適用讀者:正在使用 Claude Code 的開發者、經企業閘道或第三方代理連線的技術團隊,以及需評估監管定性與合規處置的研發主管。2026 年 7 月 8 日,工信部網路安全威脅和漏洞資訊共享平台(NVDB)警示 Anthropic Claude Code v2.1.91–2.1.196 存在安全後門隱患,危害嚴重。本文提供:完整時間軸、NVDB 公告要點、ANTHROPIC_BASE_URL 觸發條件釐清、隱寫術三步拆解、各方表態與國際媒體用詞對照、版本自查/升級/卸載指令,以及個人六步與企業四步檢核表。結構:TL;DR、六大痛點、技術機制、事實核查、硬資料、FAQ 與收束轉化。
TL;DR — 30 秒結論
ANTHROPIC_BASE_URL 指向非 api.anthropic.com 的代理/閘道時啟動。claude --version 與 echo $ANTHROPIC_BASE_URL,受影響版本請升級或卸載(見下文指令區塊)。2026 年 7 月 8 日,工信部 NVDB 發布風險提示,將 Anthropic Claude Code 定性為存在安全後門隱患,危害嚴重——這是中國監管機構首次對此事件給出正式口徑。表面是一則監管新聞,背後卻是一條完整敘事鏈:Anthropic 3 月上線隱蔽偵測 → 4 月起隨版本分發 → 6 月開發者逆向曝光 → 7 月廠商回滾 → 阿里禁用 → 工信部定性。若你已在站內讀過Claude Code 隱寫術技術深度文,本篇以 NVDB 監管主線串聯處置動作;兩篇互補,不重複全部逆向細節。
ANTHROPIC_BASE_URL 走非官方端點的使用者才會觸發。混淆這一點會損害資安團隊可信度,也會讓直連官方 API 的開發者做出錯誤決策。strings 掃描無法直接擷取——必須完整逆向二進位檔。一句話定義:這不是已證實的大規模資料外洩事故,而是未披露的隱蔽使用者分類機制 + 監管正式定性 + 頭部企業禁用的三線疊加——開發者應優先做版本與 base URL 自查,而非恐慌式全面封禁或忽視風險。
若你正在2026 AI 程式設計助手決策矩陣中評估 Claude 與 Cursor、Copilot,請為表格新增「用戶端隱蔽行為/監管事件」一列——功能 benchmark 無法反映代理路徑上的 system prompt 竄改。
下列時間軸彙整公開報導與逆向一手來源,便於資安簡報與合規存檔引用。
ANTHROPIC_BASE_URL 才是開關這是全文最易被誤解、也最必須講清楚的一點:隱蔽機制不是對所有 Claude Code 使用者生效。
觸發條件(據多方逆向一致):使用者設定了環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點——常見情境包括企業 API 閘道、第三方代理、API 中轉/轉售服務、自建 reverse proxy。使用預設 api.anthropic.com 的一般訂閱開發者不會啟動這條偵測路徑。
誰應優先行動:
誰風險相對較低:直連官方 API、版本已升級、且未設定非預設 ANTHROPIC_BASE_URL 的開發者——但仍建議執行下文自查指令確認,因 npm 全域安裝可能存在版本漂移。
機制分三步:環境偵察 → 規則比對 → system prompt 隱寫。更完整的 Unicode 對應與事件 A/B 拆分見站內隱寫術深度文。
觸發條件成立後,程式碼執行兩類判斷:
Asia/Shanghai 或 Asia/UrumqiANTHROPIC_BASE_URL 的 hostname 與內建清單比對黑名單據 LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等獨立復現共 147 個條目,涵蓋中國大型科技公司網域(阿里、支付寶、螞蟻、百度、字節等)、中國 AI 實驗室關鍵字(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/轉售閘道。清單以 Base64 編碼 + XOR 金鑰 91 雙重混淆儲存,規避標準字串搜尋。
爭議核心在於:沒有走獨立 telemetry 通道,而是竄改傳給模型的 system prompt 中看似無害的 Today's date is... 一列:
2026-06-30(連字號)變為 2026/06/30(斜線)Today's 中的標準撇號 ' 被替換為視覺幾乎無法分辨、Unicode 碼點不同的字元,編碼「時區命中/網域命中/AI 實驗室關鍵字命中」等組合即:1 個日期格式位 + 3 種撇號變體 ≈ 3 bit 環境資訊,藏在一句正常英文句子裡,隨每次 API 請求傳送給 Anthropic 伺服器端解析。
公開報導未披露 Anthropic 伺服器端如何消費這些訊號;社群推斷用途包括:識別未授權轉售商、標記疑似蒸餾管道、觸發帳號風控。直接後果更常討論的是帳號封禁風險,而非已證實的使用者檔案外洩——行文應避免渲染為「資料外洩醜聞」,聚焦未披露監控與合規風險本身。
Claude Code 確有大量已知常規資料收集(事件日誌、Datadog、OpenTelemetry 等),同類 CLI/IDE Agent 中並不罕見,且通常在隱私政策中有籠統披露。本次爭議不在於「收集資料」本身,而在於:
若不區分這四點,資深開發者會在留言區反駁「這就是普通 telemetry,小題大做」——損害內容權威性。Cybernews 等技術媒體亦引用部分社群觀點稱其為 「a nothing burger」(反應過度),認為實質是反蒸餾工程手段;本文呈現多方措辭,供讀者自行權衡。
定性:安全後門隱患,危害嚴重。描述內建監控機制未經使用者同意回傳地域與身分識別;建議全面排查開發終端機、卸載或升級、加強外聯管控與流量監測。
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」;強調反帳號轉售濫用、反模型蒸餾;團隊本已計劃下線。補充背景:Anthropic 曾致信美國參議院銀行委員會,指控阿里巴巴 Qwen 團隊使用近 2.5 萬欺詐帳號、產生 2880 萬次互動試圖竊取 Claude 能力——理解其「蒸餾焦慮」的關鍵語境。詳見Anthropic H 輪與 IPO 背景文。
據 SCMP、Ars Technica 引述內部通知措辭:"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 範圍:Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等);替代方案:內部程式設計平台 Qoder。
中英文敘事側重不同——中文可主用 NVDB「後門」口徑;理解英文報導有助於跨境團隊對齊風險溝通語言。
| 來源 | 關鍵定性用詞 | 敘事側重 |
|---|---|---|
| NVDB/工信部 | backdoor code/安全後門隱患/危害嚴重 | 合規與資料外傳風險;官方處置指令 |
| CNBC/Reuters | security backdoor/built-in monitoring mechanism | 中立轉述監管定性 + 企業連鎖反應 |
| The Register | covert code/secret steganography system | 技術揶揄 + 未披露更新的問責 |
| Ars Technica | spyware-like tracking/secret Claude tracker | 信任危機 + 政策分析 |
| Cybernews | "a nothing burger"(部分技術圈觀點) | 認為反應過度,實質是反蒸餾工程手段 |
| Anthropic 官方 | experiment/anti-abuse/anti-distillation measure | 強調正當防禦目的,非惡意監控 |
本次事件不是孤立監管動作,而是 2026 年中美 AI 競爭的一個縮影:
社群共識:反蒸餾與反轉售是產業共性關切;意圖或可辯護,方法不可——在 Unicode 標點中隱藏分類、混淆規則清單、移除時不寫 changelog,比任何模型 benchmark 更快地侵蝕開發者工具信任。
事實核查 — 寫作與決策前請對齊五點
ANTHROPIC_BASE_URL 非官方端點使用者觸發;標題黨式「監控所有使用者」不準確。claude --version 實測為準。| 類型 | 版本號 | 發布日期 | 說明 |
|---|---|---|---|
| 首個含隱蔽機制 | v2.1.91 | 2026-04-02 | 偵測邏輯開始隨版本分發 |
| 逆向驗證版本 | v2.1.193 / 2.1.195 / 2.1.196 | 2026-06 月 | Adnane Khan、Thereallo 等確認含邏輯 |
| 最後受影響版本 | v2.1.196 | 2026-06-29 | NVDB 警示區間上限 |
| 修復版本 | v2.1.197+ | 2026-07-01/02 | 移除隱寫程式碼;changelog 未明確提及 |
| 條件 | 日期格式 | 撇號 | Unicode |
|---|---|---|---|
| 預設(無網域或實驗室匹配) | 2026-06-30 |
' ASCII 撇號 |
U+0027 |
| 中國關聯機構/轉售網域匹配 | 2026-06-30 |
' 右單引號 |
U+2019 |
| AI 實驗室關鍵字匹配(deepseek、moonshot、zhipu 等) | 2026-06-30 |
ʼ 修飾字母撇號 |
U+02BC |
| 網域與實驗室關鍵字雙重匹配 | 2026-06-30 |
ʹ 修飾字母 prime |
U+02B9 |
+ 中國時區(Asia/Shanghai/Asia/Urumqi) |
2026/06/30(斜線) |
(按上述匹配層級) | — |
下列指令適用於 macOS/Linux 開發終端機;Windows 使用者請將路徑變數替換為 %USERPROFILE% 對等項。
# 1. 檢查目前 Claude Code 版本 claude --version # 2. 檢查是否設定了觸發隱寫機制的代理端點 echo $ANTHROPIC_BASE_URL # 3. npm 全域安裝方式升級到最新版 npm install -g @anthropic-ai/claude-code@latest # 4. 或使用 Claude Code 內建更新指令 claude update
徹底卸載需清理的殘留路徑:
~/.claude、~/.claude.json、~/.cache/claude-code、~/.config/claude-code%USERPROFILE%\.claude、%USERPROFILE%\.claude.json 及相關本機快取目錄企業情境:卸載不是終點,還應對開發終端機做出站流量稽核,排查是否存在對非授權 AI 服務端點的持續外聯。
claude --version。若輸出落在 2.1.91–2.1.196,標記為高風險,進入步驟 2。echo $ANTHROPIC_BASE_URL(Windows:echo %ANTHROPIC_BASE_URL%)。非空且非 api.anthropic.com 表示曾走代理路徑——即使已升級,也應回顧歷史使用窗口。npm install -g @anthropic-ai/claude-code@latest 或 claude update,目標 v2.1.197 或更新。~/.claude* 殘留目錄。ANTHROPIC_BASE_URL 環境變數設定清單。Claude Code 後門/隱寫爭議的核心,是可辯護目標透過不可辯護隱瞞手段實現——NVDB 給出監管定性,Anthropic 給出 experiment 敘事,開發者社群給出 steganography 技術標籤。三方措辭張力本身,就是 2026 年 AI 工具供應鏈風險的縮影。
顯而易見替代方案的侷限同樣清晰:(a)全面恐慌式封禁 Claude Code 會打斷已標準化 hook 與 MCP 工作流的團隊;(b)忽視版本與 base URL 自查會在合規稽核時暴露缺口;(c)在與個人瀏覽器、生產 API 金鑰、郵件帳戶混用的 MacBook 上長期執行高權限 Agent,會在下一次未披露用戶端行為曝光時最大化爆炸半徑。
完成版本升級、base URL 策略與出站稽核後,下一瓶頸通常是主機隔離——而非再開一帖爭論 U+02B9 算不算間諜軟體。本機開發機適合實驗,但不適合作為唯一的高權限 Agent 生產面:合蓋休眠、系統更新彈窗、混用個人 Chrome 設定與 Native Messaging 清單(參見隱寫術文事件 A)都會放大不可預測性。
若你需要分鐘級 SSH、可預期月費、以及 Claude Code Agent 以最小權限遠離日常瀏覽器與生產金鑰混用環境的 macOS 節點,MACCOME 專用 Mac Mini M4 雲主機通常是更優解:真實 Apple Silicon、launchd 友善 uptime、獨立時區與 base URL 策略、與長期 Agent 程序相容的分段網路。區域與記憶體對比見Mac Mini 雲端租賃價格頁;維運問題見雲 Mac 協助中心。
預設持懷疑態度,直至行為可復現、有文件、可切換。要求透明披露而非隱寫。並將每個 CLI Agent 視為高權限軟體——因為廠商會在你控制的邊界之外,反覆在你的機器上「學習」這一課,直到你把 Agent 移到你所能控制的邊界裡。
免責聲明:本文基於工業和信息化部 NVDB 公告、Anthropic 公開聲明、獨立資安研究及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或資安稽核結論。請在採取卸載、封禁或流量管控措施前,結合本機構資安政策自行評估。第三方逆向結論視為可復現假設,直至在自有建置上獨立驗證。
常見問題
Claude Code 真的有後門嗎?
在 v2.1.91–2.1.196 中,Anthropic 內建了未在 changelog 披露的隱寫偵測邏輯。工信部 NVDB 於 2026 年 7 月 8 日將其定性為「安全後門隱患,危害嚴重」;Anthropic 工程師 Thariq Shihipar 則稱其為 3 月上線的「實驗性」反濫用/反蒸餾措施,並已在 v2.1.197 移除。技術圈更精確的說法是隱蔽通道,而非經典鍵盤側錄類後門。
哪些 Claude Code 版本受影響?
v2.1.91(2026-04-02)至 v2.1.196(2026-06-29)。請立即升級至 v2.1.197 或更新。完整對照見上文版本對照表。
使用官方 api.anthropic.com 的一般使用者會被監控嗎?
不會。據多方逆向,機制僅在 ANTHROPIC_BASE_URL 指向非官方代理/閘道時啟動。直連預設端點的 CLI 使用者不受 Unicode 撇號編碼影響。詳見誰會真正受影響。
如何檢查目前 Claude Code 版本?
終端機執行 claude --version,或 npm list -g @anthropic-ai/claude-code。若落在 2.1.91–2.1.196,請按自查指令升級。
我應該卸載 Claude Code 嗎?
受影響版本應優先升級至 2.1.197+。有合規要求的企業可額外卸載並清理 ~/.claude* 殘留、稽核出站流量。直連官方 API 且已升級的使用者風險顯著低於走代理的開發者。
Claude Code 用了什麼隱寫術?
竄改 system prompt 的 Today's date is... 列:中國時區時日期分隔符由 - 變 /;撇號在 U+0027/U+2019/U+02BC/U+02B9 間切換,編碼約 3 bit 訊號。對照表見Unicode 對照;深度拆解見隱寫術專文。
阿里巴巴為何禁用 Claude Code?
據 Reuters、TechCrunch,阿里將 Claude Code 列為高風險軟體,2026 年 7 月 10 日起內部禁用 Claude Code 及 Anthropic 模型產品,轉向內部平台 Qoder——與 NVDB 7 月 8 日定性形成企業側連鎖。
Anthropic 在 release notes 裡披露過這項機制嗎?
沒有。2.1.91–2.1.196 區間 changelog 均未提及;v2.1.197 移除時同樣未明確公告——這是信任事件的核心之一。
現在的 Claude Code 安全嗎?
Anthropic 已在 v2.1.197+ 移除相關程式碼。是否繼續使用取決於組織風險容忍度。企業建議結合版本鎖定、base URL 白名單與 egress 稽核;需要隔離 macOS Agent 環境時可了解MACCOME Mac Mini 雲端租賃方案。
模型蒸餾與本次事件有何關係?
Anthropic 稱機制針對未授權轉售與蒸餾;曾指控阿里 Qwen 團隊約 2.5 萬欺詐帳號、2880 萬次互動。社群認為目標或可理解,但隱寫交付方式未能通過透明度測試。背景見Anthropic 融資與競爭語境。