대상: Claude Code 사용자, 기업 게이트웨이·제3자 프록시 경로의 기술팀, 규제 정성과 컴플라이언스 대응을 평가하는 개발 책임자.2026년 7월 8일 중국 공信부 NVDB가 Anthropic Claude Code v2.1.91–2.1.196에 안전 백도어 잠재 위험, 피해 심각을 경고했습니다.본문 제공: 전체 타임라인, NVDB 공고 핵심, ANTHROPIC_BASE_URL 트리거 조건 정리, 은닉 3단계 분해, 각 주체 입장·국제 매체 용어 대조, 버전 점검·업그레이드·제거 명령, 개인 6단계+기업 4단계 체크리스트.구성: TL;DR, 6대 쟁점, 기술 메커니즘, 팩트체크, 하드 데이터, FAQ, MACCOME CTA.
TL;DR — 30초 요약
ANTHROPIC_BASE_URL이 api.anthropic.com 외 프록시·게이트웨이를 가리킬 때만 활성화.claude --version, echo $ANTHROPIC_BASE_URL — 영향 버전은 업그레이드 또는 제거(하단 명령 참조).2026년 7월 8일 공信부 NVDB가 Anthropic Claude Code를 안전 백도어 잠재 위험, 피해 심각으로 정성했습니다. 중국 규제 기관의 공식 입장입니다. 내러티브는 Anthropic 3월 은닉 탐지 → 4월 버전 배포 → 6월 역공학 노출 → 7월 벤더 롤백 → 알리 금지 → 공信부 정성입니다. Claude Code 은닉 기법 심층 글을 읽었다면 본문은 NVDB 규제 축으로 대응 행동을 연결합니다. 역공학 전 상세는 중복하지 않습니다.
ANTHROPIC_BASE_URL 비공식 엔드포인트 사용자만 해당합니다. 혼동 시 보안팀 신뢰와 의사결정이 흔들립니다.strings로는 추출 불가, 전체 바이너리 역공학 필요.한 줄 정의: 대규모 유출 사고가 아니라 미공개 은닉 분류 + 규제 정성 + 대기업 금지의 삼중 겹침입니다. 패닉 금지·무시 금지, 버전·base URL 자가 점검이 우선입니다.
2026 AI 코딩 어시스턴트 비교 매트릭스에 「클라이언트 은닉 행위/규제 사건」 행을 추가하십시오.
ANTHROPIC_BASE_URL이 스위치가장 오해되는 지점입니다. 전체 사용자 대상이 아닙니다.
트리거(역공학 합의): ANTHROPIC_BASE_URL이 비공식 엔드포인트(기업 게이트웨이, 제3자 프록시, API 재판매, 자체 reverse proxy)를 가리킴. 기본 api.anthropic.com 사용자는 비활성.
우선 대응: 국내 재판매·집약 게이트웨이 팀; CI/CD·Agent 호스트 커스텀 base URL DevOps; 기업 컴플라이언스 프록시 조직; 2.1.91–2.1.196 미업그레이드 사용자.
상대적 저위험: 공식 API 직결·업그레이드 완료·비기본 base URL 미설정 — npm 전역 설치 드리프트 가능성으로 하단 명령 확인 권장.
3단계: 환경 정찰 → 규칙 매칭 → system prompt 은닉. Unicode 매핑·이벤트 A/B는 은닉 심층 글 참조.
Asia/Shanghai 또는 Asia/UrumqiANTHROPIC_BASE_URL hostname 대조독립 재현 합계 147항목: 중국 빅테크 도메인, AI 랩 키워드(DeepSeek·Moonshot·智譜·MiniMax·Baichuan·StepFun·01.AI 등), API 프록시·재판매 게이트웨이. Base64 + XOR(91) 이중 난독화.
2026-06-30 → 2026/06/30Today's의 '가 U+0027/U+2019/U+02BC/U+02B9로 전환, 시区·도메인·랩 키워드 조합 인코딩날짜 1bit + 아포스트로피 3변형 ≈ 3bit가 매 API 요청의 system prompt에 실려 Anthropic 서버로 전달됩니다.
공개 보도는 서버 소비 방식 미공개. 추정: 미승인 재판매 식별, 증류 파이프라인 마킹, 계정 리스크. 직접 결과는 계정 정지 리스크가 주류이며, 파일 유출 실증은 아닙니다.
Cybernews 등은 일부 관점을 「a nothing burger」(과잉 반응)로 인용합니다. 본문은 다층 서술을 유지합니다.
안전 백도어 잠재 위험, 피해 심각. 동의 없는 지역·신원 전송. 전수 점검·제거/업그레이드·아웃바운드 강화 권고.
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
「experiment」≠「backdoor」. 반재판매·반증류. Qwen 팀 2.5만 사기 계정·2880만 상호작용 주장 — Anthropic H라운드·IPO 배경.
SCMP·Ars Technica 인용: "As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 범위: Claude Code·Sonnet·Opus·Fable 등. 대안: Qoder.
| 출처 | 핵심 용어 | 서술 초점 |
|---|---|---|
| NVDB/공信부 | backdoor code / 안전 백도어 잠재 위험 / 피해 심각 | 컴플라이언스·데이터 외송; 공식 조치 |
| CNBC/Reuters | security backdoor / built-in monitoring | 규제 정성 중립 전달 + 기업 연쇄 |
| The Register | covert code / secret steganography | 기술 풍자 + 미공개 업데이트 책임 |
| Ars Technica | spyware-like tracking / secret tracker | 신뢰 위기 + 정책 분석 |
| Cybernews | "a nothing burger" | 과잉 반응, 반증류 공학 |
| Anthropic | experiment / anti-abuse / anti-distillation | 방어 목적, 악의적 감시 아님 |
커뮤니티 합의: 반증류·반재판매는 업계 공통 관심. 의도는 변호 가능, 방법은 불가 — Unicode 은닉·규칙 난독화·changelog 생략이 벤치마크보다 빠르게 신뢰를 깎습니다.
팩트체크 — 5가지 정렬
ANTHROPIC_BASE_URL만.claude --version 실측 기준.| 유형 | 버전 | 릴리스 | 설명 |
|---|---|---|---|
| 최초 은닉 포함 | v2.1.91 | 2026-04-02 | 탐지 로직 배포 시작 |
| 역공학 검증 | v2.1.193/195/196 | 2026-06 | Khan·Thereallo 확인 |
| 최종 영향판 | v2.1.196 | 2026-06-29 | NVDB 상한 |
| 수정판 | v2.1.197+ | 2026-07-01/02 | 은닉 제거; changelog 미명시 |
| 조건 | 날짜 | 아포스트로피 | Unicode |
|---|---|---|---|
| 기본 | 2026-06-30 |
' ASCII |
U+0027 |
| 중국 연관/재판매 도메인 | 2026-06-30 |
右单引号 | U+2019 |
| AI 랩 키워드(deepseek 등) | 2026-06-30 |
ʼ |
U+02BC |
| 도메인+랩 이중 | 2026-06-30 |
ʹ |
U+02B9 |
| + 중국 시간대 | 2026/06/30 |
(상기 계층) | — |
# 1. 버전 확인 claude --version # 2. 프록시 엔드포인트 확인 echo $ANTHROPIC_BASE_URL # 3. npm 전역 최신 업그레이드 npm install -g @anthropic-ai/claude-code@latest # 4. 내장 업데이트 claude update
완전 제거 시 잔여 경로: macOS/Linux ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows %USERPROFILE%\.claude 등. 기업은 아웃바운드 감사 병행.
claude --version — 2.1.91–2.1.196이면 고위험.echo $ANTHROPIC_BASE_URL — 비공식이면 프록시 이력 점검.~/.claude* 정리.ANTHROPIC_BASE_URL 목록.핵심은 변호 가능한 목적이 변호 불가능한 은닉으로 구현된 것입니다. NVDB 정성, Anthropic experiment, 커뮤니티 steganography — 2026 AI 공급망 리스크의 압축판입니다.
(a) 전면 금지는 hook·MCP 워크플로 중단. (b) 자가 점검 생략은 감사 공백. (c) 개인 브라우저·프로덕션 키 혼용 MacBook의 고권한 Agent는 다음 미공개 행위 시 blast radius 최대화.
업그레이드·base URL·egress 후 병목은 호스트 격리입니다. 분 단위 SSH, 예측 가능 월정액, 최소 권한 Claude Code Agent macOS 노드가 필요하면 MACCOME Mac Mini M4가 현실적입니다. 요금 대여 가격.
재현·문서화·전환 가능할 때까지 회의적으로 접근하십시오. 은닉보다 공개를 요구하고, 각 CLI Agent를 고권한 소프트웨어로 취급하십시오.
면책: NVDB 공고·Anthropic 공개·독립 연구·언론 보도 기반 기술·컴플라이언스 참고용이며 법률·보안 감사 결론이 아닙니다. 조직 정책으로 자체 평가하십시오.
FAQ
Claude Code에 실제 백도어가 있나요?
v2.1.91–2.1.196에 changelog 미공개 은닉 탐지. NVDB 7/8 「안전 백도어 잠재 위험, 피해 심각」. Shihipar는 experiment·v2.1.197 제거. 정확 표현은 은닉 채널입니다.
영향 버전은?
v2.1.91(04-02) ~ v2.1.196(06-29). v2.1.197+ 즉시. 대조표.
공식 api.anthropic.com 사용자도 감시되나요?
아닙니다. 비공식 ANTHROPIC_BASE_URL만. 영향 대상.
버전 확인 방법?
claude --version 또는 npm list -g @anthropic-ai/claude-code. 명령.
제거해야 하나요?
영향판은 업그레이드 우선. 기업은 제거·잔여 정리·egress 감사 추가 가능.
알리바바 금지 이유?
고위험 분류, 7/10부터 Claude Code·Anthropic 금지 → Qoder.
release notes 공개?
없음. 2.1.91–196 미기재, 2.1.197 제거도 미명시.
지금 안전한가요?
v2.1.197+ 제거 완료. 조직 정책에 따름. 격리 macOS는 MACCOME 대여.
증류와의 관계?
반재판매·반증류 목적. Qwen 2.5만 계정·2880만 상호작용. 배경.