、正常な英文の 1 文に隠れ、各 API リクエストで Anthropic サーバー側へ送られ解析されます。

ステップ 3 — サーバー側分類(推測)

公開報道は Anthropic サーバー側がこれらの信号をどう消費するかを開示していません。コミュニティの推測用途には、未承認転売業者の識別、疑わしい蒸留パイプラインのマーキング、アカウントリスク管理のトリガーがあります。直接の結果としてよく議論されるのはアカウント停止リスクであり、ユーザーファイル漏洩の実証ではありません——「データ漏洩スキャンダル」として煽らず、未開示監視とコンプライアンスリスクに焦点を当ててください。

通常テレメトリとの境界:4 つの重要な差異

Claude Code には既知の通常データ収集(イベントログ、Datadog、OpenTelemetry 等)が大量にあり、同種の CLI/IDE Agent では珍しくなく、プライバシーポリシーに概ね開示されています。今回の争点は「データ収集」そのものではなく、次の点にあります。

  1. チャネル:ステガノグラフィで system prompt に埋め込み、ユーザーが発見・無効化できる正規 telemetry SDK チャネルではない
  2. 開示:約 3 か月間 changelog ゼロ開示。削除時も明示的告知なし
  3. ターゲティング:特定地域信号と特定商業競合/転売ドメインへのフィンガープリントに特化し、集約 usage metrics ではない
  4. 権限文脈:ツールはファイルシステム読み書きと Shell 実行等の高権限を同時に持つ——「見えない行為」への許容度は低くあるべき

この 4 点を区別しなければ、ベテラン開発者はコメント欄で「普通の telemetry で大げさだ」と反論し、記事の権威を損ないます。Cybernews 等の技術メディアも、一部コミュニティの見解として 「a nothing burger」(過剰反応)と引用し、実質は反蒸留のエンジニアリング手段だとしています。本稿は複数の表現を提示し、読者が自ら判断できるようにします。

各主体の声明:NVDB、Anthropic、阿里巴巴

工信部/NVDB

定性:安全バックドアの隠れ、危害が深刻。組み込み監視機構がユーザー同意なく地域と身元識別子を送信すると記述。開発端末の全面調査、アンインストールまたはアップグレード、外部接続管理とトラフィック監視の強化を推奨しています。

Anthropic/Thariq Shihipar(Claude Code エンジニア、X 原文)

format_quote

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻訳の要点:「実験(experiment)」と定性し「バックドア(backdoor)」ではない。未承認転売の悪用防止とモデル蒸留対策を強調。チームは既に撤去を計画していた。背景補足:Anthropic は米国上院銀行委員会に書簡を送り、阿里巴巴 Qwen チームが約 2.5 万の不正アカウントで 2880 万回のインタラクションを行い Claude 能力を窃取しようとしたと主張——「蒸留への不安」の重要な文脈です。詳細はAnthropic H ラウンドと IPO 背景記事を参照してください。

阿里巴巴(2026年7月10日発効)

SCMP、Ars Technica が引用する社内通知の文言:"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 範囲:Claude Code および Anthropic 関連モデル製品(Sonnet、Opus、Fable 等)。代替:内部プログラミングプラットフォーム Qoder

国際メディアの用語対照:backdoor vs experiment vs steganography

中英のナラティブは侧重が異なります——中国語では NVDB の「バックドア」表現を主に使えます。英語報道を理解すると、越境チームのリスクコミュニケーション言語の整合に役立ちます。

出典 主要な定性用語 ナラティブの侧重
NVDB/工信部 backdoor code/安全バックドアの隠れ/危害が深刻 コンプライアンスとデータ外部送信リスク;公式対処指示
CNBC/Reuters security backdoor/built-in monitoring mechanism 規制定性の中立転載 + 企業の連鎖反応
The Register covert code/secret steganography system 技術的皮肉 + 未開示アップデートへの説明責任
Ars Technica spyware-like tracking/secret Claude tracker 信頼危機 + 政策分析
Cybernews "a nothing burger"(一部技術コミュニティの見解) 過剰反応とみなし、実質は反蒸留エンジニアリング
Anthropic 公式 experiment/anti-abuse/anti-distillation measure 正当な防御目的を強調、悪意の監視ではない

背景:2026 年の米中 AI 蒸留競争

本件は孤立した規制措置ではなく、2026 年の米中 AI 競争の縮図です。

  • Anthropic は長期にわたり中国および「敵対地域」のユーザーによる直接アクセスを禁止していますが、VPN、海外決済、第三者プロキシで回避可能です
  • 2026年2月、北京大学と中国科学院の研究者が論文を発表し、主流の中国大規模モデルの多くに海外モデルへの蒸留痕跡があると報告しました
  • Anthropic は以前、DeepSeek、Moonshot、MiniMax、阿里巴巴等が Claude 出力を無断で自社モデル訓練に利用したと主張。上院書簡では Qwen チームの約 2.5 万不正アカウント、2880 万インタラクションを具体的に指摘
  • Claude Opus 4.8 のテストで「自分は Qwen/DeepSeek だと誤認」した事例があり、一部コメントは二重基準の証拠とみなし——「中国ユーザー識別の埋め込み」がより尴尬に
  • 中国企業は自研/オープンソース体系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等)へ移行。阿里社内の Qoder はプログラミングツール層での具体化です

コミュニティの合意:反蒸留と反転売は業界共通の関心事です。意図は弁護可能でも、方法は不可——Unicode 句読点に分類を隠し、ルールリストを難読化し、削除時に changelog を書かないことは、どのモデルベンチマークより速く開発者ツールへの信頼を侵食します。

fact_check

ファクトチェック — 執筆・判断前に 5 点を整合

  • 全員監視ではない:ANTHROPIC_BASE_URL が非公式エンドポイントのユーザーのみ発動。「全ユーザー監視」という煽り見出しは不正確です。
  • 修正版の表記:多くの一次情報は v2.1.197(7 月 1 日)、一部中国メディアは v2.1.198。「2.1.197 以降」と統一し、出典差を注記してください。
  • 「バックドア」は規制定性:技術コミュニティではステガノグラフィ検出/covert channel がより正確。Anthropic は experiment と称す。中国語は NVDB 表現を主に、英語は緊張を呈示すべきです。
  • 直接の結果はアカウントリスク管理、データ漏洩の実証ではない:公開報道は具体的な経済損失やファイル漏洩を実証していません。未開示監視とコンプライアンスリスクに焦点を当て、誇張を避けてください。
  • バージョン日付の微差:メディアにより v2.1.196 のリリース日が 6 月 29 日/30 日と異なります。対処は claude --version の実測を基準にしてください。

バージョン対照表:影響区間と安全版

種別 バージョン リリース日 説明
初めて隠蔽機構を含む v2.1.91 2026-04-02 検出ロジックのバージョン配布開始
リバースエンジニアリング検証版 v2.1.193 / 2.1.195 / 2.1.196 2026-06 Adnane Khan、Thereallo 等がロジック含有を確認
最終影響版 v2.1.196 2026-06-29 NVDB 警告区間の上限
修正版 v2.1.197+ 2026-07-01/02 ステガノグラフィコード削除;changelog 未明示

Unicode アポストロフィ対照表:3 bit が句読点に隠れる仕組み

条件 日付形式 アポストロフィ Unicode
デフォルト(ドメイン・ラボ不一致) 2026-06-30 ' ASCII アポストロフィ U+0027
中国関連機関/転売ドメイン一致 2026-06-30 ' 右シングルクォート U+2019
AI ラボキーワード一致(deepseek、moonshot、zhipu 等) 2026-06-30 ʼ 修飾文字アポストロフィ U+02BC
ドメインとラボキーワード両方一致 2026-06-30 ʹ 修飾文字プライム U+02B9
+ 中国タイムゾーンAsia/ShanghaiAsia/Urumqi 2026/06/30(スラッシュ) (上記マッチ階層に従う)

自己確認コマンド:バージョン、base URL、アップグレード、アンインストール

以下は macOS/Linux 開発端末向けです。Windows ではパス変数を %USERPROFILE% 相当に置き換えてください。

bash
# 1. 現在の Claude Code バージョンを確認
claude --version

# 2. ステガノグラフィ発動のプロキシエンドポイント設定を確認
echo $ANTHROPIC_BASE_URL

# 3. npm グローバルインストールで最新版へアップグレード
npm install -g @anthropic-ai/claude-code@latest

# 4. または Claude Code 内蔵の更新コマンド
claude update

完全アンインストール時に削除すべき残存パス:

  • macOS/Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code
  • Windows:%USERPROFILE%\.claude%USERPROFILE%\.claude.json および関連ローカルキャッシュ

企業環境では、アンインストールは終点ではありません。開発端末の送信トラフィック監査で、非承認 AI サービスエンドポイントへの継続的な外部接続がないか確認してください。

個人 6 ステップ + 企業 4 ステップ対処チェックリスト

個人開発者(6 ステップ)

  1. バージョン確認:claude --version を実行。出力が 2.1.91–2.1.196 なら高リスクとしてマークし、ステップ 2 へ進みます。
  2. base URL 確認:echo $ANTHROPIC_BASE_URL(Windows:echo %ANTHROPIC_BASE_URL%)を実行。空でなく api.anthropic.com でない場合、プロキシ経路を使用したことを示します——アップグレード済みでも過去の利用期間を振り返ってください。
  3. 直ちにアップグレード:npm install -g @anthropic-ai/claude-code@latest または claude update を実行し、v2.1.197 以降を目標にします。
  4. 任意のアンインストールとクリーンアップ:コンプライアンス上敏感、または個人利用を終了する場合は npm パッケージをアンインストールし、上記の ~/.claude* 残存を削除します。
  5. プロキシ経路のプロンプト抽査(任意):転売ゲートウェイを使う必要がある場合、テストアカウントで system prompt 断片を取得し、Unicode 対照表でアポストロフィのコードポイントと日付区切りを確認します(ステガノグラフィ深掘り記事参照)。
  6. 個人ツールチェーン判断の更新:IDE/Agent 選定に本件を記録し、Claude Code を日常ノート PC ではなく隔離ホストに限定するか評価します(下記収束参照)。

企業 IT/セキュリティチーム(4 ステップ)

  1. 資産棚卸し:全開発端末、CI Runner、Agent ホストの Claude Code インストールとバージョンをスキャン。ANTHROPIC_BASE_URL 環境変数設定一覧をエクスポートします。
  2. バージョン対処:2.1.91–2.1.196 のマシンを 2.1.197+ へ強制アップグレード、または NVDB 推奨に従いアンインストール。MDM/構成管理ポリシーでダウングレードを防止します。
  3. 送信トラフィック監査:開発ネットワークで egress ログを有効化し、非承認 AI API エンドポイントを調査。147 ルールの既知転売ドメインと照合(脅威インテリジェンス feed と併用、本稿では列挙しません)。
  4. ベンダーと代替案の審査:阿里の禁止と Qoder 移行を参考に、AI プログラミングツールのホワイトリストを更新。コーディングアシスタント比較マトリクスに「規制事件/隠蔽クライアント行為」の評価軸を追加し、調達・コンプライアンスアンケートに記載します。

セキュリティブリーフィングで引用できる 3 つのハードデータ

  • ルールセット規模:複数のリバースエンジニアリングで約 147 件の Base64 + XOR(91) 難読化ドメイン/キーワードルールが v2.1.193/2.1.195/2.1.196 に存在し、v2.1.197(2026-07-01)で静かに削除——主要な中国テック・AI ラボ関連ゲートウェイをカバーする規模で、散発的な hardcode ではありません。
  • コミュニティ信号の強度:2026-06-30 の暴露投稿は Hacker News で 350+ ポイント100+ コメント——開発者リーチは主要サプライチェーンストーリーに匹敵し、ニッチフォーラムの噂ではありません。Reddit 原帖 LegitMichel777 が同日にクロスプラットフォーム議論を喚起しました。
  • 企業禁止の時間アンカー:阿里巴巴の社内禁止は2026-07-10 に正式発効。Reuters/TechCrunch によると Claude Code と Anthropic 全モデル系列を対象——国内大手インターネット企業の実質的なサプライチェーン措置であり、メディアコメントのみではありません。

結論:ローカルノート PC の限界と隔離 Agent ホスト

Claude Code バックドア/ステガノグラフィ論争の核心は、弁護可能な目的が弁護不可能な隠蔽手段で実装されたことです——NVDB が規制定性を、Anthropic が experiment ナラティブを、開発者コミュニティが steganography の技術ラベルを与えました。三方の表現の緊張そのものが、2026 年 AI ツールサプライチェーンリスクの縮図です。

明白な代替案の限界も同様に明確です。(a)パニック的な全面禁止は、標準化された hook と MCP ワークフローを持つチームを中断します;(b)バージョンと base URL の自己確認を怠ると、コンプライアンス監査でギャップが露呈します;(c)個人ブラウザ、本番 API キー、メールアカウントが混在する MacBook で高権限 Agent を長期実行すると、次の未開示クライアント行為が表面化した際に blast radius が最大化されます

バージョンアップグレード、base URL 戦略、送信監査を完了した後、次のボトルネックは通常ホスト隔離です——U+02B9 がスパイウェアかどうかのスレッドではありません。ローカル開発機は実験に適しますが、唯一の高権限 Agent 本番面には不向きです。フタ閉じスリープ、システム更新ダイアログ、個人 Chrome 設定と Native Messaging マニフェストの混在(ステガノグラフィ記事の事件 A 参照)は予測不能性を増幅します。

数分で SSH、予測可能な月額、日常ブラウザと本番キーが混在しない環境で最小権限の Claude Code Agent を動かす macOS ノードが必要なら、MACCOME 専用 Mac Mini M4 クラウドホストが通常より適しています——実 Apple Silicon、launchd フレンドリー uptime、独立したタイムゾーンと base URL 戦略、長期 Agent プロセスと互換のセグメント化ネットワーク。リージョンとメモリの比較はMac Mini レンタル価格ページ、運用質問はクラウド Mac ヘルプセンターへ。

行為が再現可能・文書化・切り替え可能になるまで、デフォルトは懐疑です。ステガノグラフィより開示を要求してください。各 CLI Agent を高権限ソフトウェアとして扱い——ベンダーはあなたが制御する境界の外で、Agent を制御可能な境界へ移すまで、この教訓を繰り返し学び続けるでしょう。

出典と関連読み物

  • IT之家:工信部リスク警告(Claude Code 安全バックドア)
  • 新京报:Claude Code 安全バックドアの隠れ、危害が深刻
  • CNBC:China warns about AI risks with Anthropic's Claude Code
  • The Register:China: Ditch older Claude versions with backdoor code
  • TechCrunch:Alibaba reportedly bans employees from using Claude Code
  • Ars Technica:Secret Claude tracker shocks users after Anthropic's anti-surveillance stance
  • thereallo.dev:Claude Code Is Steganographically Marking Requests(2026-06-30 技術リバースエンジニアリング一次情報)
gavel

免責事項:本稿は工信部 NVDB 公告、Anthropic 公開声明、独立セキュリティ研究、公開メディア報道に基づく分析であり、技術・コンプライアンス参考用です。法的意見やセキュリティ監査結論ではありません。アンインストール、禁止、トラフィック管理を実施する前に、自組織のセキュリティ方針で評価してください。第三者のリバースエンジニアリング結論は、自ビルドで独立検証されるまで再現可能な仮説として扱ってください。

FAQ

Claude Code に本当にバックドアはありますか?

v2.1.91–2.1.196 では、Anthropic が changelog 未開示のステガノグラフィ検出ロジックを組み込んでいました。工信部 NVDB は 2026年7月8日に「安全バックドアの隠れ、危害が深刻」と定性。Anthropic エンジニア Thariq Shihipar は 3 月開始の「実験的」反悪用/反蒸留措置とし、v2.1.197 で削除済みです。技術コミュニティでは隠密チャネルがより正確な表現です。

影響を受ける Claude Code バージョンは?

v2.1.91(2026-04-02)から v2.1.196(2026-06-29)まで。直ちに v2.1.197 以降へアップグレードしてください。完全な対照は上記バージョン対照表を参照してください。

公式 api.anthropic.com を使う一般ユーザーは監視されますか?

いいえ。複数のリバースエンジニアリングによると、ANTHROPIC_BASE_URL が非公式プロキシ/ゲートウェイを指す場合にのみ発動します。デフォルトエンドポイント直結の CLI ユーザーは Unicode アポストロフィエンコードの対象ではありません。詳細は実際に影響を受けるのは誰かを参照してください。

現在の Claude Code バージョンを確認するには?

ターミナルで claude --version、または npm list -g @anthropic-ai/claude-code を実行してください。2.1.91–2.1.196 の場合は自己確認コマンドに従いアップグレードしてください。

Claude Code をアンインストールすべきですか?

影響版は v2.1.197+ へのアップグレードを優先してください。コンプライアンス要件のある企業は追加でアンインストール、~/.claude* 残存の削除、送信監査を行えます。公式 API 直結でアップグレード済みのユーザーはプロキシ経由よりリスクが著しく低いです。

Claude Code はどのようなステガノグラフィを使っていますか?

system prompt の Today's date is... 行を改変。中国タイムゾーン時は日付区切りが - から / へ。アポストロフィが U+0027/U+2019/U+02BC/U+02B9 間で切り替わり、約 3 bit をエンコード。対照表はUnicode 対照、詳細はステガノグラフィ専記事を参照してください。

阿里巴巴はなぜ Claude Code を禁止したのですか?

Reuters、TechCrunch によると、阿里は Claude Code を高リスクソフトウェアに指定し、2026年7月10日から社内で Claude Code と Anthropic モデル製品を禁止、内部プラットフォーム Qoder へ移行——NVDB 7 月 8 日の定性と企業側の連鎖を形成しています。

Anthropic は release notes でこの機構を開示しましたか?

いいえ。2.1.91–2.1.196 区間の changelog に記載はありません。v2.1.197 削除時も明示的告知なし——信頼事件の核心の一つです。

現在の Claude Code は安全ですか?

Anthropic は v2.1.197+ で関連コードを削除しました。継続利用は組織のリスク許容度次第です。企業はバージョン固定、base URL ホワイトリスト、egress 監査を推奨。隔離 macOS Agent 環境が必要な場合はMACCOME Mac Mini レンタル方案をご確認ください。

モデル蒸留と今回の事件の関係は?

Anthropic は未承認転売と蒸留対策が目的としています。阿里 Qwen チームの約 2.5 万不正アカウント、2880 万インタラクションを主張しました。コミュニティは目的は理解できるが、ステガノグラフィによる実装は透明性テストに通らないと指摘。背景はAnthropic 資金調達と競争文脈を参照してください。