工信部警示 Claude Code 存在后门风险(2.1.91–2.1.196):技术解析与开发者处置指南

约 16 分钟阅读 · MACCOME

适用读者:正在使用 Claude Code 的开发者、走企业网关或第三方代理的技术团队,以及需评估监管定性与合规处置的研发主管。⚠️ 2026 年 7 月 8 日,工信部网络安全威胁和漏洞信息共享平台(NVDB)警示 Anthropic Claude Code v2.1.91–2.1.196 存在安全后门隐患,危害严重。📌 你将获得:完整时间线、NVDB 公告要点、ANTHROPIC_BASE_URL 触发条件去误导说明、隐写术三步拆解、各方表态与国际媒体用词对照、版本自查/升级/卸载命令,以及个人六步 + 企业四步 checklist。结构:TL;DR、六大痛点、技术机制、事实核查、硬数据、FAQ 与收束转化。

bolt

TL;DR — 30 秒结论

  • 监管定性:NVDB 于 7 月 8 日警示 Claude Code 内置未披露监控机制,可回传地域与身份标识等敏感信息;建议立即排查、卸载或升级。
  • 受影响版本:v2.1.91(2026-04-02)至 v2.1.196(2026-06-29);修复版为 v2.1.197+(7 月 1–2 日发布)。
  • 关键限定:机制并非对所有用户生效——仅当 ANTHROPIC_BASE_URL 指向非 api.anthropic.com 的代理/网关时激活。
  • 企业连锁:阿里巴巴 7 月 10 日起内部禁用 Claude Code 及 Anthropic 模型,转向 Qoder
  • 立即行动:运行 claude --versionecho $ANTHROPIC_BASE_URL,受影响版本请升级或卸载(见下文命令块)。

六大痛点:从 Reddit 曝光到工信部定性的信任链断裂

2026 年 7 月 8 日,工信部 NVDB 发布风险提示,将 Anthropic Claude Code 定性为存在安全后门隐患,危害严重——这是中国监管机构首次对此事件给出正式口径。表面是一条监管新闻,背后却是一条完整叙事链:Anthropic 3 月上线隐蔽检测 → 4 月起随版本分发 → 6 月开发者逆向曝光 → 7 月厂商回滚 → 阿里禁用 → 工信部定性。若你在站内已读过Claude Code 隐写术技术深度文,本篇以 NVDB 监管主线串联处置动作;两篇互补,不重复全部逆向细节。

  1. 标题党 vs 技术事实:大量中文自媒体写成「Claude Code 监控所有中国用户」,但逆向共识是:只有设置 ANTHROPIC_BASE_URL 走非官方端点的用户才会触发。混淆这一点会损害安全团队可信度,也会让直连官方 API 的开发者做出错误决策。
  2. 近 3 个月零披露:检测逻辑自 2026 年 4 月 2 日 v2.1.91 起随版本分发,中间近 20 个迭代版本持续存在,从未写入任何 changelog。7 月 1 日 v2.1.197 静默移除,移除本身也未明确公告——「信任但验证」的升级策略在此失效。
  3. 隐写而非遥测:机制不走独立上报通道,而是篡改 system prompt 中的日期行与 Unicode 撇号——肉眼可读,码点层面机器可读。安全研究员 Adnane Khan 将其定义为嵌入系统提示词中的隐蔽信道(covert channel),而非文档化的 usage telemetry。
  4. 147 条混淆规则:域名与 AI 实验室关键词列表以 XOR(91) + Base64 双重混淆,涵盖阿里、百度、字节及 DeepSeek、Moonshot、智谱、MiniMax 等条目,标准 strings 扫描无法直接提取——必须完整逆向二进制。
  5. 高权限工具上的隐蔽行为:Claude Code 拥有文件读写、Shell 执行、MCP 集成等高权限。用户对「看不见的行为」容忍度理应低于只读 IDE 插件;在未披露情况下嵌入分类指纹,合规与供应链评审都会将其升格为后门风险而非「普通数据收集」。
  6. 企业连锁反应已落地:路透社、TechCrunch 报道阿里巴巴 7 月 10 日起内部禁用 Claude Code 及 Sonnet/Opus/Fable 等 Anthropic 产品。研发主管若仍按「个人开发者工具」分类管理,可能在禁令生效后遭遇突击审计缺口。

一句话定义:这不是已证实的大规模数据泄露事故,而是未披露的隐蔽用户分类机制 + 监管正式定性 + 头部企业禁用的三线叠加——开发者应优先做版本与 base URL 自查,而非 panic 式全面封禁或忽视风险。

若你正在2026 AI 编程助手决策矩阵中评估 Claude 与 Cursor、Copilot,请为表格新增「客户端隐蔽行为 / 监管事件」一行——功能 benchmark 无法反映代理路径上的 system prompt 篡改。

完整时间线:2026 年 2 月 — 7 月 10 日

下列时间线汇整公开报道与逆向一手来源,便于安全简报与合规存档引用。

  • 2026 年 2 月:Anthropic 公开表示正投资反模型蒸馏技术(分类器、行为指纹、情报共享等)。
  • 2026 年 3 月:Claude Code 内部悄然上线隐蔽检测机制,无公开披露
  • 2026-04-02:Claude Code v2.1.91 发布,隐蔽检测代码随版本开始分发。
  • 2026-04-02 至 06-29:中间近 20 个版本迭代,检测逻辑持续存在,changelog 未提及。
  • 2026-06-29:v2.1.196 发布——受影响区间的最后一个版本。
  • 2026-06-30:Reddit 用户 LegitMichel777 发帖《Anthropic embedded spyware in Claude Code – and attempted to hide it from you》,首次大规模曝光隐写检测逻辑。
  • 2026-06-30:开发者 Thereallothereallo.dev 发布技术分析;安全研究员 Adnane Khan 在 GitHub 发布逆向报告,验证 v2.1.193/2.1.195/2.1.196 均含该逻辑。
  • 2026-07-01:Anthropic 工程师 Thariq Shihipar 在 X 平台公开承认,称为 3 月上线的「实验性」反滥用/反蒸馏机制,承诺次日版本回滚。
  • 2026-07-02:Claude Code v2.1.197(部分口径称 v2.1.198)发布,移除隐写检测代码,changelog 未明确提及此项变更。
  • 2026-07-03/04:路透社、TechCrunch 报道:阿里巴巴内部通知,7 月 10 日起全员禁止使用 Claude Code 及 Anthropic 相关模型,转用内部工具 Qoder
  • 2026-07-08:工信部 NVDB 正式发布风险提示,定性为「安全后门隐患,危害严重」。
  • 2026-07-10:阿里巴巴内部禁令正式生效

NVDB 公告要点:监管如何定性

IT之家新京报等转述,NVDB 公告核心要点如下:

  • 隐患性质:内置监控机制,未经用户同意可向远程服务器回传敏感信息。
  • 回传内容:用户地域身份标识等敏感信息(与隐写编码的时区/代理/实验室信号在叙事上对应)。
  • 受影响版本:v2.1.91 至 v2.1.196(版本发布区间:2026 年 4 月 2 日至 6 月 29 日)。
  • 官方处置建议:全面排查开发终端 → 立即卸载受影响版本或升级至最新安全版本 → 加强核心业务网段外联权限管控与流量监测
  • 定性用语:「安全后门隐患,危害严重」——这是中文监管口径,与 Anthropic「实验(experiment)」叙事形成张力。

谁会真正受影响:ANTHROPIC_BASE_URL 才是开关

这是全文最易被误解、也最必须讲清楚的一点:隐蔽机制不是对所有 Claude Code 用户生效

触发条件(据多方逆向一致):用户设置了环境变量 ANTHROPIC_BASE_URL,将 API 请求指向非官方端点——常见场景包括企业 API 网关、第三方代理、API 中转/转售服务、自建 reverse proxy。使用默认 api.anthropic.com 的普通订阅开发者不会激活这条检测路径。

谁应优先行动:

  • 通过国内转售商 / 聚合网关运行 Claude Code 的团队
  • 在 CI/CD 或 Agent 主机上配置了自定义 base URL 的 DevOps
  • 使用企业合规代理统一出站的研发组织(即使代理本身合规,客户端仍可能嵌入指纹)
  • 版本落在 2.1.91–2.1.196 且尚未升级至 2.1.197+ 的任何上述用户

谁风险相对较低:直连官方 API、版本已升级、且未设置非默认 ANTHROPIC_BASE_URL 的开发者——但仍建议运行下文自查命令确认,因 npm 全局安装可能存在版本漂移。

技术机制:时区侦察 + 147 条规则 + 隐写编码

机制分三步:环境侦察 → 规则匹配 → system prompt 隐写。更完整的 Unicode 映射与事件 A/B 拆分见站内隐写术深度文

步骤 1 — 环境侦察

触发条件成立后,代码执行两类判断:

  1. 系统时区检测:是否为 Asia/ShanghaiAsia/Urumqi
  2. 代理域名黑名单匹配:ANTHROPIC_BASE_URL 的 hostname 与内置列表比对

黑名单据 LegitMichel777、Thereallo、Adnane Khan、Vincent Schmalbach 等独立复现共 147 个条目,涵盖中国大型科技公司域名(阿里、支付宝、蚂蚁、百度、字节等)、中国 AI 实验室关键词(DeepSeek、Moonshot、智谱、MiniMax、Baichuan、StepFun、01.AI 等)及已知 API 代理/转售网关。列表以 Base64 编码 + XOR 密钥 91 双重混淆存储,规避标准字符串搜索。

步骤 2 — 隐写编码:日期分隔符 + Unicode 撇号(约 3 bit)

争议核心在于:没有走独立 telemetry 通道,而是篡改发给模型的 system prompt 中看似无害的 Today's date is... 一行:

  • 日期分隔符(1 bit 级信号):命中中国时区时,日期由 2026-06-30(连字符)变为 2026/06/30(斜杠)
  • Unicode 撇号(3 种变体编码布尔标志):Today's 中的标准撇号 ' 被替换为视觉几乎无法分辨、Unicode 码点不同的字符,编码「时区命中 / 域名命中 / AI 实验室关键词命中」等组合

即:1 个日期格式位 + 3 种撇号变体 ≈ 3 bit 环境信息,藏在一句正常英文句子里,随每次 API 请求发送给 Anthropic 服务端解析。

步骤 3 — 服务端分类(推断)

公开报道未披露 Anthropic 服务端如何消费这些信号;社区推断用途包括:识别未授权转售商、标记疑似蒸馏管道、触发账号风控。直接后果更常讨论的是账号封禁风险,而非已证实的用户文件外泄——行文应避免渲染为「数据泄露丑闻」,聚焦未披露监控与合规风险本身。

与正常遥测的边界:四个关键差异

Claude Code 确有大量已知常规数据收集(事件日志、Datadog、OpenTelemetry 等),同类 CLI/IDE Agent 中并不罕见,且通常在隐私政策中有笼统披露。本次争议不在于「收集数据」本身,而在于:

  1. 通道:使用隐写术嵌入 system prompt,而非正规、可被用户发现或关闭的 telemetry SDK 通道
  2. 披露:近 3 个月零 changelog 披露,移除时同样未明确公告
  3. targeting:专门针对特定地域信号与特定商业竞争对手/转售域名做指纹识别,而非聚合 usage metrics
  4. 权限语境:工具同时拥有文件系统读写与 Shell 执行等高权限——用户对「看不见的行为」容忍度理应更低

若不区分这四点,资深开发者会在评论区反驳「这就是普通 telemetry,小题大做」——损害内容权威性。Cybernews 等技术媒体亦引用部分社区观点称其为 「a nothing burger」(反应过度),认为实质是反蒸馏工程手段;本文呈现多方措辞,供读者自行权衡。

各方表态:NVDB、Anthropic 与阿里巴巴

工信部 / NVDB

定性:安全后门隐患,危害严重。描述内置监控机制未经用户同意回传地域与身份标识;建议全面排查开发终端、卸载或升级、加强外联管控与流量监测。

Anthropic / Thariq Shihipar(Claude Code 工程师,X 平台原话)

format_quote

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

翻译要点:定性为「实验(experiment)」而非「后门(backdoor)」;强调反账户转售滥用、反模型蒸馏;团队本已计划下线。补充背景:Anthropic 曾致信美国参议院银行委员会,指控阿里巴巴 Qwen 团队使用近 2.5 万欺诈账号、产生 2880 万次交互试图窃取 Claude 能力——理解其「蒸馏焦虑」的关键语境。详见Anthropic H 轮与 IPO 背景文

阿里巴巴(2026 年 7 月 10 日生效)

据 SCMP、Ars Technica 引述内部通知措辞:"As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities." 范围:Claude Code 及 Anthropic 相关模型产品(Sonnet、Opus、Fable 等);替代方案:内部编程平台 Qoder

国际媒体用词对照:backdoor vs experiment vs steganography

中英文叙事侧重不同——中文可主用 NVDB「后门」口径;理解英文报道有助于跨境团队对齐风险沟通语言。

来源 关键定性用词 叙事侧重
NVDB / 工信部 backdoor code / 安全后门隐患 / 危害严重 合规与数据外传风险;官方处置指令
CNBC / Reuters security backdoor / built-in monitoring mechanism 中立转述监管定性 + 企业连锁反应
The Register covert code / secret steganography system 技术揶揄 + 未披露更新的问责
Ars Technica spyware-like tracking / secret Claude tracker 信任危机 + 政策分析
Cybernews "a nothing burger"(部分技术圈观点) 认为反应过度,实质是反蒸馏工程手段
Anthropic 官方 experiment / anti-abuse / anti-distillation measure 强调正当防御目的,非恶意监控

背景延伸:2026 中美 AI 蒸馏战

本次事件不是孤立监管动作,而是 2026 年中美 AI 竞争的一个缩影:

  • Anthropic 长期禁止中国及「敌对地区」用户直接访问其模型,但用户可通过 VPN、境外支付与第三方代理规避
  • 2026 年 2 月,北大与中国科学院研究者发表论文,称检测到多数主流中国大模型存在对海外模型的蒸馏痕迹
  • Anthropic 此前指控 DeepSeek、Moonshot、MiniMax、阿里巴巴等未经授权利用 Claude 输出训练自家模型;致参议院信函中具体指控 Qwen 团队约 2.5 万欺诈账号、2880 万次交互
  • Claude Opus 4.8 测试中曾「误认自己是 Qwen / DeepSeek」,被部分评论视为双重标准证据——使「埋点识别中国用户」更显尴尬
  • 中国企业普遍转向自研/开源体系(DeepSeek、通义 Qwen、Kimi/Moonshot、智谱、MiniMax 等);阿里内部 Qoder 是这一趋势在编程工具层的具体落地

社区共识:反蒸馏与反转售是行业共性关切;意图或可辩护,方法不可——在 Unicode 标点中隐藏分类、混淆规则列表、移除时不写 changelog,比任何模型 benchmark 更快地侵蚀开发者工具信任。

fact_check

事实核查 — 写作与决策前请对齐五点

  • ⚠️ 非全员监控:ANTHROPIC_BASE_URL 非官方端点用户触发;标题党式「监控所有用户」不准确。
  • ⚠️ 修复版本口径:多数一手源称 v2.1.197(7 月 1 日),部分中文媒体称 v2.1.198;建议统一写「2.1.197 及以上」并注明来源差异。
  • ⚠️ 「后门」是监管定性:技术圈更精确说法是隐写检测 / covert channel;Anthropic 自称 experiment;中文可主用 NVDB 口径,英文宜呈现张力。
  • ⚠️ 直接后果是账号风控,非已证实数据泄露:公开报道未证实具体用户因此遭受经济损失或文件外泄;聚焦未披露监控与合规风险,避免夸大。
  • ⚠️ 版本日期微差:媒体对 v2.1.196 发布日有 6 月 29 日 / 30 日细微差异;处置以 claude --version 实测为准。

版本对照表:受影响区间与安全版本

类型 版本号 发布日期 说明
首个含隐蔽机制 v2.1.91 2026-04-02 检测逻辑开始随版本分发
逆向验证版本 v2.1.193 / 2.1.195 / 2.1.196 2026-06 月 Adnane Khan、Thereallo 等确认含逻辑
最后受影响版本 v2.1.196 2026-06-29 NVDB 警示区间上限
修复版本 v2.1.197+ 2026-07-01/02 移除隐写代码;changelog 未明确提及

Unicode 撇号映射表:3 bit 如何藏在标点里

条件 日期格式 撇号 Unicode
默认(无域名或实验室匹配) 2026-06-30 ' ASCII 撇号 U+0027
中国关联机构/转售域名匹配 2026-06-30 ' 右单引号 U+2019
AI 实验室关键词匹配(deepseek、moonshot、zhipu 等) 2026-06-30 ʼ 修饰字母撇号 U+02BC
域名与实验室关键词双重匹配 2026-06-30 ʹ 修饰字母 prime U+02B9
+ 中国时区Asia/Shanghai / Asia/Urumqi 2026/06/30(斜杠) (按上述匹配层级)

自查命令:版本、base URL、升级与卸载

下列命令适用于 macOS / Linux 开发终端;Windows 用户请将路径变量替换为 %USERPROFILE% 等价项。

bash
# 1. 检查当前 Claude Code 版本
claude --version

# 2. 检查是否配置了触发隐写机制的代理端点
echo $ANTHROPIC_BASE_URL

# 3. npm 全局安装方式升级到最新版
npm install -g @anthropic-ai/claude-code@latest

# 4. 或使用 Claude Code 内置更新命令
claude update

彻底卸载需清理的残留路径:

  • macOS / Linux:~/.claude~/.claude.json~/.cache/claude-code~/.config/claude-code
  • Windows:%USERPROFILE%\.claude%USERPROFILE%\.claude.json 及相关本地缓存目录

企业场景:卸载不是终点,还应对开发终端做出站流量审计,排查是否存在对非授权 AI 服务端点的持续外联。

个人六步 + 企业四步处置 Checklist

个人开发者(六步)

  1. 版本自查:运行 claude --version。若输出落在 2.1.91–2.1.196,标记为高风险,进入步骤 2。
  2. base URL 确认:运行 echo $ANTHROPIC_BASE_URL(Windows:echo %ANTHROPIC_BASE_URL%)。非空且非 api.anthropic.com 表示曾走代理路径——即使已升级,也应回顾历史使用窗口。
  3. 立即升级:执行 npm install -g @anthropic-ai/claude-code@latestclaude update,目标 v2.1.197 或更新
  4. 可选卸载与清理:合规敏感或个人不再使用时,卸载 npm 包并删除上文列出的 ~/.claude* 残留目录。
  5. 代理路径提示词抽检(可选):若必须使用转售网关,在测试账号下捕获 system prompt 片段,对照 Unicode 映射表检查撇号码点与日期分隔符(详见隐写术深度文)。
  6. 更新个人工具链决策:在 IDE/Agent 选型中记录此次事件;评估是否将 Claude Code 限制在隔离主机而非日常笔记本(见下文收束)。

企业 IT / 安全团队(四步)

  1. 资产盘点:扫描全部开发终端、CI Runner、Agent 主机上的 Claude Code 安装与版本;导出 ANTHROPIC_BASE_URL 环境变量配置清单。
  2. 版本处置:对 2.1.91–2.1.196 机器强制升级至 2.1.197+ 或按 NVDB 建议卸载;纳入 MDM/配置管理策略防止回退。
  3. 出站流量审计:对研发网段启用 egress 日志,排查非授权 AI API 端点;对照 147 条规则中的已知转售域名(需结合威胁情报 feed,非本文枚举)。
  4. 供应商与替代方案评审:参考阿里禁用与内部 Qoder 转向,更新 AI 编程工具白名单;在编程助手对比矩阵中增加「监管事件 / 隐蔽客户端行为」评估维度,写入采购与合规问卷。

安全简报三组硬数据

  • 规则集规模:多方逆向一致报告约 147 条 Base64 + XOR(91) 混淆域名/关键词规则,存在于 v2.1.193 / 2.1.195 / 2.1.196,于 v2.1.197(2026-07-01)静默移除——规模足以覆盖主要中国科技与 AI 实验室关联网关,非零星 hardcode。
  • 社区信号强度:2026-06-30 曝光帖在 Hacker News 获 350+ 赞100+ 评论——开发者受众触达可与重大供应链故事相当,非小众论坛谣言;Reddit 原帖 LegitMichel777 同日引发跨平台讨论。
  • 企业禁用时间锚:阿里巴巴内部禁令2026-07-10 正式生效,据 Reuters/TechCrunch 报道覆盖 Claude Code 及 Anthropic 全系列模型——是国内头部互联网公司的实质性供应链动作,而非仅媒体评论。

结语:本地笔记本的局限 vs 隔离 Agent 主机

Claude Code 后门/隐写争议的核心,是可辩护目标通过不可辩护隐瞒手段实现——NVDB 给出监管定性,Anthropic 给出 experiment 叙事,开发者社区给出 steganography 技术标签。三方措辞张力本身,就是 2026 年 AI 工具供应链风险的缩影。

显而易见替代方案的局限同样清晰:(a)全面 panic 式封禁 Claude Code 会打断已标准化 hook 与 MCP 工作流的团队;(b)忽视版本与 base URL 自查会在合规审计时暴露缺口;(c)在与个人浏览器、生产 API 密钥、邮件账户混用的 MacBook 上长期运行高权限 Agent,会在下一次未披露客户端行为曝光时最大化爆炸半径

完成版本升级、base URL 策略与出站审计后,下一瓶颈通常是主机隔离——而非再开一帖争论 U+02B9 算不算间谍软件。本地开发机适合实验,但不适合作为唯一的高权限 Agent 生产面:合盖休眠、系统更新弹窗、混用个人 Chrome 配置与 Native Messaging 清单(参见隐写术文事件 A)都会放大不可预测性。

若你需要分钟级 SSH、可预期月费、以及 Claude Code Agent 以最小权限远离日常浏览器与生产密钥混用环境的 macOS 节点MACCOME 专用 Mac Mini M4 云主机通常是更优解:真实 Apple Silicon、launchd 友好 uptime、独立时区与 base URL 策略、与长期 Agent 进程兼容的分段网络。区域与内存对比见Mac Mini 云租赁价格页;运维问题见云 Mac 帮助中心

默认持怀疑态度,直至行为可复现、有文档、可切换。要求透明披露而非隐写。并将每个 CLI Agent 视为高权限软件——因为厂商会在你控制的边界之外,反复在你的机器上「学习」这一课,直到你把 Agent 移到你能控制的边界里。

来源与延伸阅读

  • IT之家:《工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息》
  • 新京报:《工信部:Claude Code存在安全后门隐患,危害严重》
  • CNBC:China warns about AI risks with Anthropic's Claude Code
  • The Register:China: Ditch older Claude versions with backdoor code
  • TechCrunch:Alibaba reportedly bans employees from using Claude Code
  • Ars Technica:Secret Claude tracker shocks users after Anthropic's anti-surveillance stance
  • thereallo.dev:Claude Code Is Steganographically Marking Requests(2026-06-30 技术逆向一手来源)
gavel

免责声明:本文基于工业和信息化部 NVDB 公告、Anthropic 公开声明、独立安全研究及公开媒体报道整理分析,仅供技术与合规参考,不构成法律意见或安全审计结论。请在采取卸载、封禁或流量管控措施前,结合本机构安全政策自行评估。第三方逆向结论视为可复现假设,直至在自有构建上独立验证。

常见问题

Claude Code 真的有后门吗?

在 v2.1.91–2.1.196 中,Anthropic 内置了未在 changelog 披露的隐写检测逻辑。工信部 NVDB 于 2026 年 7 月 8 日将其定性为「安全后门隐患,危害严重」;Anthropic 工程师 Thariq Shihipar 则称其为 3 月上线的「实验性」反滥用/反蒸馏措施,并已在 v2.1.197 移除。技术圈更精确的说法是隐蔽信道,而非经典键盘记录类后门。

哪些 Claude Code 版本受影响?

v2.1.91(2026-04-02)至 v2.1.196(2026-06-29)。请立即升级至 v2.1.197 或更新。完整对照见上文版本对照表

使用官方 api.anthropic.com 的普通用户会被监控吗?

不会。据多方逆向,机制仅在 ANTHROPIC_BASE_URL 指向非官方代理/网关时激活。直连默认端点的 CLI 用户不受 Unicode 撇号编码影响。详见谁会真正受影响

如何检查当前 Claude Code 版本?

终端运行 claude --version,或 npm list -g @anthropic-ai/claude-code。若落在 2.1.91–2.1.196,请按自查命令升级。

我应该卸载 Claude Code 吗?

受影响版本应优先升级至 2.1.197+。有合规要求的企业可额外卸载并清理 ~/.claude* 残留、审计出站流量。直连官方 API 且已升级的用户风险显著低于走代理的开发者。

Claude Code 用了什么隐写术?

篡改 system prompt 的 Today's date is... 行:中国时区时日期分隔符由 -/;撇号在 U+0027 / U+2019 / U+02BC / U+02B9 间切换,编码约 3 bit 信号。映射表见Unicode 对照;深度拆解见隐写术专文

阿里巴巴为何禁用 Claude Code?

据 Reuters、TechCrunch,阿里将 Claude Code 列为高风险软件,2026 年 7 月 10 日起内部禁用 Claude Code 及 Anthropic 模型产品,转向内部平台 Qoder——与 NVDB 7 月 8 日定性形成企业侧连锁。

Anthropic 在 release notes 里披露过这项机制吗?

没有。2.1.91–2.1.196 区间 changelog 均未提及;v2.1.197 移除时同样未明确公告——这是信任事件的核心之一。

现在的 Claude Code 安全吗?

Anthropic 已在 v2.1.197+ 移除相关代码。是否继续使用取决于组织风险容忍度。企业建议结合版本锁定、base URL 白名单与 egress 审计;需要隔离 macOS Agent 环境时可了解MACCOME Mac Mini 云租赁方案

模型蒸馏与本次事件有何关系?

Anthropic 称机制针对未授权转售与蒸馏;曾指控阿里 Qwen 团队约 2.5 万欺诈账号、2880 万次交互。社区认为目标或可理解,但隐写交付方式未能通过透明度测试。背景见Anthropic 融资与竞争语境