Claude Code 백도어 경고(2.1.91–2.1.196): 은닉 기법·영향 버전·개발자 대응 가이드

약 16분 소요 · MACCOME

대상: Claude Code 사용자, 기업 게이트웨이·제3자 프록시 경로의 기술팀, 규제 정성과 컴플라이언스 대응을 평가하는 개발 책임자.2026년 7월 8일 중국 공信부 NVDB가 Anthropic Claude Code v2.1.91–2.1.196안전 백도어 잠재 위험, 피해 심각을 경고했습니다.본문 제공: 전체 타임라인, NVDB 공고 핵심, ANTHROPIC_BASE_URL 트리거 조건 정리, 은닉 3단계 분해, 각 주체 입장·국제 매체 용어 대조, 버전 점검·업그레이드·제거 명령, 개인 6단계+기업 4단계 체크리스트.구성: TL;DR, 6대 쟁점, 기술 메커니즘, 팩트체크, 하드 데이터, FAQ, MACCOME CTA.

bolt

TL;DR — 30초 요약

  • 규제 정성: NVDB(7/8) — 미공개 모니터링 메커니즘, 지역·신원 등 민감 정보 전송 가능. 즉시 점검·제거·업그레이드 권고.
  • 영향 버전: v2.1.91(2026-04-02) ~ v2.1.196(2026-06-29). 수정: v2.1.197+(7/1–2).
  • 핵심 한정: ANTHROPIC_BASE_URLapi.anthropic.com 외 프록시·게이트웨이를 가리킬 때만 활성화.
  • 기업 연쇄: 알리바바 7/10부터 Claude Code·Anthropic 모델 사내 금지 → Qoder 전환.
  • 즉시 실행: claude --version, echo $ANTHROPIC_BASE_URL — 영향 버전은 업그레이드 또는 제거(하단 명령 참조).

6대 쟁점: Reddit 노출부터 공信부 정성까지 신뢰 사슬 단절

2026년 7월 8일 공信부 NVDB가 Anthropic Claude Code를 안전 백도어 잠재 위험, 피해 심각으로 정성했습니다. 중국 규제 기관의 공식 입장입니다. 내러티브는 Anthropic 3월 은닉 탐지 → 4월 버전 배포 → 6월 역공학 노출 → 7월 벤더 롤백 → 알리 금지 → 공信부 정성입니다. Claude Code 은닉 기법 심층 글을 읽었다면 본문은 NVDB 규제 축으로 대응 행동을 연결합니다. 역공학 전 상세는 중복하지 않습니다.

  1. 헤드라인 vs 사실: 「모든 중국 사용자 감시」는 과장입니다. 역공학 합의는 ANTHROPIC_BASE_URL 비공식 엔드포인트 사용자만 해당합니다. 혼동 시 보안팀 신뢰와 의사결정이 흔들립니다.
  2. 약 3개월 무공개: v2.1.91(2026-04-02)부터 약 20개 릴리스 동안 탐지 로직 유지, changelog 미기재. v2.1.197(7/1) 조용히 제거, 제거 공지도 없음.
  3. 텔레메트리가 아닌 은닉: 독립 채널 없이 system prompt 날짜 행·Unicode 아포스트로피 변조. Adnane Khan은 은닉 채널(covert channel)로 정의합니다.
  4. 147개 난독화 규칙: XOR(91)+Base64 이중 난독화. 알리·바이두·바이트·DeepSeek·Moonshot·智譜·MiniMax 등. strings로는 추출 불가, 전체 바이너리 역공학 필요.
  5. 고권한 도구의 은닉 행위: 파일 I/O, Shell, MCP 통합. 미공개 분류 지문은 백도어 리스크로 격상됩니다.
  6. 기업 조치 실화: Reuters·TechCrunch — 알리바바 7/10부터 Sonnet·Opus·Fable 등 Anthropic 제품 사내 금지. 「개인 도구」 분류는 감사 공백을 남깁니다.

한 줄 정의: 대규모 유출 사고가 아니라 미공개 은닉 분류 + 규제 정성 + 대기업 금지의 삼중 겹침입니다. 패닉 금지·무시 금지, 버전·base URL 자가 점검이 우선입니다.

2026 AI 코딩 어시스턴트 비교 매트릭스에 「클라이언트 은닉 행위/규제 사건」 행을 추가하십시오.

전체 타임라인: 2026년 2월 — 7월 10일

  • 2026년 2월: Anthropic, 반모델 증류 기술 투자 공표.
  • 2026년 3월: Claude Code 은닉 탐지 도입, 무공개.
  • 2026-04-02: v2.1.91 — 탐지 코드 배포 시작.
  • 2026-04-02 ~ 06-29: 약 20버전, changelog 미언급.
  • 2026-06-29: v2.1.196 — 영향 구간 최종판.
  • 2026-06-30: Reddit LegitMichel777 대규모 노출; Thereallo(thereallo.dev), Adnane Khan(GitHub) v2.1.193/195/196 검증.
  • 2026-07-01: Thariq Shihipar(X) 공개 인정, 「실험적」 반남용·반증류, 익일 롤백 약속.
  • 2026-07-02: v2.1.197 — 은닉 코드 제거, changelog 미명시.
  • 2026-07-03/04: Reuters·TechCrunch — 알리 7/10부터 Claude Code 금지, Qoder 전환.
  • 2026-07-08: NVDB 공식 경고.
  • 2026-07-10: 알리바바 금지 발효.

NVDB 공고 핵심: 규제 정성

IT之家, 新京报 인용 요약:

  • 위험 성격: 내장 모니터링, 사용자 동의 없이 원격 서버로 민감 정보 전송 가능.
  • 전송 내용: 지역, 신원 식별자 등(은닉 인코딩의 시간대·프록시·랩 신호와 대응).
  • 영향 버전: v2.1.91 ~ v2.1.196(2026-04-02 ~ 06-29).
  • 공식 조치: 개발 단말 전수 점검 → 즉시 제거 또는 최신 안전 버전 업그레이드 → 핵심망 아웃바운드 권한·트래픽 강화.
  • 정성 문구: 「안전 백도어 잠재 위험, 피해 심각」 — Anthropic 「experiment」와 긴장.

실제 영향 대상: ANTHROPIC_BASE_URL이 스위치

가장 오해되는 지점입니다. 전체 사용자 대상이 아닙니다.

트리거(역공학 합의): ANTHROPIC_BASE_URL비공식 엔드포인트(기업 게이트웨이, 제3자 프록시, API 재판매, 자체 reverse proxy)를 가리킴. 기본 api.anthropic.com 사용자는 비활성.

우선 대응: 국내 재판매·집약 게이트웨이 팀; CI/CD·Agent 호스트 커스텀 base URL DevOps; 기업 컴플라이언스 프록시 조직; 2.1.91–2.1.196 미업그레이드 사용자.

상대적 저위험: 공식 API 직결·업그레이드 완료·비기본 base URL 미설정 — npm 전역 설치 드리프트 가능성으로 하단 명령 확인 권장.

기술 메커니즘: 시간대 정찰 + 147규칙 + 은닉 인코딩

3단계: 환경 정찰 → 규칙 매칭 → system prompt 은닉. Unicode 매핑·이벤트 A/B는 은닉 심층 글 참조.

1단계 — 환경 정찰

  1. 시스템 시간대: Asia/Shanghai 또는 Asia/Urumqi
  2. 프록시 도메인 블랙리스트: ANTHROPIC_BASE_URL hostname 대조

독립 재현 합계 147항목: 중국 빅테크 도메인, AI 랩 키워드(DeepSeek·Moonshot·智譜·MiniMax·Baichuan·StepFun·01.AI 등), API 프록시·재판매 게이트웨이. Base64 + XOR(91) 이중 난독화.

2단계 — 은닉: 날짜 구분자 + Unicode 아포스트로피(약 3 bit)

  • 날짜: 중국 시간대 시 2026-06-302026/06/30
  • 아포스트로피: Today's'가 U+0027/U+2019/U+02BC/U+02B9로 전환, 시区·도메인·랩 키워드 조합 인코딩

날짜 1bit + 아포스트로피 3변형 ≈ 3bit가 매 API 요청의 system prompt에 실려 Anthropic 서버로 전달됩니다.

3단계 — 서버 분류(추론)

공개 보도는 서버 소비 방식 미공개. 추정: 미승인 재판매 식별, 증류 파이프라인 마킹, 계정 리스크. 직접 결과는 계정 정지 리스크가 주류이며, 파일 유출 실증은 아닙니다.

일반 텔레메트리와의 경계: 4가지 차이

  1. 채널: 은닉 system prompt 삽입 vs 정규 telemetry SDK
  2. 공개: 약 3개월 changelog 무공개, 제거도 미명시
  3. 타깃: 특정 지역·경쟁사·재판매 도메인 지문 vs 집계 metrics
  4. 권한: 파일 I/O·Shell 동시 보유 — 「보이지 않는 행위」 허용도 낮음

Cybernews 등은 일부 관점을 「a nothing burger」(과잉 반응)로 인용합니다. 본문은 다층 서술을 유지합니다.

각 주체 입장: NVDB, Anthropic, 알리바바

공信부/NVDB

안전 백도어 잠재 위험, 피해 심각. 동의 없는 지역·신원 전송. 전수 점검·제거/업그레이드·아웃바운드 강화 권고.

Anthropic/Thariq Shihipar(X 원문)

format_quote

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

「experiment」≠「backdoor」. 반재판매·반증류. Qwen 팀 2.5만 사기 계정·2880만 상호작용 주장 — Anthropic H라운드·IPO 배경.

알리바바(2026-07-10 발효)

SCMP·Ars Technica 인용: "As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 범위: Claude Code·Sonnet·Opus·Fable 등. 대안: Qoder.

국제 매체 용어 대조

출처 핵심 용어 서술 초점
NVDB/공信부 backdoor code / 안전 백도어 잠재 위험 / 피해 심각 컴플라이언스·데이터 외송; 공식 조치
CNBC/Reuters security backdoor / built-in monitoring 규제 정성 중립 전달 + 기업 연쇄
The Register covert code / secret steganography 기술 풍자 + 미공개 업데이트 책임
Ars Technica spyware-like tracking / secret tracker 신뢰 위기 + 정책 분석
Cybernews "a nothing burger" 과잉 반응, 반증류 공학
Anthropic experiment / anti-abuse / anti-distillation 방어 목적, 악의적 감시 아님

배경: 2026 미·중 AI 증류 경쟁

  • Anthropic, 중국·「적대 지역」 직접 접근 장기 금지 — VPN·해외 결제·프록시로 우회 가능
  • 2026년 2월 北大·중과원 논문 — 주류 중국 LLM에 해외 모델 증류 흔적
  • Anthropic, DeepSeek·Moonshot·MiniMax·알리 등 무단 Claude 출력 학습 주장; Qwen 2.5만 계정·2880만 상호작용
  • Claude Opus 4.8 「자신이 Qwen/DeepSeek」 오인 — 이중 기준 논쟁
  • 중국 기업 자체·오픈소스 전환(DeepSeek·Qwen·Kimi·智譜·MiniMax); 알리 Qoder는 코딩 도구층 구현

커뮤니티 합의: 반증류·반재판매는 업계 공통 관심. 의도는 변호 가능, 방법은 불가 — Unicode 은닉·규칙 난독화·changelog 생략이 벤치마크보다 빠르게 신뢰를 깎습니다.

fact_check

팩트체크 — 5가지 정렬

  • 전원 감시 아님: 비공식 ANTHROPIC_BASE_URL만.
  • 수정판: 다수 v2.1.197(7/1), 일부 v2.1.198 — 「2.1.197+」통일.
  • 「백도어」= 규제 정성: 기술권은 은닉 탐지/covert channel; Anthropic은 experiment.
  • 직접 결과=계정 리스크: 유출 실증 없음 — 미공개 모니터링·컴플라이언스에 집중.
  • 날짜 미세차: v2.1.196 6/29 vs 6/30 — claude --version 실측 기준.

버전 대조표

유형 버전 릴리스 설명
최초 은닉 포함 v2.1.91 2026-04-02 탐지 로직 배포 시작
역공학 검증 v2.1.193/195/196 2026-06 Khan·Thereallo 확인
최종 영향판 v2.1.196 2026-06-29 NVDB 상한
수정판 v2.1.197+ 2026-07-01/02 은닉 제거; changelog 미명시

Unicode 아포스트로피 매핑(3 bit)

조건 날짜 아포스트로피 Unicode
기본 2026-06-30 ' ASCII U+0027
중국 연관/재판매 도메인 2026-06-30 右单引号 U+2019
AI 랩 키워드(deepseek 등) 2026-06-30 ʼ U+02BC
도메인+랩 이중 2026-06-30 ʹ U+02B9
+ 중국 시간대 2026/06/30 (상기 계층)

자가 점검 명령

bash
# 1. 버전 확인
claude --version

# 2. 프록시 엔드포인트 확인
echo $ANTHROPIC_BASE_URL

# 3. npm 전역 최신 업그레이드
npm install -g @anthropic-ai/claude-code@latest

# 4. 내장 업데이트
claude update

완전 제거 시 잔여 경로: macOS/Linux ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows %USERPROFILE%\.claude 등. 기업은 아웃바운드 감사 병행.

개인 6단계 + 기업 4단계 체크리스트

개인(6)

  1. claude --version2.1.91–2.1.196이면 고위험.
  2. echo $ANTHROPIC_BASE_URL — 비공식이면 프록시 이력 점검.
  3. 즉시 v2.1.197+ 업그레이드.
  4. 선택: npm 제거 + ~/.claude* 정리.
  5. 선택: 프록시 경로 prompt 샘플링 — 은닉 심층.
  6. 도구체인 의사결정 갱신 — 격리 호스트 검토.

기업 IT/보안(4)

  1. 자산 전수: Claude Code 버전 + ANTHROPIC_BASE_URL 목록.
  2. 2.1.91–2.1.196 강제 2.1.197+ 또는 NVDB 권고 제거; MDM 고정.
  3. egress 로그·147규칙 재판매 도메인 대조(위협 인텔 연동).
  4. 벤더·대안 검토 — 비교 매트릭스에 규제/은닉 축 추가.

보안 브리핑 하드 데이터 3종

  • 147규칙 Base64+XOR(91), v2.1.193/195/196 존재, v2.1.197(7/1) 제거.
  • HN 350+ upvote, 100+ 댓글(2026-06-30) — 공급망급 관심.
  • 알리 금지 2026-07-10 — Claude Code·Anthropic 전면, 실질 공급망 조치.

결론: 로컬 노트북 한계 vs 격리 Agent 호스트

핵심은 변호 가능한 목적이 변호 불가능한 은닉으로 구현된 것입니다. NVDB 정성, Anthropic experiment, 커뮤니티 steganography — 2026 AI 공급망 리스크의 압축판입니다.

(a) 전면 금지는 hook·MCP 워크플로 중단. (b) 자가 점검 생략은 감사 공백. (c) 개인 브라우저·프로덕션 키 혼용 MacBook의 고권한 Agent는 다음 미공개 행위 시 blast radius 최대화.

업그레이드·base URL·egress 후 병목은 호스트 격리입니다. 분 단위 SSH, 예측 가능 월정액, 최소 권한 Claude Code Agent macOS 노드가 필요하면 MACCOME Mac Mini M4가 현실적입니다. 요금 대여 가격.

재현·문서화·전환 가능할 때까지 회의적으로 접근하십시오. 은닉보다 공개를 요구하고, 각 CLI Agent를 고권한 소프트웨어로 취급하십시오.

출처

gavel

면책: NVDB 공고·Anthropic 공개·독립 연구·언론 보도 기반 기술·컴플라이언스 참고용이며 법률·보안 감사 결론이 아닙니다. 조직 정책으로 자체 평가하십시오.

FAQ

Claude Code에 실제 백도어가 있나요?

v2.1.91–2.1.196에 changelog 미공개 은닉 탐지. NVDB 7/8 「안전 백도어 잠재 위험, 피해 심각」. Shihipar는 experiment·v2.1.197 제거. 정확 표현은 은닉 채널입니다.

영향 버전은?

v2.1.91(04-02) ~ v2.1.196(06-29). v2.1.197+ 즉시. 대조표.

공식 api.anthropic.com 사용자도 감시되나요?

아닙니다. 비공식 ANTHROPIC_BASE_URL만. 영향 대상.

버전 확인 방법?

claude --version 또는 npm list -g @anthropic-ai/claude-code. 명령.

제거해야 하나요?

영향판은 업그레이드 우선. 기업은 제거·잔여 정리·egress 감사 추가 가능.

어떤 은닉 기법?

Today's date is... 변조, U+0027/2019/02BC/02B9. 매핑, 심층.

알리바바 금지 이유?

고위험 분류, 7/10부터 Claude Code·Anthropic 금지 → Qoder.

release notes 공개?

없음. 2.1.91–196 미기재, 2.1.197 제거도 미명시.

지금 안전한가요?

v2.1.197+ 제거 완료. 조직 정책에 따름. 격리 macOS는 MACCOME 대여.

증류와의 관계?

반재판매·반증류 목적. Qwen 2.5만 계정·2880만 상호작용. 배경.