対象読者:Claude Code を利用する開発者、企業ゲートウェイや第三者プロキシ経由で接続する技術チーム、および規制当局の定性とコンプライアンス対応を評価する開発責任者です。2026年7月8日、中国工信部のサイバーセキュリティ脅威・脆弱性情報共有プラットフォーム(NVDB)は、Anthropic Claude Code v2.1.91–2.1.196 に安全バックドアの隠れ、危害が深刻があると警告しました。本文で得られるもの:完全なタイムライン、NVDB 公告の要点、ANTHROPIC_BASE_URL 発動条件の整理、ステガノグラフィ 3 段階の分解、各主体の声明と国際メディアの用語対照、バージョン確認・アップグレード・アンインストールコマンド、個人 6 ステップと企業 4 ステップのチェックリストです。構成:TL;DR、6 つの論点、技術機構、ファクトチェック、ハードデータ、FAQ、収束 CTA です。
TL;DR — 30 秒で把握
ANTHROPIC_BASE_URL が api.anthropic.com 以外のプロキシ/ゲートウェイを指す場合のみです。claude --version と echo $ANTHROPIC_BASE_URL を実行し、影響版はアップグレードまたはアンインストール(下記コマンド参照)してください。2026年7月8日、工信部 NVDB はリスク警告を発表し、Anthropic Claude Code を安全バックドアの隠れ、危害が深刻と定性しました——中国規制当局が本件に正式な見解を示した初めての事例です。表向きは規制ニュースですが、裏には一連の物語があります:Anthropic が 3 月に隠蔽検出を投入 → 4 月からバージョン配布 → 6 月に開発者がリバースエンジニアリングで暴露 → 7 月にベンダーがロールバック → 阿里が禁止 → 工信部が定性。サイト内のClaude Code ステガノグラフィ技術深掘り記事を既にお読みの場合、本稿は NVDB 規制の主軸で対処行動をつなぎます。両記事は補完関係にあり、リバースエンジニアリングの全詳細は重複しません。
ANTHROPIC_BASE_URL で非公式エンドポイントを設定したユーザーのみが対象です。この点を混同するとセキュリティチームの信頼を損ない、公式 API 直結の開発者が誤った判断を下します。strings スキャンでは直接抽出できず、バイナリの完全なリバースエンジニアリングが必要です。一言定義:これは大規模データ漏洩が実証された事故ではなく、未開示の隠蔽ユーザー分類機構 + 規制の正式定性 + 大手企業の禁止という三線の重なりです。開発者はパニック的な全面禁止やリスク無視ではなく、バージョンと base URL の自己確認を優先すべきです。
2026 AI コーディングアシスタント比較マトリクスで Claude と Cursor、Copilot を評価している場合は、「クライアントの隠蔽行為/規制事件」の行を追加してください——機能ベンチマークはプロキシ経路での system prompt 改変を反映しません。
公開報道とリバースエンジニアリングの一次情報を整理しました。セキュリティブリーフィングとコンプライアンスアーカイブに引用できます。
IT之家、新京报等の転載によると、NVDB 公告の核心は次のとおりです。
ANTHROPIC_BASE_URL がスイッチ本文で最も誤解されやすく、かつ最も明確に説明すべき点です。隠蔽機構はすべての Claude Code ユーザーに発動しません。
発動条件(複数のリバースエンジニアリングで一致):環境変数 ANTHROPIC_BASE_URL を設定し、API リクエストを非公式エンドポイントへ向けた場合——企業 API ゲートウェイ、第三者プロキシ、API 中継/転売サービス、自前 reverse proxy が典型です。デフォルトの api.anthropic.com を使う一般サブスクリプション開発者は発動しません。
優先的に行動すべき主体:
相対的にリスクが低い主体:公式 API 直結、バージョンアップグレード済み、非デフォルトの ANTHROPIC_BASE_URL 未設定の開発者——ただし npm グローバルインストールのバージョンずれがあり得るため、下記の自己確認コマンドの実行を推奨します。
機構は 3 段階です:環境偵察 → ルールマッチ → system prompt ステガノグラフィ。Unicode マッピングと事件 A/B の詳細はサイト内ステガノグラフィ深掘り記事を参照してください。
発動条件成立後、コードは 2 種類の判定を実行します。
Asia/Shanghai または Asia/Urumqi かどうかANTHROPIC_BASE_URL の hostname を内蔵リストと比較ブラックリストは LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等の独立再現で合計 147 エントリ。中国大手テック企業ドメイン(阿里、支付宝、蚂蚁、百度、字节等)、中国 AI ラボキーワード(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)、既知の API プロキシ/転売ゲートウェイを含みます。リストは Base64 エンコード + XOR キー 91 で二重難読化され、標準文字列検索を回避します。
争点の核心は、独立 telemetry チャネルを使わず、モデルへ送る system prompt 内の無害に見える Today's date is... 行を改変することです。
2026-06-30(ハイフン)から 2026/06/30(スラッシュ)へ変化Today's の標準アポストロフィ ' が視覚的にほぼ区別不能な Unicode コードポイントへ置換され、「タイムゾーン一致/ドメイン一致/AI ラボキーワード一致」等の組み合わせをエンコードつまり、1 つの日付形式ビット + 3 種のアポストロフィ変体 ≈ 3 bit の環境情報が、正常な英文の 1 文に隠れ、各 API リクエストで Anthropic サーバー側へ送られ解析されます。
公開報道は Anthropic サーバー側がこれらの信号をどう消費するかを開示していません。コミュニティの推測用途には、未承認転売業者の識別、疑わしい蒸留パイプラインのマーキング、アカウントリスク管理のトリガーがあります。直接の結果としてよく議論されるのはアカウント停止リスクであり、ユーザーファイル漏洩の実証ではありません——「データ漏洩スキャンダル」として煽らず、未開示監視とコンプライアンスリスクに焦点を当ててください。
Claude Code には既知の通常データ収集(イベントログ、Datadog、OpenTelemetry 等)が大量にあり、同種の CLI/IDE Agent では珍しくなく、プライバシーポリシーに概ね開示されています。今回の争点は「データ収集」そのものではなく、次の点にあります。
この 4 点を区別しなければ、ベテラン開発者はコメント欄で「普通の telemetry で大げさだ」と反論し、記事の権威を損ないます。Cybernews 等の技術メディアも、一部コミュニティの見解として 「a nothing burger」(過剰反応)と引用し、実質は反蒸留のエンジニアリング手段だとしています。本稿は複数の表現を提示し、読者が自ら判断できるようにします。
定性:安全バックドアの隠れ、危害が深刻。組み込み監視機構がユーザー同意なく地域と身元識別子を送信すると記述。開発端末の全面調査、アンインストールまたはアップグレード、外部接続管理とトラフィック監視の強化を推奨しています。
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
翻訳の要点:「実験(experiment)」と定性し「バックドア(backdoor)」ではない。未承認転売の悪用防止とモデル蒸留対策を強調。チームは既に撤去を計画していた。背景補足:Anthropic は米国上院銀行委員会に書簡を送り、阿里巴巴 Qwen チームが約 2.5 万の不正アカウントで 2880 万回のインタラクションを行い Claude 能力を窃取しようとしたと主張——「蒸留への不安」の重要な文脈です。詳細はAnthropic H ラウンドと IPO 背景記事を参照してください。
SCMP、Ars Technica が引用する社内通知の文言:"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 範囲:Claude Code および Anthropic 関連モデル製品(Sonnet、Opus、Fable 等)。代替:内部プログラミングプラットフォーム Qoder。
中英のナラティブは侧重が異なります——中国語では NVDB の「バックドア」表現を主に使えます。英語報道を理解すると、越境チームのリスクコミュニケーション言語の整合に役立ちます。
| 出典 | 主要な定性用語 | ナラティブの侧重 |
|---|---|---|
| NVDB/工信部 | backdoor code/安全バックドアの隠れ/危害が深刻 | コンプライアンスとデータ外部送信リスク;公式対処指示 |
| CNBC/Reuters | security backdoor/built-in monitoring mechanism | 規制定性の中立転載 + 企業の連鎖反応 |
| The Register | covert code/secret steganography system | 技術的皮肉 + 未開示アップデートへの説明責任 |
| Ars Technica | spyware-like tracking/secret Claude tracker | 信頼危機 + 政策分析 |
| Cybernews | "a nothing burger"(一部技術コミュニティの見解) | 過剰反応とみなし、実質は反蒸留エンジニアリング |
| Anthropic 公式 | experiment/anti-abuse/anti-distillation measure | 正当な防御目的を強調、悪意の監視ではない |
本件は孤立した規制措置ではなく、2026 年の米中 AI 競争の縮図です。
コミュニティの合意:反蒸留と反転売は業界共通の関心事です。意図は弁護可能でも、方法は不可——Unicode 句読点に分類を隠し、ルールリストを難読化し、削除時に changelog を書かないことは、どのモデルベンチマークより速く開発者ツールへの信頼を侵食します。
ファクトチェック — 執筆・判断前に 5 点を整合
ANTHROPIC_BASE_URL が非公式エンドポイントのユーザーのみ発動。「全ユーザー監視」という煽り見出しは不正確です。claude --version の実測を基準にしてください。| 種別 | バージョン | リリース日 | 説明 |
|---|---|---|---|
| 初めて隠蔽機構を含む | v2.1.91 | 2026-04-02 | 検出ロジックのバージョン配布開始 |
| リバースエンジニアリング検証版 | v2.1.193 / 2.1.195 / 2.1.196 | 2026-06 | Adnane Khan、Thereallo 等がロジック含有を確認 |
| 最終影響版 | v2.1.196 | 2026-06-29 | NVDB 警告区間の上限 |
| 修正版 | v2.1.197+ | 2026-07-01/02 | ステガノグラフィコード削除;changelog 未明示 |
| 条件 | 日付形式 | アポストロフィ | Unicode |
|---|---|---|---|
| デフォルト(ドメイン・ラボ不一致) | 2026-06-30 |
' ASCII アポストロフィ |
U+0027 |
| 中国関連機関/転売ドメイン一致 | 2026-06-30 |
' 右シングルクォート |
U+2019 |
| AI ラボキーワード一致(deepseek、moonshot、zhipu 等) | 2026-06-30 |
ʼ 修飾文字アポストロフィ |
U+02BC |
| ドメインとラボキーワード両方一致 | 2026-06-30 |
ʹ 修飾文字プライム |
U+02B9 |
+ 中国タイムゾーン(Asia/Shanghai/Asia/Urumqi) |
2026/06/30(スラッシュ) |
(上記マッチ階層に従う) | — |
以下は macOS/Linux 開発端末向けです。Windows ではパス変数を %USERPROFILE% 相当に置き換えてください。
# 1. 現在の Claude Code バージョンを確認 claude --version # 2. ステガノグラフィ発動のプロキシエンドポイント設定を確認 echo $ANTHROPIC_BASE_URL # 3. npm グローバルインストールで最新版へアップグレード npm install -g @anthropic-ai/claude-code@latest # 4. または Claude Code 内蔵の更新コマンド claude update
完全アンインストール時に削除すべき残存パス:
~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code%USERPROFILE%\.claude、%USERPROFILE%\.claude.json および関連ローカルキャッシュ企業環境では、アンインストールは終点ではありません。開発端末の送信トラフィック監査で、非承認 AI サービスエンドポイントへの継続的な外部接続がないか確認してください。
claude --version を実行。出力が 2.1.91–2.1.196 なら高リスクとしてマークし、ステップ 2 へ進みます。echo $ANTHROPIC_BASE_URL(Windows:echo %ANTHROPIC_BASE_URL%)を実行。空でなく api.anthropic.com でない場合、プロキシ経路を使用したことを示します——アップグレード済みでも過去の利用期間を振り返ってください。npm install -g @anthropic-ai/claude-code@latest または claude update を実行し、v2.1.197 以降を目標にします。~/.claude* 残存を削除します。ANTHROPIC_BASE_URL 環境変数設定一覧をエクスポートします。Claude Code バックドア/ステガノグラフィ論争の核心は、弁護可能な目的が弁護不可能な隠蔽手段で実装されたことです——NVDB が規制定性を、Anthropic が experiment ナラティブを、開発者コミュニティが steganography の技術ラベルを与えました。三方の表現の緊張そのものが、2026 年 AI ツールサプライチェーンリスクの縮図です。
明白な代替案の限界も同様に明確です。(a)パニック的な全面禁止は、標準化された hook と MCP ワークフローを持つチームを中断します;(b)バージョンと base URL の自己確認を怠ると、コンプライアンス監査でギャップが露呈します;(c)個人ブラウザ、本番 API キー、メールアカウントが混在する MacBook で高権限 Agent を長期実行すると、次の未開示クライアント行為が表面化した際に blast radius が最大化されます。
バージョンアップグレード、base URL 戦略、送信監査を完了した後、次のボトルネックは通常ホスト隔離です——U+02B9 がスパイウェアかどうかのスレッドではありません。ローカル開発機は実験に適しますが、唯一の高権限 Agent 本番面には不向きです。フタ閉じスリープ、システム更新ダイアログ、個人 Chrome 設定と Native Messaging マニフェストの混在(ステガノグラフィ記事の事件 A 参照)は予測不能性を増幅します。
数分で SSH、予測可能な月額、日常ブラウザと本番キーが混在しない環境で最小権限の Claude Code Agent を動かす macOS ノードが必要なら、MACCOME 専用 Mac Mini M4 クラウドホストが通常より適しています——実 Apple Silicon、launchd フレンドリー uptime、独立したタイムゾーンと base URL 戦略、長期 Agent プロセスと互換のセグメント化ネットワーク。リージョンとメモリの比較はMac Mini レンタル価格ページ、運用質問はクラウド Mac ヘルプセンターへ。
行為が再現可能・文書化・切り替え可能になるまで、デフォルトは懐疑です。ステガノグラフィより開示を要求してください。各 CLI Agent を高権限ソフトウェアとして扱い——ベンダーはあなたが制御する境界の外で、Agent を制御可能な境界へ移すまで、この教訓を繰り返し学び続けるでしょう。
免責事項:本稿は工信部 NVDB 公告、Anthropic 公開声明、独立セキュリティ研究、公開メディア報道に基づく分析であり、技術・コンプライアンス参考用です。法的意見やセキュリティ監査結論ではありません。アンインストール、禁止、トラフィック管理を実施する前に、自組織のセキュリティ方針で評価してください。第三者のリバースエンジニアリング結論は、自ビルドで独立検証されるまで再現可能な仮説として扱ってください。
FAQ
Claude Code に本当にバックドアはありますか?
v2.1.91–2.1.196 では、Anthropic が changelog 未開示のステガノグラフィ検出ロジックを組み込んでいました。工信部 NVDB は 2026年7月8日に「安全バックドアの隠れ、危害が深刻」と定性。Anthropic エンジニア Thariq Shihipar は 3 月開始の「実験的」反悪用/反蒸留措置とし、v2.1.197 で削除済みです。技術コミュニティでは隠密チャネルがより正確な表現です。
影響を受ける Claude Code バージョンは?
v2.1.91(2026-04-02)から v2.1.196(2026-06-29)まで。直ちに v2.1.197 以降へアップグレードしてください。完全な対照は上記バージョン対照表を参照してください。
公式 api.anthropic.com を使う一般ユーザーは監視されますか?
いいえ。複数のリバースエンジニアリングによると、ANTHROPIC_BASE_URL が非公式プロキシ/ゲートウェイを指す場合にのみ発動します。デフォルトエンドポイント直結の CLI ユーザーは Unicode アポストロフィエンコードの対象ではありません。詳細は実際に影響を受けるのは誰かを参照してください。
現在の Claude Code バージョンを確認するには?
ターミナルで claude --version、または npm list -g @anthropic-ai/claude-code を実行してください。2.1.91–2.1.196 の場合は自己確認コマンドに従いアップグレードしてください。
Claude Code をアンインストールすべきですか?
影響版は v2.1.197+ へのアップグレードを優先してください。コンプライアンス要件のある企業は追加でアンインストール、~/.claude* 残存の削除、送信監査を行えます。公式 API 直結でアップグレード済みのユーザーはプロキシ経由よりリスクが著しく低いです。
Claude Code はどのようなステガノグラフィを使っていますか?
system prompt の Today's date is... 行を改変。中国タイムゾーン時は日付区切りが - から / へ。アポストロフィが U+0027/U+2019/U+02BC/U+02B9 間で切り替わり、約 3 bit をエンコード。対照表はUnicode 対照、詳細はステガノグラフィ専記事を参照してください。
阿里巴巴はなぜ Claude Code を禁止したのですか?
Reuters、TechCrunch によると、阿里は Claude Code を高リスクソフトウェアに指定し、2026年7月10日から社内で Claude Code と Anthropic モデル製品を禁止、内部プラットフォーム Qoder へ移行——NVDB 7 月 8 日の定性と企業側の連鎖を形成しています。
Anthropic は release notes でこの機構を開示しましたか?
いいえ。2.1.91–2.1.196 区間の changelog に記載はありません。v2.1.197 削除時も明示的告知なし——信頼事件の核心の一つです。
現在の Claude Code は安全ですか?
Anthropic は v2.1.197+ で関連コードを削除しました。継続利用は組織のリスク許容度次第です。企業はバージョン固定、base URL ホワイトリスト、egress 監査を推奨。隔離 macOS Agent 環境が必要な場合はMACCOME Mac Mini レンタル方案をご確認ください。
モデル蒸留と今回の事件の関係は?
Anthropic は未承認転売と蒸留対策が目的としています。阿里 Qwen チームの約 2.5 万不正アカウント、2880 万インタラクションを主張しました。コミュニティは目的は理解できるが、ステガノグラフィによる実装は透明性テストに通らないと指摘。背景はAnthropic 資金調達と競争文脈を参照してください。