工信部警示 Claude Code 存在後門風險(2.1.91–2.1.196):技術解析與開發者處置指南

約 16 分鐘閱讀 · MACCOME

適用讀者:正在使用 Claude Code 的開發者、經企業閘道或第三方代理連線的技術團隊,以及需評估監管定性與合規處置的研發主管。2026 年 7 月 8 日,工信部網路安全威脅和漏洞資訊共享平台(NVDB)警示 Anthropic Claude Code v2.1.91–2.1.196 存在安全後門隱患,危害嚴重本文提供:完整時間軸、NVDB 公告要點、ANTHROPIC_BASE_URL 觸發條件釐清、隱寫術三步拆解、各方表態與國際媒體用詞對照、版本自查/升級/卸載指令,以及個人六步與企業四步檢核表。結構:TL;DR、六大痛點、技術機制、事實核查、硬資料、FAQ 與收束轉化。

bolt

TL;DR — 30 秒結論

  • 監管定性:NVDB 於 7 月 8 日警示 Claude Code 內建未披露監控機制,可回傳地域與身分識別等敏感資訊;建議立即排查、卸載或升級。
  • 受影響版本:v2.1.91(2026-04-02)至 v2.1.196(2026-06-29);修復版為 v2.1.197+(7 月 1–2 日發布)。
  • 關鍵限定:機制並非對所有使用者生效——僅當 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 的代理/閘道時啟動。
  • 企業連鎖:阿里巴巴 7 月 10 日起內部禁用 Claude Code 及 Anthropic 模型,轉向 Qoder
  • 立即行動:執行 claude --versionecho $ANTHROPIC_BASE_URL,受影響版本請升級或卸載(見下文指令區塊)。

六大痛點:從 Reddit 曝光到工信部定性的信任鏈斷裂

2026 年 7 月 8 日,工信部 NVDB 發布風險提示,將 Anthropic Claude Code 定性為存在安全後門隱患,危害嚴重——這是中國監管機構首次對此事件給出正式口徑。表面是一則監管新聞,背後卻是一條完整敘事鏈:Anthropic 3 月上線隱蔽偵測 → 4 月起隨版本分發 → 6 月開發者逆向曝光 → 7 月廠商回滾 → 阿里禁用 → 工信部定性。若你已在站內讀過Claude Code 隱寫術技術深度文,本篇以 NVDB 監管主線串聯處置動作;兩篇互補,不重複全部逆向細節。

  1. 標題黨 vs 技術事實:大量中文自媒體寫成「Claude Code 監控所有中國使用者」,但逆向共識是:只有設定 ANTHROPIC_BASE_URL 走非官方端點的使用者才會觸發。混淆這一點會損害資安團隊可信度,也會讓直連官方 API 的開發者做出錯誤決策。
  2. 近 3 個月零披露:偵測邏輯自 2026 年 4 月 2 日 v2.1.91 起隨版本分發,中間近 20 個迭代版本持續存在,從未寫入任何 changelog。7 月 1 日 v2.1.197 靜默移除,移除本身也未明確公告——「信任但驗證」的升級策略在此失效。
  3. 隱寫而非遙測:機制不走獨立上報通道,而是竄改 system prompt 中的日期列與 Unicode 撇號——肉眼可讀,碼點層面機器可讀。資安研究員 Adnane Khan 將其定義為嵌入系統提示詞中的隱蔽通道(covert channel),而非文件化的 usage telemetry。
  4. 147 條混淆規則:網域與 AI 實驗室關鍵字清單以 XOR(91) + Base64 雙重混淆,涵蓋阿里、百度、字節及 DeepSeek、Moonshot、智譜、MiniMax 等條目,標準 strings 掃描無法直接擷取——必須完整逆向二進位檔。
  5. 高權限工具上的隱蔽行為:Claude Code 擁有檔案讀寫、Shell 執行、MCP 整合等高權限。使用者對「看不見的行為」容忍度理應低於唯讀 IDE 外掛;在未披露情況下嵌入分類指紋,合規與供應鏈評審都會將其升格為後門風險而非「一般資料收集」。
  6. 企業連鎖反應已落地:路透社、TechCrunch 報導阿里巴巴 7 月 10 日起內部禁用 Claude Code 及 Sonnet/Opus/Fable 等 Anthropic 產品。研發主管若仍按「個人開發者工具」分類管理,可能在禁令生效後遭遇突擊稽核缺口。

一句話定義:這不是已證實的大規模資料外洩事故,而是未披露的隱蔽使用者分類機制 + 監管正式定性 + 頭部企業禁用的三線疊加——開發者應優先做版本與 base URL 自查,而非恐慌式全面封禁或忽視風險。

若你正在2026 AI 程式設計助手決策矩陣中評估 Claude 與 Cursor、Copilot,請為表格新增「用戶端隱蔽行為/監管事件」一列——功能 benchmark 無法反映代理路徑上的 system prompt 竄改。

完整時間軸:2026 年 2 月 — 7 月 10 日

下列時間軸彙整公開報導與逆向一手來源,便於資安簡報與合規存檔引用。

  • 2026 年 2 月:Anthropic 公開表示正投資反模型蒸餾技術(分類器、行為指紋、情報共享等)。
  • 2026 年 3 月:Claude Code 內部悄然上線隱蔽偵測機制,無公開披露
  • 2026-04-02:Claude Code v2.1.91 發布,隱蔽偵測程式碼隨版本開始分發。
  • 2026-04-02 至 06-29:中間近 20 個版本迭代,偵測邏輯持續存在,changelog 未提及。
  • 2026-06-29:v2.1.196 發布——受影響區間的最後一個版本。
  • 2026-06-30:Reddit 使用者 LegitMichel777 發文《Anthropic embedded spyware in Claude Code – and attempted to hide it from you》,首次大規模曝光隱寫偵測邏輯。
  • 2026-06-30:開發者 Thereallothereallo.dev 發布技術分析;資安研究員 Adnane Khan 在 GitHub 發布逆向報告,驗證 v2.1.193/2.1.195/2.1.196 均含該邏輯。
  • 2026-07-01:Anthropic 工程師 Thariq Shihipar 在 X 平台公開承認,稱為 3 月上線的「實驗性」反濫用/反蒸餾機制,承諾次日版本回滾。
  • 2026-07-02:Claude Code v2.1.197(部分口徑稱 v2.1.198)發布,移除隱寫偵測程式碼,changelog 未明確提及此項變更。
  • 2026-07-03/04:路透社、TechCrunch 報導:阿里巴巴內部通知,7 月 10 日起全員禁止使用 Claude Code 及 Anthropic 相關模型,轉用內部工具 Qoder
  • 2026-07-08:工信部 NVDB 正式發布風險提示,定性為「安全後門隱患,危害嚴重」。
  • 2026-07-10:阿里巴巴內部禁令正式生效

NVDB 公告要點:監管如何定性

IT之家新京報等轉述,NVDB 公告核心要點如下:

  • 隱患性質:內建監控機制,未經使用者同意可向遠端伺服器回傳敏感資訊。
  • 回傳內容:使用者地域身分識別等敏感資訊(與隱寫編碼的時區/代理/實驗室訊號在敘事上對應)。
  • 受影響版本:v2.1.91 至 v2.1.196(版本發布區間:2026 年 4 月 2 日至 6 月 29 日)。
  • 官方處置建議:全面排查開發終端機 → 立即卸載受影響版本或升級至最新安全版本 → 加強核心業務網段外聯權限管控與流量監測
  • 定性用語:「安全後門隱患,危害嚴重」——這是中文監管口徑,與 Anthropic「實驗(experiment)」敘事形成張力。

誰會真正受影響:ANTHROPIC_BASE_URL 才是開關

這是全文最易被誤解、也最必須講清楚的一點:隱蔽機制不是對所有 Claude Code 使用者生效

觸發條件(據多方逆向一致):使用者設定了環境變數 ANTHROPIC_BASE_URL,將 API 請求指向非官方端點——常見情境包括企業 API 閘道、第三方代理、API 中轉/轉售服務、自建 reverse proxy。使用預設 api.anthropic.com 的一般訂閱開發者不會啟動這條偵測路徑。

誰應優先行動:

  • 透過國內轉售商/聚合閘道執行 Claude Code 的團隊
  • 在 CI/CD 或 Agent 主機上設定了自訂 base URL 的 DevOps
  • 使用企業合規代理統一出站的研發組織(即使代理本身合規,用戶端仍可能嵌入指紋)
  • 版本落在 2.1.91–2.1.196 且尚未升級至 2.1.197+ 的任何上述使用者

誰風險相對較低:直連官方 API、版本已升級、且未設定非預設 ANTHROPIC_BASE_URL 的開發者——但仍建議執行下文自查指令確認,因 npm 全域安裝可能存在版本漂移。

技術機制:時區偵察 + 147 條規則 + 隱寫編碼

機制分三步:環境偵察 → 規則比對 → system prompt 隱寫。更完整的 Unicode 對應與事件 A/B 拆分見站內隱寫術深度文

步驟 1 — 環境偵察

觸發條件成立後,程式碼執行兩類判斷:

  1. 系統時區偵測:是否為 Asia/ShanghaiAsia/Urumqi
  2. 代理網域黑名單比對:ANTHROPIC_BASE_URL 的 hostname 與內建清單比對

黑名單據 LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等獨立復現共 147 個條目,涵蓋中國大型科技公司網域(阿里、支付寶、螞蟻、百度、字節等)、中國 AI 實驗室關鍵字(DeepSeek、Moonshot、智譜、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/轉售閘道。清單以 Base64 編碼 + XOR 金鑰 91 雙重混淆儲存,規避標準字串搜尋。

步驟 2 — 隱寫編碼:日期分隔符 + Unicode 撇號(約 3 bit)

爭議核心在於:沒有走獨立 telemetry 通道,而是竄改傳給模型的 system prompt 中看似無害的 Today's date is... 一列:

  • 日期分隔符(1 bit 級訊號):命中中國時區時,日期由 2026-06-30(連字號)變為 2026/06/30(斜線)
  • Unicode 撇號(3 種變體編碼布林旗標):Today's 中的標準撇號 ' 被替換為視覺幾乎無法分辨、Unicode 碼點不同的字元,編碼「時區命中/網域命中/AI 實驗室關鍵字命中」等組合

即:1 個日期格式位 + 3 種撇號變體 ≈ 3 bit 環境資訊,藏在一句正常英文句子裡,隨每次 API 請求傳送給 Anthropic 伺服器端解析。

步驟 3 — 伺服器端分類(推斷)

公開報導未披露 Anthropic 伺服器端如何消費這些訊號;社群推斷用途包括:識別未授權轉售商、標記疑似蒸餾管道、觸發帳號風控。直接後果更常討論的是帳號封禁風險,而非已證實的使用者檔案外洩——行文應避免渲染為「資料外洩醜聞」,聚焦未披露監控與合規風險本身。

與正常遙測的邊界:四個關鍵差異

Claude Code 確有大量已知常規資料收集(事件日誌、Datadog、OpenTelemetry 等),同類 CLI/IDE Agent 中並不罕見,且通常在隱私政策中有籠統披露。本次爭議不在於「收集資料」本身,而在於:

  1. 通道:使用隱寫術嵌入 system prompt,而非正規、可被使用者發現或關閉的 telemetry SDK 通道
  2. 披露:近 3 個月零 changelog 披露,移除時同樣未明確公告
  3. targeting:專門針對特定地域訊號與特定商業競爭對手/轉售網域做指紋識別,而非聚合 usage metrics
  4. 權限語境:工具同時擁有檔案系統讀寫與 Shell 執行等高權限——使用者對「看不見的行為」容忍度理應更低

若不區分這四點,資深開發者會在留言區反駁「這就是普通 telemetry,小題大做」——損害內容權威性。Cybernews 等技術媒體亦引用部分社群觀點稱其為 「a nothing burger」(反應過度),認為實質是反蒸餾工程手段;本文呈現多方措辭,供讀者自行權衡。

各方表態:NVDB、Anthropic 與阿里巴巴

工信部/NVDB

定性:安全後門隱患,危害嚴重。描述內建監控機制未經使用者同意回傳地域與身分識別;建議全面排查開發終端機、卸載或升級、加強外聯管控與流量監測。

Anthropic/Thariq Shihipar(Claude Code 工程師,X 平台原話)

format_quote

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻譯要點:定性為「實驗(experiment)」而非「後門(backdoor)」;強調反帳號轉售濫用、反模型蒸餾;團隊本已計劃下線。補充背景:Anthropic 曾致信美國參議院銀行委員會,指控阿里巴巴 Qwen 團隊使用近 2.5 萬欺詐帳號、產生 2880 萬次互動試圖竊取 Claude 能力——理解其「蒸餾焦慮」的關鍵語境。詳見Anthropic H 輪與 IPO 背景文

阿里巴巴(2026 年 7 月 10 日生效)

據 SCMP、Ars Technica 引述內部通知措辭:"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 範圍:Claude Code 及 Anthropic 相關模型產品(Sonnet、Opus、Fable 等);替代方案:內部程式設計平台 Qoder

國際媒體用詞對照:backdoor vs experiment vs steganography

中英文敘事側重不同——中文可主用 NVDB「後門」口徑;理解英文報導有助於跨境團隊對齊風險溝通語言。

來源 關鍵定性用詞 敘事側重
NVDB/工信部 backdoor code/安全後門隱患/危害嚴重 合規與資料外傳風險;官方處置指令
CNBC/Reuters security backdoor/built-in monitoring mechanism 中立轉述監管定性 + 企業連鎖反應
The Register covert code/secret steganography system 技術揶揄 + 未披露更新的問責
Ars Technica spyware-like tracking/secret Claude tracker 信任危機 + 政策分析
Cybernews "a nothing burger"(部分技術圈觀點) 認為反應過度,實質是反蒸餾工程手段
Anthropic 官方 experiment/anti-abuse/anti-distillation measure 強調正當防禦目的,非惡意監控

背景延伸:2026 中美 AI 蒸餾戰

本次事件不是孤立監管動作,而是 2026 年中美 AI 競爭的一個縮影:

  • Anthropic 長期禁止中國及「敵對地區」使用者直接存取其模型,但使用者可透過 VPN、境外支付與第三方代理規避
  • 2026 年 2 月,北大與中國科學院研究者發表論文,稱偵測到多數主流中國大模型存在對海外模型的蒸餾痕跡
  • Anthropic 此前指控 DeepSeek、Moonshot、MiniMax、阿里巴巴等未經授權利用 Claude 輸出訓練自家模型;致參議院信函中具體指控 Qwen 團隊約 2.5 萬欺詐帳號、2880 萬次互動
  • Claude Opus 4.8 測試中曾「誤認自己是 Qwen/DeepSeek」,被部分評論視為雙重標準證據——使「埋點識別中國使用者」更顯尷尬
  • 中國企業普遍轉向自研/開源體系(DeepSeek、通義 Qwen、Kimi/Moonshot、智譜、MiniMax 等);阿里內部 Qoder 是這一趨勢在程式設計工具層的具體落地

社群共識:反蒸餾與反轉售是產業共性關切;意圖或可辯護,方法不可——在 Unicode 標點中隱藏分類、混淆規則清單、移除時不寫 changelog,比任何模型 benchmark 更快地侵蝕開發者工具信任。

fact_check

事實核查 — 寫作與決策前請對齊五點

  • 非全員監控:ANTHROPIC_BASE_URL 非官方端點使用者觸發;標題黨式「監控所有使用者」不準確。
  • 修復版本口徑:多數一手源稱 v2.1.197(7 月 1 日),部分中文媒體稱 v2.1.198;建議統一寫「2.1.197 及以上」並註明來源差異。
  • 「後門」是監管定性:技術圈更精確說法是隱寫偵測/covert channel;Anthropic 自稱 experiment;中文可主用 NVDB 口徑,英文宜呈現張力。
  • 直接後果是帳號風控,非已證實資料外洩:公開報導未證實具體使用者因此遭受經濟損失或檔案外洩;聚焦未披露監控與合規風險,避免誇大。
  • 版本日期微差:媒體對 v2.1.196 發布日有 6 月 29 日/30 日細微差異;處置以 claude --version 實測為準。

版本對照表:受影響區間與安全版本

類型 版本號 發布日期 說明
首個含隱蔽機制 v2.1.91 2026-04-02 偵測邏輯開始隨版本分發
逆向驗證版本 v2.1.193 / 2.1.195 / 2.1.196 2026-06 月 Adnane Khan、Thereallo 等確認含邏輯
最後受影響版本 v2.1.196 2026-06-29 NVDB 警示區間上限
修復版本 v2.1.197+ 2026-07-01/02 移除隱寫程式碼;changelog 未明確提及

Unicode 撇號對照表:3 bit 如何藏在標點裡

條件 日期格式 撇號 Unicode
預設(無網域或實驗室匹配) 2026-06-30 ' ASCII 撇號 U+0027
中國關聯機構/轉售網域匹配 2026-06-30 ' 右單引號 U+2019
AI 實驗室關鍵字匹配(deepseek、moonshot、zhipu 等) 2026-06-30 ʼ 修飾字母撇號 U+02BC
網域與實驗室關鍵字雙重匹配 2026-06-30 ʹ 修飾字母 prime U+02B9
+ 中國時區Asia/ShanghaiAsia/Urumqi 2026/06/30(斜線) (按上述匹配層級)

自查指令:版本、base URL、升級與卸載

下列指令適用於 macOS/Linux 開發終端機;Windows 使用者請將路徑變數替換為 %USERPROFILE% 對等項。

bash
# 1. 檢查目前 Claude Code 版本
claude --version

# 2. 檢查是否設定了觸發隱寫機制的代理端點
echo $ANTHROPIC_BASE_URL

# 3. npm 全域安裝方式升級到最新版
npm install -g @anthropic-ai/claude-code@latest

# 4. 或使用 Claude Code 內建更新指令
claude update

徹底卸載需清理的殘留路徑:

  • macOS/Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code
  • Windows:%USERPROFILE%\.claude%USERPROFILE%\.claude.json 及相關本機快取目錄

企業情境:卸載不是終點,還應對開發終端機做出站流量稽核,排查是否存在對非授權 AI 服務端點的持續外聯。

個人六步 + 企業四步處置 Checklist

個人開發者(六步)

  1. 版本自查:執行 claude --version。若輸出落在 2.1.91–2.1.196,標記為高風險,進入步驟 2。
  2. base URL 確認:執行 echo $ANTHROPIC_BASE_URL(Windows:echo %ANTHROPIC_BASE_URL%)。非空且非 api.anthropic.com 表示曾走代理路徑——即使已升級,也應回顧歷史使用窗口。
  3. 立即升級:執行 npm install -g @anthropic-ai/claude-code@latestclaude update,目標 v2.1.197 或更新
  4. 可選卸載與清理:合規敏感或個人不再使用時,卸載 npm 套件並刪除上文列出的 ~/.claude* 殘留目錄。
  5. 代理路徑提示詞抽檢(可選):若必須使用轉售閘道,在測試帳號下擷取 system prompt 片段,對照 Unicode 對照表檢查撇號碼點與日期分隔符(詳見隱寫術深度文)。
  6. 更新個人工具鏈決策:在 IDE/Agent 選型中記錄此次事件;評估是否將 Claude Code 限制在隔離主機而非日常筆電(見下文收束)。

企業 IT/資安團隊(四步)

  1. 資產盤點:掃描全部開發終端機、CI Runner、Agent 主機上的 Claude Code 安裝與版本;匯出 ANTHROPIC_BASE_URL 環境變數設定清單。
  2. 版本處置:對 2.1.91–2.1.196 機器強制升級至 2.1.197+ 或按 NVDB 建議卸載;納入 MDM/組態管理策略防止回退。
  3. 出站流量稽核:對研發網段啟用 egress 日誌,排查非授權 AI API 端點;對照 147 條規則中的已知轉售網域(需結合威脅情報 feed,非本文列舉)。
  4. 供應商與替代方案評審:參考阿里禁用與內部 Qoder 轉向,更新 AI 程式設計工具白名單;在程式設計助手對比矩陣中增加「監管事件/隱蔽用戶端行為」評估維度,寫入採購與合規問卷。

資安簡報三組硬資料

  • 規則集規模:多方逆向一致報告約 147 條 Base64 + XOR(91) 混淆網域/關鍵字規則,存在於 v2.1.193/2.1.195/2.1.196,於 v2.1.197(2026-07-01)靜默移除——規模足以涵蓋主要中國科技與 AI 實驗室關聯閘道,非零星 hardcode。
  • 社群訊號強度:2026-06-30 曝光帖在 Hacker News 獲 350+ 讚100+ 留言——開發者受眾觸達可與重大供應鏈故事相當,非小眾論壇謠言;Reddit 原帖 LegitMichel777 同日引發跨平台討論。
  • 企業禁用時間錨:阿里巴巴內部禁令2026-07-10 正式生效,據 Reuters/TechCrunch 報導涵蓋 Claude Code 及 Anthropic 全系列模型——是國內頭部網路公司的實質性供應鏈動作,而非僅媒體評論。

結語:本機筆電的侷限 vs 隔離 Agent 主機

Claude Code 後門/隱寫爭議的核心,是可辯護目標透過不可辯護隱瞞手段實現——NVDB 給出監管定性,Anthropic 給出 experiment 敘事,開發者社群給出 steganography 技術標籤。三方措辭張力本身,就是 2026 年 AI 工具供應鏈風險的縮影。

顯而易見替代方案的侷限同樣清晰:(a)全面恐慌式封禁 Claude Code 會打斷已標準化 hook 與 MCP 工作流的團隊;(b)忽視版本與 base URL 自查會在合規稽核時暴露缺口;(c)在與個人瀏覽器、生產 API 金鑰、郵件帳戶混用的 MacBook 上長期執行高權限 Agent,會在下一次未披露用戶端行為曝光時最大化爆炸半徑

完成版本升級、base URL 策略與出站稽核後,下一瓶頸通常是主機隔離——而非再開一帖爭論 U+02B9 算不算間諜軟體。本機開發機適合實驗,但不適合作為唯一的高權限 Agent 生產面:合蓋休眠、系統更新彈窗、混用個人 Chrome 設定與 Native Messaging 清單(參見隱寫術文事件 A)都會放大不可預測性。

若你需要分鐘級 SSH、可預期月費、以及 Claude Code Agent 以最小權限遠離日常瀏覽器與生產金鑰混用環境的 macOS 節點MACCOME 專用 Mac Mini M4 雲主機通常是更優解:真實 Apple Silicon、launchd 友善 uptime、獨立時區與 base URL 策略、與長期 Agent 程序相容的分段網路。區域與記憶體對比見Mac Mini 雲端租賃價格頁;維運問題見雲 Mac 協助中心

預設持懷疑態度,直至行為可復現、有文件、可切換。要求透明披露而非隱寫。並將每個 CLI Agent 視為高權限軟體——因為廠商會在你控制的邊界之外,反覆在你的機器上「學習」這一課,直到你把 Agent 移到你所能控制的邊界裡。

來源與延伸閱讀

  • IT之家:《工信部發布風險提示:Claude Code 存在安全後門,可能洩露使用者敏感資訊》
  • 新京報:《工信部:Claude Code存在安全後門隱患,危害嚴重》
  • CNBC:China warns about AI risks with Anthropic's Claude Code
  • The Register:China: Ditch older Claude versions with backdoor code
  • TechCrunch:Alibaba reportedly bans employees from using Claude Code
  • Ars Technica:Secret Claude tracker shocks users after Anthropic's anti-surveillance stance
  • thereallo.dev:Claude Code Is Steganographically Marking Requests(2026-06-30 技術逆向一手來源)
gavel

免責聲明:本文基於工業和信息化部 NVDB 公告、Anthropic 公開聲明、獨立資安研究及公開媒體報導整理分析,僅供技術與合規參考,不構成法律意見或資安稽核結論。請在採取卸載、封禁或流量管控措施前,結合本機構資安政策自行評估。第三方逆向結論視為可復現假設,直至在自有建置上獨立驗證。

常見問題

Claude Code 真的有後門嗎?

在 v2.1.91–2.1.196 中,Anthropic 內建了未在 changelog 披露的隱寫偵測邏輯。工信部 NVDB 於 2026 年 7 月 8 日將其定性為「安全後門隱患,危害嚴重」;Anthropic 工程師 Thariq Shihipar 則稱其為 3 月上線的「實驗性」反濫用/反蒸餾措施,並已在 v2.1.197 移除。技術圈更精確的說法是隱蔽通道,而非經典鍵盤側錄類後門。

哪些 Claude Code 版本受影響?

v2.1.91(2026-04-02)至 v2.1.196(2026-06-29)。請立即升級至 v2.1.197 或更新。完整對照見上文版本對照表

使用官方 api.anthropic.com 的一般使用者會被監控嗎?

不會。據多方逆向,機制僅在 ANTHROPIC_BASE_URL 指向非官方代理/閘道時啟動。直連預設端點的 CLI 使用者不受 Unicode 撇號編碼影響。詳見誰會真正受影響

如何檢查目前 Claude Code 版本?

終端機執行 claude --version,或 npm list -g @anthropic-ai/claude-code。若落在 2.1.91–2.1.196,請按自查指令升級。

我應該卸載 Claude Code 嗎?

受影響版本應優先升級至 2.1.197+。有合規要求的企業可額外卸載並清理 ~/.claude* 殘留、稽核出站流量。直連官方 API 且已升級的使用者風險顯著低於走代理的開發者。

Claude Code 用了什麼隱寫術?

竄改 system prompt 的 Today's date is... 列:中國時區時日期分隔符由 -/;撇號在 U+0027/U+2019/U+02BC/U+02B9 間切換,編碼約 3 bit 訊號。對照表見Unicode 對照;深度拆解見隱寫術專文

阿里巴巴為何禁用 Claude Code?

據 Reuters、TechCrunch,阿里將 Claude Code 列為高風險軟體,2026 年 7 月 10 日起內部禁用 Claude Code 及 Anthropic 模型產品,轉向內部平台 Qoder——與 NVDB 7 月 8 日定性形成企業側連鎖。

Anthropic 在 release notes 裡披露過這項機制嗎?

沒有。2.1.91–2.1.196 區間 changelog 均未提及;v2.1.197 移除時同樣未明確公告——這是信任事件的核心之一。

現在的 Claude Code 安全嗎?

Anthropic 已在 v2.1.197+ 移除相關程式碼。是否繼續使用取決於組織風險容忍度。企業建議結合版本鎖定、base URL 白名單與 egress 稽核;需要隔離 macOS Agent 環境時可了解MACCOME Mac Mini 雲端租賃方案

模型蒸餾與本次事件有何關係?

Anthropic 稱機制針對未授權轉售與蒸餾;曾指控阿里 Qwen 團隊約 2.5 萬欺詐帳號、2880 萬次互動。社群認為目標或可理解,但隱寫交付方式未能通過透明度測試。背景見Anthropic 融資與競爭語境